35 meneos
290 clics
Symbiote, el malware para Linux casi imposible de detectar: corrompe todos los programas abiertos y les impide 'chivarse'
El descubrimiento de un malware con potencial dañino en sistemas GNU/Linux siempre es noticia, quizá por la imagen creada en torno a este sistema operativo como 'inmune a los virus'. Pero con Symbiote, cuya existencia acaba de ser dada a conocer ahora, estamos ante un caso extremo de sofisticación a la hora de eludir los métodos tradicionales de detección.
|
comentarios cerrados
…
…
.. O-oh nooooo!!!!!!!!!!
Lo que me pregunto es cómo cambia el valor de la variable sin ejecutar ningún proceso para ello.
Quien no instale ni descargue nada extraño no debería por qué preocuparse, al menos es la impresión que tengo.
Supongo (porque la información tiende a 0) que todo pasa por sustituír un .so de uso común en el sistema por uno malicioso. No explican el vector de ataque.
el LD_PRELOAD unicamente indica de donde se debe cargar la biblioteca. Supongo que lo utilizarán para que los programas la carguen en lugar de la legítima....
Yo utilizo Gentoo y no olvidaré nunca lo que sucedió hace 3 años, y aún con estas sigue siendo mi favorita: www.meneame.net/story/github-gentoo-comprometido-eng
Quien utilice repositorios no oficiales o se instale un pquete de una fuente desconocida o no fiable está en riesgo, pero no sólo por esto sino por cualquier otra infección. Ahora bien, ¿podría comprometerse un sistema bien montado si un usuario estándar sin permisos pretende ejecutar algo? Tengo dudas, pero con los casos expansivos de ciberataque y aprovechándose de alguna vulnerabilidad (o descuido) no me extrañaría tampoco.
Si no se usa la ruta completa en todas y cada una de las llamadas/cargas, se puede dejar un archivo malicioso en otra ruta del PATH con más preferencia.
#5 para eso tendrían que infiltrar a gente en el grupo que compila los paquetes supongo.
Un saludo.
Si comprometes un repositorio con un tráfico considerable, puede infectar a muchos con una sola actualización; supongo también, que no debería durar más que el tiempo que tarden todos los demás repositorios, en "quejarse" de que los hashes no coinciden.
Ya podemos ir diciendo que Linux, ya no es lo que era....