IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Linux Discussion :

Linux : un logiciel malveillant combine une furtivité inhabituelle avec une suite complète de fonctions


Sujet :

Linux

  1. #1
    Chroniqueur Actualités
    Avatar de Bruno
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    mai 2019
    Messages
    1 016
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : mai 2019
    Messages : 1 016
    Points : 20 660
    Points
    20 660
    Par défaut Linux : un logiciel malveillant combine une furtivité inhabituelle avec une suite complète de fonctions
    Linux : un logiciel malveillant combine une furtivité inhabituelle avec une suite complète de fonctions,
    les logiciels malveillants pour Linux sont en hausse et atteignent leur niveau le plus élevé

    Jusqu'à récemment, en comparaison avec Windows, les défenseurs du système d’exploitation Linux se complimentaient d’être largement ignorés par les cybercriminels. Cependant, les nouvelles données montrent que les tendances des cyberattaques sont en train de changer. Selon les données présentées par l'équipe d'Atlas VPN, le nombre de nouveaux logiciels malveillants Linux a atteint un niveau record au premier semestre 2022, puisque près de 1,7 million d'échantillons ont été découverts. Cette semaine, des chercheurs ont dévoilé une nouvelle souche de logiciel malveillant Linux qui se distingue par sa furtivité et sa sophistication dans l'infection des serveurs traditionnels et des petits appareils de l'Internet des objets.

    Par rapport à la même période de l'année dernière, où 226 324 échantillons ont été découverts, le nombre de nouveaux logiciels malveillants Linux a explosé de près de 650 %. Si l'on examine le nombre de nouveaux échantillons de logiciels malveillants Linux trimestre par trimestre, au premier trimestre de cette année, il a baissé de 2 %, passant de 872 165 au quatrième trimestre 2021 à 854 688 au premier trimestre 2022. Au deuxième trimestre, les échantillons de logiciels malveillants ont à nouveau diminué, cette fois de 2,5 %, pour atteindre 833 059.

    Nom : Linux 2022.jpg
Affichages : 62100
Taille : 42,5 Ko
    Echantillons de logiciels malveillants Linux par trimestre (2021 - S1 2022)


    Cette semaine, des chercheurs ont dévoilé une nouvelle souche de logiciel malveillant Linux qui se distingue par sa furtivité et sa sophistication dans l'infection des serveurs traditionnels et des petits appareils de l'Internet des objets. Baptisé Shikitega par les chercheurs d'AT&T Alien Labs qui l'ont découvert, ce logiciel malveillant est diffusé par le biais d'une chaîne d'infection en plusieurs étapes utilisant un codage polymorphe. Il utilise également des services de cloud légitimes pour héberger des serveurs de commande et de contrôle. Ces éléments rendent la détection extrêmement difficile.

    « Les acteurs de la menace continuent de chercher de nouvelles façons de diffuser des logiciels malveillants pour rester sous le radar et éviter la détection », a écrit Ofer Caspi, chercheur aux AT&T Alien Labs. « Le logiciel malveillant Shikitega est livré de manière sophistiquée, il utilise un encodeur polymorphe, et il livre progressivement sa charge utile où chaque étape ne révèle qu'une partie de la charge utile totale. En outre, le malware abuse de services d'hébergement connus pour héberger ses serveurs de commande et de contrôle. »

    • Le logiciel malveillant télécharge et exécute le meterpreter "Mettle" de Metasploit pour maximiser son contrôle sur les machines infectées ;
    • Shikitega exploite les vulnérabilités du système pour obtenir des privilèges élevés, persister et exécuter le crypto miner ;
    • Le malware utilise un encodeur polymorphe pour le rendre plus difficile à détecter par les moteurs antivirus ;
    • Shikitega abuse des services légitimes de cloud computing pour stocker certains de ses serveurs de commande et de contrôle (C&C).

    Nom : shikitega.jpg
Affichages : 6241
Taille : 45,6 Ko
    Shikitega operation process


    Le logiciel malveillant télécharge et exécute 'Mettle', un compteur-préteur Metasploit qui permet à l'attaquant d'utiliser une large gamme d'attaques telles que le contrôle de la webcam, le renifleur, plusieurs shells inversés (tcp/http..), le contrôle du processus, l'exécution de commandes shell et plus encore. En outre, le logiciel malveillant utilise wget pour télécharger et exécuter le dropper de l'étape suivante.

    Il s'agit d'une implémentation d'un Meterpreter en code natif, conçu pour la portabilité, l'embarquabilité et la faible utilisation des ressources. Il peut fonctionner sur les plus petites cibles Linux embarquées jusqu'au gros fer, et cible Android, iOS, macOS, Linux et Windows, mais peut être porté sur presque tout environnement compatible POSIX.

    De nouveaux logiciels malveillanst comme BotenaGo et EnemyBot illustrent la façon dont les auteurs de malwares intègrent rapidement les vulnérabilités récemment découvertes pour trouver de nouvelles victimes et accroître leur portée. Shikitega utilise une chaîne d'infection en plusieurs couches, dont la première ne contient que quelques centaines d'octets, et chaque module est responsable d'une tâche spécifique, depuis le téléchargement et l'exécution du meterpreter de Metasploit, l'exploitation des vulnérabilités de Linux, la mise en place de la persistance dans la machine infectée jusqu'au téléchargement et à l'exécution d'un cryptomineur.

    Le dropper principal du logiciel malveillant est un très petit fichier ELF, dont la taille totale est d'environ 370 octets seulement, alors que la taille réelle de son code est d'environ 300 octets. Le logiciel malveillant utilise l'encodeur polymorphe XOR à rétroaction additive Shikata Ga Nai, qui est l'un des encodeurs les plus populaires utilisés dans Metasploit. À l'aide de cet encodeur, le logiciel malveillant passe par plusieurs boucles de décodage, où une boucle décode la couche suivante, jusqu'à ce que la charge utile finale du shellcode soit décodée et exécutée. Le goujon de l'encodeur est généré sur la base de la substitution dynamique des instructions et de l'ordonnancement dynamique des blocs. De plus, les registres sont sélectionnés dynamiquement.

    Après plusieurs boucles de déchiffrement, le code shell de la charge utile finale sera déchiffré et exécuté. Comme le logiciel malveillant n'utilise aucun import, il utilise int 0x80 pour exécuter le syscall approprié. Comme le code principal du dropper est très petit, le malware téléchargera et exécutera des commandes supplémentaires à partir de sa commande et de son contrôle en appelant 102 syscall (sys_socketcall).

    Le C&C répondra avec des commandes shell supplémentaires à exécuter. Les premiers octets marqués en bleu sont les commandes shell que le logiciel malveillant va exécuter. La commande reçue téléchargera des fichiers supplémentaires du serveur qui ne seront pas stockés sur le disque dur, mais seront exécutés en mémoire uniquement. Dans d'autres versions du malware, il utilise l'appel système execve pour exécuter /bin/sh avec la commande reçue du C&C.

    Le fichier suivant téléchargé et exécuté est un petit fichier ELF supplémentaire (environ 1 ko) codé avec l'encodeur Shikata Ga Nai. Le logiciel malveillant décrypte une commande shell qui sera exécutée en appelant syscall_execve avec '/bin/sh" comme paramètre avec le shell déchiffré. Le dropper de deuxième étape décrypte et exécute des commandes shell. La commande shell exécutée va télécharger et exécuter des fichiers supplémentaires. Pour exécuter le dropper de la prochaine et dernière étape, il exploitera deux vulnérabilités de Linux afin de tirer parti des privilèges - CVE-2021-4034 et CVE-2021-3493.

    Persistance

    Pour assurer sa persistance, le ogiciel malveillant télécharge et exécute un total de 5 scripts shell. Il persiste dans le système en configurant 4 crontabs, deux pour l'utilisateur actuellement connecté et les deux autres pour l'utilisateur root. Il vérifie d'abord si la commande crontab existe sur la machine, et si ce n'est pas le cas, le logiciel malveillant l'installe et lance le service crontab. Pour s'assurer qu'une seule instance fonctionne, il utilise la commande flock avec un fichier de verrouillage /var/tmp/vm.lock.

    Un appel à flock() peut bloquer si un verrou incompatible est détenu par un autre processus. Pour faire une demande non bloquante, incluez LOCK_NB (par ORing) avec l'une des opérations ci-dessus. Un même fichier ne peut pas avoir simultanément des verrous partagés et exclusifs.

    Les verrous créés par flock() sont associés à une entrée de la table des fichiers ouverts. Cela signifie que les descripteurs de fichiers dupliqués (créés par exemple par fork(2) ou dup(2)) font référence au même verrou, et que ce verrou peut être modifié ou libéré en utilisant n'importe lequel de ces descripteurs. De plus, le verrou est libéré soit par une opération LOCK_UN explicite sur l'un de ces descripteurs dupliqués, soit lorsque tous ces descripteurs ont été fermés.

    Si un processus utilise open(2) (ou similaire) pour obtenir plus d'un descripteur pour le même fichier, ces descripteurs sont traités indépendamment par flock(). Une tentative de verrouiller le fichier en utilisant l'un de ces descripteurs de fichier peut être refusée par un verrou que le processus appelant a déjà placé via un autre descripteur.

    Un processus ne peut détenir qu'un seul type de verrou (partagé ou exclusif) sur un fichier. Les appels ultérieurs à flock() sur un fichier déjà verrouillé convertiront un verrou existant vers le nouveau mode de verrouillage. Les verrous créés par flock() sont préservés lors d'un execve(2). Un verrou partagé ou exclusif peut être placé sur un fichier indépendamment du mode dans lequel le fichier a été ouvert.

    Les logiciels malveillants pour Linux sont en hausse et atteignent leur niveau le plus élevé au premier semestre 2022

    Jusqu'à récemment, les cybercriminels ont largement ignoré Linux par rapport à d'autres systèmes d'exploitation plus populaires. Cependant, les nouvelles données montrent que les tendances des cyberattaques sont en train de changer. Selon les données présentées par l'équipe d'Atlas VPN, le nombre de nouveaux logiciels malveillants Linux a atteint un niveau record au premier semestre 2022, puisque près de 1,7 million d'échantillons ont été découverts.

    Pourtant, le nombre cumulé de nouveaux échantillons de logiciels malveillants Linux au premier semestre 2022 était supérieur de 31 % au nombre d'échantillons de ce type pour l'ensemble de l'année 2021. En fait, le premier semestre de cette année a enregistré plus de nouveaux échantillons de logiciels malveillants Linux que toute autre année depuis 2008. De tous les mois, c'est le mois d'avril qui a enregistré le plus grand nombre de nouveaux échantillons, soit 400 931.

    Les nouveaux logiciels malveillants Windows restent en tête


    Bien que Linux soit le seul système d'exploitation à avoir connu une augmentation du nombre de nouveaux échantillons de logiciels malveillants au cours du premier semestre de cette année, c'est Windows qui a enregistré le plus grand nombre de nouvelles applications malveillantes. Au total, 41,4 millions d'échantillons de logiciels malveillants Windows nouvellement programmés ont été identifiés au premier semestre 2022. Par rapport au premier semestre 2021, où ces agrafes étaient au nombre de 63,8 millions, elles ont diminué de 35 %.

    Nom : Linux 2022'.jpg
Affichages : 6218
Taille : 26,5 Ko
    Échantillons de logiciels malveillants Linux par année (2008 - S1 2022 )


    Bien que Linux ne détienne que 1 % de la part de marché des systèmes d'exploitation, il occupe la deuxième place de la liste avec 1,7 million de logiciels malveillants au premier semestre 2022. Le système d'exploitation le plus populaire, Android, comptait quant à lui 716 201 échantillons de logiciels malveillants nouvellement développés au premier semestre 2022. Il a également connu la plus forte baisse d'échantillons de logiciels malveillants par rapport à l'année dernière, soit 58 %.
    Enfin, macOS a été la cible de 4 922 nouveaux échantillons de logiciels malveillants au cours du premier semestre 2022, soit une baisse de 32 % par rapport aux 7 269 échantillons du premier semestre 2021.

    Nom : Linux2022''.jpg
Affichages : 6207
Taille : 30,0 Ko
    Développement de nouveaux logiciels malveillants par système d'exploitation (H1 2021 vs H1 2022)


    Android occupe 44 % des parts de marché des systèmes d'exploitation, tandis que Windows et OS X ont respectivement 29 % et 6 %.
    En somme, si Linux n'est pas aussi populaire parmi les utilisateurs d'ordinateurs que les autres systèmes d'exploitation, il fait fonctionner les systèmes dorsaux de nombreux réseaux, ce qui rend les attaques contre Linux très lucratives. Plus l'adoption de Linux augmentera, plus les attaques contre lui augmenteront.

    Sources : AT&T, Atlas VPN

    Et vous ?

    Quel est votre avis sur le sujet ?

    Le nombre d'attaques sur Linux a atteint un niveau record, quel commentaire cela vous suggère ?

    Malgré la hausse exponentielle des logiciels malveillants sur Linux, Windows reste l'OS avec le plus grand nombre d'attaques des nouveaux logiciels malveillants ?

    Voir aussi :

    Découverte de Symbiote, un malware Linux extrêmement dangereux et presque impossible à détecter, il existe depuis au moins novembre 2021 et semble avoir été développé pour cibler le secteur financier

    Plus de 3,6 millions de serveurs MySQL découverts exposés sur Internet, ce qui constitue une surface d'attaque potentielle pour les cybercriminels

    Le paquet PyPI "keep" aurait inclus par erreur un voleur de mots de passe, le mainteneur aurait involontairement introduit une dépendance malveillante par une faute de frappe
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Expert éminent sénior
    Avatar de Jipété
    Profil pro
    Inscrit en
    juillet 2006
    Messages
    9 858
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : juillet 2006
    Messages : 9 858
    Points : 14 103
    Points
    14 103
    Par défaut
    Bonjour,

    Citation Envoyé par Bruno Voir le message
    Pour exécuter le dropper de la prochaine et dernière étape, il exploitera deux vulnérabilités de Linux afin de tirer parti des privilèges - CVE-2021-4034 et CVE-2021-3493.
    pour 4034 :
    La vulnérabilité CVE-2021-4034 PwnKit est utilisable par un attaquant qui dispose déjà d’un accès interne à une machine vulnérable. Autrement dit, il faut déjà être entré sur une machine pour ensuite pouvoir utiliser la vulnérabilité, ce qui réduit fortement les risques d’attaque.
    source : https://cyberwatch.fr/cve/cve-2021-4034/
    et pour Debian, voir https://security-tracker.debian.org/.../CVE-2021-4034 et/ou https://security-tracker.debian.org/...ge/policykit-1 où se trouve un tableau indiquant que c'est corrigé.


    et pour 3493 chez Debian : https://security-tracker.debian.org/.../CVE-2021-3493 montre que c'est fixé avec la dernière màj de Bullseye.
    Il a à vivre sa vie comme ça et il est mûr sur ce mur se creusant la tête : peutêtre qu'il peut être sûr, etc.
    Oui, je milite pour l'orthographe et le respect du trait d'union à l'impératif.
    Après avoir posté, relisez-vous ! Et en cas d'erreur ou d'oubli, il existe un bouton « Modifier », à utiliser sans modération
    On a des lois pour protéger les remboursements aux faiseurs d’argent. On n’en a pas pour empêcher un être humain de mourir de misère.
    Mes 2 cts,
    --
    jp

  3. #3
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2017
    Messages
    1 253
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : octobre 2017
    Messages : 1 253
    Points : 4 495
    Points
    4 495
    Par défaut
    Les logiciels malveillants pour Linux sont en hausse et atteignent leur niveau le plus élevé
    Quand on sait que par exemple pour le marché français, les serveurs connectés à internet sont équipés à 65% de Linux contre 34% de Windows, est-il surprenant que les hackers soient soudainement intéressés par Linux?

    On parlera simplement ici d'une "tendance du marché"...

  4. #4
    Membre actif
    Homme Profil pro
    Développeur Java
    Inscrit en
    juin 2017
    Messages
    100
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 71
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : juin 2017
    Messages : 100
    Points : 228
    Points
    228
    Par défaut
    Faudrait m'expliquer comment ces malwares peuvent s'installer sans la complicité de l'utilisateur. Soit il travaille en superuser soit un malware ne peut pas s'exécuter.

  5. #5
    Responsable 2D/3D/Jeux


    Avatar de LittleWhite
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mai 2008
    Messages
    26 339
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : mai 2008
    Messages : 26 339
    Points : 212 610
    Points
    212 610
    Billets dans le blog
    94
    Par défaut
    Ou bien, une faille permettant de passer d'utilisateur normal à super utilisateur est trouvée (la faille sudo, récemment).
    Vous souhaitez participer à la rubrique 2D/3D/Jeux ? Contactez-moi

    Ma page sur DVP
    Mon Portfolio

    Qui connaît l'erreur, connaît la solution.

  6. #6
    Membre à l'essai
    Homme Profil pro
    Enseignant Chercheur
    Inscrit en
    août 2013
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Indre et Loire (Centre)

    Informations professionnelles :
    Activité : Enseignant Chercheur
    Secteur : Communication - Médias

    Informations forums :
    Inscription : août 2013
    Messages : 8
    Points : 10
    Points
    10
    Par défaut failles linux
    le gros problème pour linux c'est l'absence d'antivirus, ou s'il y en a, les antivirus linux sont rarement mis à jour.

  7. #7
    Membre actif
    Homme Profil pro
    Développeur Java
    Inscrit en
    juin 2017
    Messages
    100
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 71
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : juin 2017
    Messages : 100
    Points : 228
    Points
    228
    Par défaut
    Citation Envoyé par ericosteix Voir le message
    le gros problème pour linux c'est l'absence d'antivirus, ou s'il y en a, les antivirus linux sont rarement mis à jour.
    Je suis venu de Windows à Linux quand je suis arrivé à me demander ce qui était le pire des virus ou des antivirus.
    Et un Linux bien configuré ne peux pas avoir de virus. C'est de conception.

  8. #8
    Responsable Systèmes


    Homme Profil pro
    Gestion de parcs informatique
    Inscrit en
    août 2011
    Messages
    15 831
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Gestion de parcs informatique
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 15 831
    Points : 38 464
    Points
    38 464
    Par défaut
    Détrompes-toi.

    Il existe aussi des failles de sécurité sous Linux.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur le P2V, mon article sur le cloud
    Consultez nos FAQ : Windows, Linux, Virtualisation

Discussions similaires

  1. Réponses: 0
    Dernier message: 09/11/2020, 09h59
  2. Réponses: 0
    Dernier message: 04/03/2014, 17h36
  3. Les logiciels malveillants apparaissent à une vitesse fulgurante
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 51
    Dernier message: 22/01/2011, 16h10
  4. Les logiciels malveillants apparaissent à une vitesse fulgurante
    Par Hinault Romaric dans le forum Actualités
    Réponses: 0
    Dernier message: 01/12/2010, 15h51

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo