Вы используете устаревший браузер!

Страница может отображаться некорректно.

Уязвимые

Уязвимые

Другие выпуски этой рубрики (49)
  • добавить в избранное
    Добавить в закладки

Скрипты – оружие против Linux

Прочитали: 12359 Комментариев: 71 Рейтинг: 147

20 июня 2017

Если сравнивать с угрозами для Windows, то вредоносных программ для ОС Linux (да и вообще для UNIX) – крайне мало. Во многом это связано с существенно меньшей распространенностью этой системы: злоумышленникам выгоднее атаковать ОС, у которых гораздо больше пользователей. Но дело не только в этом – атака малораспространенных систем тоже может быть выгодна. Никто ее не ожидает, и благодаря эффекту неожиданности она вполне может стать успешной.

Основная проблема для злоумышленников – «зоопарк» операционных систем и конфигураций. Существует огромное число дистрибутивов Linux с возможностью пересобрать буквально все, включая ядро ОС. Или «накатить» любое число патчей, до неузнаваемости изменяющих возможности системы.

В результате создать исполняемый файл (расширения для Linux не имеют значения, файлы запускаются исходя из содержимого, но для аналогии и простоты – exe-файл в Windows) можно, но не факт, что он будет работать. Дело в том, что при обычной (динамической) сборке исполняемых файлов для их работы требуются библиотеки.

Примечание. Создать файл без зависимостей можно – это так называемая статическая сборка. Но по правилам, действующим для Linux, в этом случае потребуется опубликовать коды вредоносной программы. Очевидно, что злоумышленники на это не пойдут. :-)

Если серьезно (вряд ли для злоумышленников имеет важное значение соблюдение каких-то там норм), то файл без зависимостей имеет существенно больший размер, что неудобно для его распространения.

Как же киберпреступники выходят из затруднительного положения? С помощью скриптов. Скрипты – текстовые файлы, содержащие набор команд (например, вызовов системных утилит), переменных и различных инструкций. Они исполняются не сами по себе, скрипт – это фактически набор инструкций, обрабатываемых интерпретатором. При запуске скрипта автоматически запускается интерпретатор, который выполняет команды, содержащиеся в скрипте, так, как они должны работать в данной конкретной системе.

Linux – это мир утилит и скриптов, их вызывающих. И злоумышленники освоили скритпы в своих целях, существенно усложнив жизнь антивирусам.

Специалисты «Доктор Веб» исследовали сложного многокомпонентного троянца, способного заражать устройства под управлением Linux с различной аппаратной архитектурой.

Вредоносная программа Linux.LuaBot представляет собой набор из 31 Lua-сценария и двух дополнительных модулей, каждый из которых выполняет собственную функцию. Троянец способен заражать устройства с архитектурами Intel x86 (и Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4, M68k – иными словами, не только компьютеры, но и широчайший ассортимент роутеров, телевизионных приставок, сетевых хранилищ, IP-камер и других «умных» девайсов.

http://news.drweb.ru/show/?i=11304

Одни и те же скрипты работают и на роутере, и на обычном компьютере!

В чем же проблема скриптов для антивирусов?

Скрипт – это набор внешних утилит, уже имеющихся в системе. То есть, если вредоносная программа создает канал связи с центром управления и шифрует все файлы, это делает не она, а штатные утилиты. Определить истинного виновника, естественно, можно. Особенно если находить его в уже запущенном виде – по анализу поведения. Но пользователи такому выходу вряд ли будут рады – часть файлов успеет зашифроваться за время анализа. Использовать для детектирования скриптов сигнатуры не имеет смысла: скрипт – это текстовый файл, и изменить его – дело пустяковое. А сигнатура станет бесполезной.

Поэтому для выявления вредоносных скриптов приходится вводить их анализ – фактически, запускать некий интерпретатор и «прогонять» выполнение скрипта, отмечая похожие на вредоносные странности. Близкая аналогия – анализ письма на спам. Отдельные мелочи складываются в картину, которая говорит о принадлежности скрипта к вредоносным программам, а письма – к спаму. Вот только пропускать скрипты как нераспознанный спам – нельзя. Как это делается – секрет фирмы.

#Linux #вредоносное_ПО #уязвимость #технологии_Dr.Web

Антивирусная правДА! рекомендует

Не все так просто в этом мире, и под внешне скромным защитным продуктом могут скрываться удивительнейшие вещи.

Кстати, язык Lua (Lua-сценарии) применяется в Центре управления Dr.Web — системе централизованного администрирования. Но мы его используем в правильных целях.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Комментарии к другим выпускам | Мои комментарии

 
На страницу: