Скрипты – оружие против Linux
20 июня 2017
Если сравнивать с угрозами для Windows, то вредоносных программ для ОС Linux (да и вообще для UNIX) – крайне мало. Во многом это связано с существенно меньшей распространенностью этой системы: злоумышленникам выгоднее атаковать ОС, у которых гораздо больше пользователей. Но дело не только в этом – атака малораспространенных систем тоже может быть выгодна. Никто ее не ожидает, и благодаря эффекту неожиданности она вполне может стать успешной.
Основная проблема для злоумышленников – «зоопарк» операционных систем и конфигураций. Существует огромное число дистрибутивов Linux с возможностью пересобрать буквально все, включая ядро ОС. Или «накатить» любое число патчей, до неузнаваемости изменяющих возможности системы.
В результате создать исполняемый файл (расширения для Linux не имеют значения, файлы запускаются исходя из содержимого, но для аналогии и простоты – exe-файл в Windows) можно, но не факт, что он будет работать. Дело в том, что при обычной (динамической) сборке исполняемых файлов для их работы требуются библиотеки.
Примечание. Создать файл без зависимостей можно – это так называемая статическая сборка. Но по правилам, действующим для Linux, в этом случае потребуется опубликовать коды вредоносной программы. Очевидно, что злоумышленники на это не пойдут. :-)
Если серьезно (вряд ли для злоумышленников имеет важное значение соблюдение каких-то там норм), то файл без зависимостей имеет существенно больший размер, что неудобно для его распространения.
Как же киберпреступники выходят из затруднительного положения? С помощью скриптов. Скрипты – текстовые файлы, содержащие набор команд (например, вызовов системных утилит), переменных и различных инструкций. Они исполняются не сами по себе, скрипт – это фактически набор инструкций, обрабатываемых интерпретатором. При запуске скрипта автоматически запускается интерпретатор, который выполняет команды, содержащиеся в скрипте, так, как они должны работать в данной конкретной системе.
Linux – это мир утилит и скриптов, их вызывающих. И злоумышленники освоили скритпы в своих целях, существенно усложнив жизнь антивирусам.
Специалисты «Доктор Веб» исследовали сложного многокомпонентного троянца, способного заражать устройства под управлением Linux с различной аппаратной архитектурой.
Вредоносная программа Linux.LuaBot представляет собой набор из 31 Lua-сценария и двух дополнительных модулей, каждый из которых выполняет собственную функцию. Троянец способен заражать устройства с архитектурами Intel x86 (и Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4, M68k – иными словами, не только компьютеры, но и широчайший ассортимент роутеров, телевизионных приставок, сетевых хранилищ, IP-камер и других «умных» девайсов.
Одни и те же скрипты работают и на роутере, и на обычном компьютере!
В чем же проблема скриптов для антивирусов?
Скрипт – это набор внешних утилит, уже имеющихся в системе. То есть, если вредоносная программа создает канал связи с центром управления и шифрует все файлы, это делает не она, а штатные утилиты. Определить истинного виновника, естественно, можно. Особенно если находить его в уже запущенном виде – по анализу поведения. Но пользователи такому выходу вряд ли будут рады – часть файлов успеет зашифроваться за время анализа. Использовать для детектирования скриптов сигнатуры не имеет смысла: скрипт – это текстовый файл, и изменить его – дело пустяковое. А сигнатура станет бесполезной.
Поэтому для выявления вредоносных скриптов приходится вводить их анализ – фактически, запускать некий интерпретатор и «прогонять» выполнение скрипта, отмечая похожие на вредоносные странности. Близкая аналогия – анализ письма на спам. Отдельные мелочи складываются в картину, которая говорит о принадлежности скрипта к вредоносным программам, а письма – к спаму. Вот только пропускать скрипты как нераспознанный спам – нельзя. Как это делается – секрет фирмы.
#Linux #вредоносное_ПО #уязвимость #технологии_Dr.WebАнтивирусная правДА! рекомендует
Не все так просто в этом мире, и под внешне скромным защитным продуктом могут скрываться удивительнейшие вещи.
Кстати, язык Lua (Lua-сценарии) применяется в Центре управления Dr.Web — системе централизованного администрирования. Но мы его используем в правильных целях.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Toma
14:25:46 2018-12-06
Денисенко Павел Андреевич
21:56:22 2018-08-05
Неуёмный Обыватель
00:33:23 2018-07-03
alex-diesel
18:00:38 2018-05-26
vasvet
02:30:43 2018-04-09
paran
05:42:23 2017-12-20
paran
05:39:03 2017-12-20
Istorik
00:02:36 2017-06-30
А вод для сервера, это отличное решение, сетевая папка почтовый антивирус, анти-спам и ... вроде все.
По поводу комментариев.
Взломанные чайники, утюги, кондиционеры и унитазы все что подключается к вайфай, а такой техники все больше взламывается и объединяется в ботсети для того же ддоса.
Меняйте пароли по умолчанию и своевременно обновляйте прошивку.
AntonIT
12:37:23 2017-06-25
И теория с практикой не расходилась.
Littlefish
09:27:49 2017-06-22
Как хорошо, что сотрудники Dr.Web уже предусмотрели такой сценарий, в настройках в разделе Основные-Устройства, есть пункт - Предупреждать о BadUSB-уязвимых устройствах, которые определяются как клавиатура, а также есть классы устройств и шины устройств, если всякие сигареты будут изображать из себя не только клавиатуру. Так что тем, кто использует продукты компании Dr.Web для защиты - сигареты не страшны.
@admin, @Людмила, @Вячeслaв, И в очередной раз хочется поблагодарить всех сотрудников компании Dr.Web, за то, что вы смотрите вперёд, заблаговременно добавляете в свои продукты те технологии, которые ещё не используются, но могут использоваться в будущем. Хочется пожелать, чтобы ваш творческий подход и креативность никогда не увядали и всегда оставались с вами. Большое спасибо за надёжную защиту.
kuz-niko
08:39:05 2017-06-22
Пaвeл
08:20:32 2017-06-22
http://www.securitylab.ru/news/486781.php
Так что "Утюги - шпионы" это уже не миф.
forrus
17:55:57 2017-06-21
Любитель пляжного футбола
17:07:18 2017-06-21
djabax
15:10:48 2017-06-21
Littlefish
14:34:35 2017-06-21
Официально-то конечно такие утюги не выпускают, а вот неофициально...
В 2013 году была такая информация, что в некоторые виды китайской бытовой техники (утюги, электрочайники, микроволновые печи, кофе-машины, телевизоры, автомобильные регистраторы) добавляли микрочипы с Wi-Fi модулем, которые использовались для подключения к незапароленным Wi-Fi сетям для последующей рассылки с их помощью вредоносных программ, заражения компьютеров, подключенных к сети, для последующей организации DDOS-атак и других незаконных действий - https://hi-tech.mail.ru/news/iron-bugs/
По поводу автомобилей согласен, не зря чем "старше" автомобиль, тем он дороже (и тем меньше на нём электроники или даже её вовсе нет).
220wolf
10:32:03 2017-06-21
udginvr
10:02:07 2017-06-21
udginvr
10:00:55 2017-06-21
На второе утверждение: ну естественно, как иначе? Хотя всё зависит от ваших настроек, конечно.
smorozov
08:44:44 2017-06-21
a13x
01:23:22 2017-06-21
dyadya_Sasha
23:13:43 2017-06-20
В...а
22:45:31 2017-06-20
kva-kva
22:35:18 2017-06-20
НинаК
22:21:37 2017-06-20
ek
22:09:02 2017-06-20
kyha4
21:35:27 2017-06-20
mk.insta
21:13:47 2017-06-20
razgen
21:11:53 2017-06-20
Раш КХ
20:42:33 2017-06-20
Dvakota
20:34:01 2017-06-20
Любитель пляжного футбола
20:29:21 2017-06-20
krantroru
20:25:26 2017-06-20
ivan.ivanov1904
20:09:12 2017-06-20
Любитель пляжного футбола
20:06:34 2017-06-20
Шалтай Александр Болтай
20:05:45 2017-06-20
Шалтай Александр Болтай
20:03:29 2017-06-20
Mehatronik
19:57:10 2017-06-20
user
19:56:16 2017-06-20
Леонид
17:51:59 2017-06-20
DrKV
17:02:05 2017-06-20
phkrant
16:56:20 2017-06-20
chicer
14:59:08 2017-06-20
Вячeслaв
13:23:15 2017-06-20
Вообще такие выпуски - это мука. Как объяснить пользователям что-то о скриптах, если они и что такое exe-файл могут не знать? Мы не говорим. что это плохо само по себе, но тем не менее проблема есть
NEOMI1
12:37:11 2017-06-20
coolira
11:35:44 2017-06-20
Hazal
11:09:46 2017-06-20
Natalya_2017
10:59:14 2017-06-20
Спасибо!
Alexander
10:52:59 2017-06-20
В статье имеется два утверждения, которые, на мой взгляд, несколько "не стыкуются" друг с другом: первое, - "Скрипты – текстовые файлы, содержащие набор команд ... "; второе, - "Скрипт – это набор внешних утилит, уже имеющихся в системе". В текст второго утверждения, мне кажется, вкралась описка. Возможно, это предложение подразумевало, что скрипт – это набор (команд, которые используют работу) внешних утилит, уже имеющихся в системе? Если я по недопониманию ошибся, прошу извинить меня. Действительно, "не все так просто в этом мире". Спасибо за статью.
Татьяна
10:34:44 2017-06-20