FontOnLake - új malware, ami a Linuxot is érinti

Beküldte T.István -

Fórum: 

Egy korábban ismeretlen, moduláris kártevőcsaládot, amely Linux rendszereket céloz meg, célzott támadásokban használtak fel hitelesítő adatok gyűjtésére és a cél rendszerekhez való hozzáférésre – jelentette 2021.12.02-án az ESET.

A FontOnLake névre keresztelt rosszindulatú programcsalád rootkitet alkalmaz jelenlétének elrejtésére, és minden egyes mintához különböző parancs- és vezérlőszervereket használ, ami azt mutatja, hogy az üzemeltetők mennyire ügyelnek az felfedhetőség megnehezítésére.

Sőt, a rosszindulatú programok fejlesztői folyamatosan módosítják a FontOnLake modulokat, amit három kategóriájú összetevő használatára terveztek: trójai alkalmazás, hátsó ajtó és rootkitekre.

A bizonyítékok arra utalnak, hogy a FontOnLake-et délkelet-ázsiai szervezetek elleni támadásokhoz használták.

A családhoz kapcsolódó első rosszindulatú programminták tavaly májusban jelentek meg. A kártevőt korábban az Avast és a Lacework HCRootkit / Sutersu, valamint a Tencent Security Response Center Linux rootkitként írta le egy februári jelentésében .

Az ESET kutatói által a vizsgálat során azonosított különféle trójai alkalmazásokat egyéni backdoor vagy rootkit modulok betöltésére, de szükség esetén érzékeny adatok gyűjtésére is használják. A szabványos Linux segédprogramokként ezeket a fájlokat úgy tervezték, hogy a feltört rendszereken is megmaradjanak.

A kutatók még nem jöttek rá, hogy a trójai alkalmazásokat milyen módon juttatják el az áldozatokhoz.

további infó: https://www.securityweek.com/fontonlake-linux-malware-used-targeted-attacks

kimarite képe

És van valamilyen védekezés,

Beküldte kimarite -

Értékelés: 

0
Még nincs értékelve

És van valamilyen védekezés, azaz törlés ellene?

Most futtattam az rkhunter és a chkrootkit alkalmazásokat, false positive eredményeken kívül, csak egy LKM false positive eredmény (rövid verzió):

sudo chkrootkit -q
-e The following suspicious files and directories were found:

 /usr/lib/python3/dist-packages/matplotlib/backends/web_backend/.prettierrc
/usr/lib/python3/dist-packages/matplotlib/backends/web_backend/.eslintrc.js
/usr/lib/python3/dist-packages/matplotlib/backends/web_backend/.prettierignore
/usr/lib/python3/dist-packages/matplotlib/tests/baseline_images/.keep
/usr/lib/python3/dist-packages/matplotlib/tests/tinypages/.gitignore
/usr/lib/python3/dist-packages/matplotlib/tests/tinypages/_static/.gitignore
/usr/lib/jvm/.java-1.11.0-openjdk-amd64.jinfo
/usr/lib/debug/.build-id
/usr/lib/llvm-11/build/utils/lit/tests/.coveragerc
/usr/lib/libreoffice/share/.registry
/usr/lib/ruby/vendor_ruby/rubygems/ssl_certs/.document
/usr/lib/debug/.build-id
/usr/lib/libreoffice/share/.registry
 OooPS, not expected 105222 value
chkproc: Warning: Possible LKM Trojan installed
enp0s25: PACKET SNIFFER(/usr/sbin/NetworkManager[754])

A weboldal éppen nem működik:
Check the FAQ for some additional info: http://chkrootkit.org/faq/
(https://forum.configserver.com/viewtopic.php?t=11240)

Egyebek
https://www.bleepingcomputer.com/news/security/fontonlake-malware-infects-linux-systems-via-trojanized-utilities/
https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis/
# https://linuxhint.com/detect_linux_system_hacked/

Script e-mail értesítésre: https://github.com/installation/chkrootkit

És van valamilyen védekezés,

Beküldte T.István -

Értékelés: 

0
Még nincs értékelve

#1 mivel ennyire új, azt gondolom, hogy erre készült eszköz nincs. Viszont átolvastam az Eset jelentését itt:

https://www.welivesecurity.com/wp-content/uploads/2021/10/eset_fontonlake.pdf

Azt írja, vannak beégetett részletek az SSHD konfigurációra vonatkozóan:

Port 26657
ListenAddress 127.0.0.1
Protocol 2
LogLevel QUIET
SyslogFacility AUTHPRIV
IgnoreUserKnownHosts yes
PasswordAuthentication yes
AcceptEnv XMODIFIERS
X11Forwarding yes
TCPKeepAlive yes
PermitRootLogin yes
HostKey /tmp/.ssh/ssh_host_rsa_key

Így egyéb híján lehet figyuzni a

sudo netstat -ap | grep ssh

kimenetre. Ha 26657 szerepel az outputban, akkor az gyanús. Meg az is, ha valamilyen random generált név jelenik meg. Hm, nekem most egy ilyen gyanús dolog volt:

unix  2      [ ACC ]     STREAM     LISTENING     27799    1142/ssh-agent       /tmp/ssh-jHbsyuE9JEmL/agent.1019

töröltem.... (tmp mappából lehet törölni minden további nélkül), vissza íródott pár másodpercen belül...

ez persze nem távolítja el a sittet, csak keresztbe tesz neki. Amúgy az eset jelentése arról ír, hogy jelenleg semmi mást nem csinál a kód, csak hallgatózik. Úgy néz ki, mint egy előkészület valami későbbi bevetésre.

 

 

 

kimarite képe

És van valamilyen védekezés: man, help, rtfm...

Beküldte kimarite -

Értékelés: 

0
Még nincs értékelve

#2 Ha 26657 szerepel az outputban, akkor az gyanús. Meg az is, ha valamilyen random generált név jelenik meg.

sudo netstat -ap | grep ssh
[sudo] debkim jelszava:
unix 2 [ ACC ] STREAM LISTENING 28153 1575/ssh-agent /tmp/ssh-pGR3dFBbn1LK/agent.1505
unix 2 [ ACC ] STREAM LISTENING 26481 1468/systemd /run/user/1000/gnupg/S.gpg-agent.ssh
unix 2 [ ACC ] STREAM LISTENING 28881 1501/gnome-keyring- /run/user/1000/keyring/ssh

Nyilván vannak más szálak is, de:

The options are as follows:
       -a bind_address
Bind the agent to the unix-domain socket bind_address. The default is /tmp/ssh-XXXXXXXXXX/agent.<ppid>.

Forrás: https://linux.die.net/man/1/ssh-agent

kimarite képe

És van valamilyen védekezés: man, help, rtfm...

Beküldte kimarite -

Értékelés: 

0
Még nincs értékelve

#3 Nincs eredmény:

sudo netstat -an | grep 26657
cat /etc/services | grep 26657
sudo ss | grep 26657
sudo watch -d -n0 "netstat -atnp | grep ESTA"
sudo watch -d -n0 "netstat -tulnp | grep ESTA"

Nyitott portok:

sudo nmap -sT -O localhost

vagy

for p in {1..1023}
do
   (echo >/dev/tcp/localhost/$p) >/dev/null 2>&1 && echo "$p open"
done
kimarite képe

És van valamilyen védekezés: man, help, rtfm...

Beküldte kimarite -

Értékelés: 

0
Még nincs értékelve

#4 Vagy (kimenettel):

for p in {1..65535}
do
   (echo >/dev/tcp/localhost/$p) >/dev/null 2>&1 && echo "$p open"
done
25 open
53 open
631 open
1716 open
3310 open
39500 open
40122 open
40772 open
40876 open
43918 open
60364 open