Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Linux ciblé par un mystérieux Rootkit
Infectant des sites Web par injection d'iFrame

Le , par Hinault Romaric

0PARTAGES

5  0 
infectant des sites Web par injection d’iFrame


Des chercheurs en sécurité ont découvert un nouveau Rootkit ciblant les plateformes Linux.

Le 13 novembre dernier, un propriétaire de site Web agacé par le comportement d’un programme poste sur le mailing-list Full Disclosure celui-ci afin d’obtenir des clarifications sur son rôle.

Les experts en sécurité de Kaspersky et CrowdStrike ont confirmé par la suite qu’il s’agissait d’un Rootkit conçu pour attaquer les systèmes d’exploitation Linux 64 bits, plus précisément la dernière version du kernel utilisée dans Debian Squeeze.

D’un code relativement simple et encore en phase d’expérimentation, le Rootkit selon Kaspersky utilise cependant des mécanismes assez complexes pour dissimuler son activité.

Le programme malveillant baptisé « Rootkit.Linux.Snakso» par les chercheurs de Kaspersky Lab, s’installe au sein des fonctions importantes du noyau Linux en essayant de dissimuler ses fils. Sa fonction principale serait d’infecter les sites Web hébergés sur un serveur Web affecté.

Concrètement, il effectue des attaques par injection d’iFrame en modifiant la fonction système tcp_sendmsg pour injecter du code malveillant dans le trafic HTTP, afin de rediriger les internautes vers des sites Internet suspects.

Selon les experts en sécurité, ce programme malveillant utilise une nouvelle approche du « drive-by-download » qui se différencie des mécanismes habituels basés sur de simples scripts. Les chercheurs notent également que ce malware ne serait pas utilisé pour une campagne d’attaques ciblées, mais plutôt pour une opération visant à tromper un nombre important d’internautes.





Source : Kaspersky, CrowdStrike, Disclosure

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Freem
Membre émérite https://www.developpez.com
Le 22/11/2012 à 12:27
"Debian Squeezy."

Euh... connaît pas. Squeeze, ok, Wheezy, ok, mais la? Bon je suppose que c'est Squeeze, vu que c'est la stable.

Si c'est le cas, c'est une erreur, car Squeeze est en phase terminale: le gel de fonctionnalités dans wheezy dure depuis plusieurs mois déjà.
Autre point non spéficié, l'attaque ne cible que kernel debian, ou également kfreebsd? Parce qu'il est important de préciser que dire Debian/linux serait erroné: cette distribution supporte plusieurs kernel (bien que je n'aie personnellement pas testé le 2nd) depuis Squeeze, justement.

Si on se base sur le postulat (le plus probable) que c'est le kernel linux de Squeeze qui est attaqué, je me pose encore quelques questions:
_ systemd est-il sensible à ce rootkit? Debian ne montre pas encore de signes de passer définitivement à systemd, mais cela reste une possibilité non négligeable (certes, pour dans 2 ans minimum)
_ "l'outil", comment infecte-t-il une machine, en fait?

Accessoirement, ce n'est pas linux qui est attaqué, mais debian stable.
Debian est réputée pour sa stabilité, c'est vrai, mais aussi beaucoup pour le fait que la version stable ait des versions réellement anciennes des paquet...
notamment un kernel en retard: 2.6.32
Alors que la dernière est la 3.6, celle-ci n'est même pas packagée dans debian experimental (je l'ai dis: gel des paquets)

En outre, chaque distribution intègre ses propres correctifs aux kernels, ce qui signifie que d'une distro à l'autre, une "même version" d'un noyau n'aura pas les mêmes vulnérabilités.
4  0 
Avatar de Freem
Membre émérite https://www.developpez.com
Le 22/11/2012 à 14:03
Citation Envoyé par Pilru Voir le message

Bref, pour que ce rootkit soit déployé, il faut que la machine soit déjà compromise ou que root fasse n'importe quoi.
Citation Envoyé par crowdstrike
However, considering the code quality, a custom privilege escalation exploit seems very unlikely.
Effectivement.
Au final, les seuls à dire que ce sont des techniques avancées sont les gens de kaspersky, et encore, un commentaire sur leur site qualifie de "bullshit" ce truc.

Au final, le point "intéressant" semble être que certains s'attaquent à linux maintenant. Mais est-ce nouveau?
Les attaques ciblées sur windows ont plus pour but de prendre le contrôle de réseaux zombie.
Linux étant sur des serveurs en général, les attaques de ces zombies servent justement à casser du pingouin.
2  0 
Avatar de Pilru
Membre éclairé https://www.developpez.com
Le 22/11/2012 à 13:04
Il n'y a que root qui puisse ajouter un module kernel.
Vu qu'aucun depôt Debian, à ma connaissance, a été déclaré compromis, ce rootkit ne peut donc pas être installé via les paquets officiels.

Cela veut donc dire que :
Soit la machine infecté a une faille qui permet a n'importe qui d'avoir les droits root ou d'en connaitre le mot de passe, et a partir de là, copier le module et le charger;
Soit l'admin de la machine infectée a compilé/installé un soft provenant d'une source tiers ;

Bref, pour que ce rootkit soit déployé, il faut que la machine soit déjà compromise ou que root fasse n'importe quoi.
1  0 
Avatar de messinese
Membre éclairé https://www.developpez.com
Le 28/11/2012 à 9:31
Bonjour,

pour ceux dont la partie technique intéresse, des études apparaissent un peu partout sur la toile ou nombre de personnes ont étudiés son comportement et reversé son code sous IDA ce qui donne des analyses assez simpa comme ici ou encore la .

Bonne lecture à tous !
1  0 
Avatar de Teocali
Membre averti https://www.developpez.com
Le 22/11/2012 à 12:48
Je suis également interessé par plus d'information sur ce rootkit, et surtout sur les moyens de s'en proteger. Je vais passer sur Debian Sid (aussi connu sous le nom de Unstable... oui, j'aime le risque ) et je voulais savoir cette distro était vulnerable, ou si les versions actuels des paquets corrigent cette faille.
0  0 
Avatar de niuxe
Membre du Club https://www.developpez.com
Le 22/11/2012 à 22:28
http://www.developpez.com/actu/48642...sophistiquees/
0  0 
Avatar de niuxe
Membre du Club https://www.developpez.com
Le 23/11/2012 à 23:52
Citation Envoyé par dewind Voir le message
Je suis pas super super en linux. Mais j'aimerais bien savoir comment il se comporte se malotru. lol
Ca sent l'intox et la pub à plein nez.

@pilru : +1
2  2 
Avatar de ptah35
Membre éclairé https://www.developpez.com
Le 24/11/2012 à 16:47
Citation Envoyé par Pilru Voir le message
Il n'y a que root qui puisse ajouter un module kernel.
Ben oui, c'est pour ça que c'est un *Root*kit.... non, ne dites rien...
0  0 
Avatar de Katyucha
Expert confirmé https://www.developpez.com
Le 28/11/2012 à 9:25
On ne le répétera jamais assez... Root, c'est mal !
0  0 
Avatar de SurferIX
Membre chevronné https://www.developpez.com
Le 28/11/2012 à 16:36
Citation Envoyé par ptah35 Voir le message
Ben oui, c'est pour ça que c'est un *Root*kit.... non, ne dites rien...
Tu as le détail technique en Anglais ici.

Et comme un commentaire le précise si bien, c'est pourquoi je me pose des questions sur la validité de l'article : un rootkit est uniquement quelque chose qui permet de devenir root, et rien de plus, rien de moins. Une fois qu'on est root, là, oui, on peut "déposer" quelque chose comme ce programme. Il faut donc spécifier non pas comment le virus fonctionne, mais comment le rootkit fonctionne (deux fonctions, deux choses différentes).

Je recite :

BAReFOOtNovember 20, 2012 2:15 PM

How is this a “rootkit"? You didn’t mention *any* form of infection. Apparently it is just an application you manually have to start as root, which then hooks itself into the system like a rootkit.

Without infection mechanism, it’s not a rootkit. Let alone dangerous.

N'hésitez pas à me corriger si je me trompe.
0  0