Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
|
Top |
|
|
{liberitutti} Ospite
|
Inviato: 10 Feb 2021 13:20 Oggetto: |
|
|
Come mai i fan di Linux, che non si lasciano scappare mai una occasione di sparare a zero su Windows in occasioni di simili eventi, non commentano mai quelli relativi a Linux? |
|
Top |
|
|
{Wiz} Ospite
|
Inviato: 11 Feb 2021 01:02 Oggetto: |
|
|
Tralasciamo il fatto che si tratta di un malware che si basa su credenziali rubate e non su bug di sistema, e quindi su negligenze da parte di amministratori di sistema.
Nessun serio professionista ha mai detto che Linux è sicuro e Windows no. Un Linux mal configurato e/o mal gestito non è certamente meglio di un Windows tenuto come si deve.
Statisticamente si dice che ci sono tra i 15 e i 50 bug ogni 1000 linee di codice (alla prima stesura). Questo a prescindere dal sistema operativo o sistema su cui tale codice gira.
Il vantaggio principale di Linux (e dell'open source più in generale) sono i sorgenti pubblici, quindi migliaia di occhi che controllano, così i bug vengono scoperti e corretti in tempi rapidi. |
|
Top |
|
|
{Scafroglia} Ospite
|
Inviato: 11 Feb 2021 10:13 Oggetto: |
|
|
@Wiz: ok ti cito il capitolo 3.2 initial compromise vector preso dal paper di ESET su Kobalos.
"We do not have firsthand knowledge of how systems were compromised to gain administrative access to install the Kobalos backdoor on them. We can only speculate based on the forensic artifacts we collected while assisting victims.On compromised machines whose system administrators were able to investigate further, we discovered that an SSH credential stealer was present in the form of a trojanized OpenSSH client. The /usr/bin/sshfile was replaced with a modified executable that recorded username, password and target hostname, and wrote them to an encrypted file. Thus, we believe that credential stealing could be one of the ways Kobalos propagates. It could also explain why many academic networks were compromised; if one of those system’s SSH clients was used by students or researchers from multiple universities, it could have leaked credentials to all these third-party systems.Another possible entry point could be exploitation of a known vulnerability. Some of the compromised machines ran old, unsupported, or unpatched operating systems and software. While the use of an undisclosed vulnerability isn’t impossible, a known exploit is more likely in this situation."
È quindi un trojan mascherato da client openSSH che viene installato in un qualche modo (social engineering? o altro) e che poi ruba le credenziali SSH... e, come descritto, sembra esserci dell'altro...
mi sembra in ogni caso piuttosto grave... non minimizzerei se fossi in te... |
|
Top |
|
|
{Wiz} Ospite
|
Inviato: 11 Feb 2021 13:14 Oggetto: |
|
|
Ok, ma il punto "Some of the compromised machines ran old, unsupported, or unpatched operating systems and software" credo che ricada abbastanza bene nella categoria "negligenze da parte di amministratori di sistema". Anche l'utilizzo di client SSH presi a caso in giro per la rete non è proprio una gran furbata, è un po' come usare il lucchetto del mio magico diario segreto del cuore per chudere la cassaforte. Cioè, te la vai proprio a cercare, ma poi non si vada a dare la colpa a Linux, come peraltro non si deve darla a Windows, o alla cassaforte.
Ciò non vuol dire che non possano esserci in Linux bug ancora non noti che questo malware stia invece usando. |
|
Top |
|
|
SverX Supervisor Macchinisti
Registrato: 25/03/02 11:16 Messaggi: 11559 Residenza: Tokelau
|
Inviato: 11 Feb 2021 19:30 Oggetto: |
|
|
peraltro se i sistemi erano vulnerabili, ci sta che qualcuno li abbia colpiti con l'intento di sostituire il client SSH con uno appositamente modificato... quindi non è neanche detto che uno andasse in giro per la rete a scaricare software a caso...
comunque curiosa l'idea, forzo un sistema e non faccio razzia di tutti i segreti che ci sono dentro, lo uso per ottenere altri segreti! |
|
Top |
|
|
{Wiz} Ospite
|
Inviato: 11 Feb 2021 22:09 Oggetto: |
|
|
E a quel punto si esce dal mondo pseudo-reale e si entra in un meraviglioso CTF fine a se stesso :) |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12755 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 14 Feb 2021 16:22 Oggetto: |
|
|
SverX ha scritto: | [...]comunque curiosa l'idea, forzo un sistema e non faccio razzia di tutti i segreti che ci sono dentro, lo uso per ottenere altri segreti! |
Forse è una tecnica di mascheramento?
Se dopo aver forzato una sistema lo "ripulisco" chi lo gestisce facilmente si rende conto del problema e può intervenire, se invece resto silente e "aggredisco" solo chi si collega ho più tempo prima che mi scoprano e "ripulisco" più sistemi, può essere questa la ragione? |
|
Top |
|
|
|
|
Non puoi inserire nuovi argomenti Non puoi rispondere a nessun argomento Non puoi modificare i tuoi messaggi Non puoi cancellare i tuoi messaggi Non puoi votare nei sondaggi
|
|