Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Kobalos, la piccola ma insidiosa minaccia Linux
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza
Precedente :: Successivo  
Autore Messaggio
Zeus News
Ospite





MessaggioInviato: 08 Feb 2021 10:58    Oggetto: Kobalos, la piccola ma insidiosa minaccia Linux Rispondi citando

Leggi l'articolo Kobalos, la piccola ma insidiosa minaccia Linux



 

 

Segnala un refuso
Top
{liberitutti}
Ospite





MessaggioInviato: 10 Feb 2021 13:20    Oggetto: Rispondi citando

Come mai i fan di Linux, che non si lasciano scappare mai una occasione di sparare a zero su Windows in occasioni di simili eventi, non commentano mai quelli relativi a Linux?
Top
{Wiz}
Ospite





MessaggioInviato: 11 Feb 2021 01:02    Oggetto: Rispondi citando

Tralasciamo il fatto che si tratta di un malware che si basa su credenziali rubate e non su bug di sistema, e quindi su negligenze da parte di amministratori di sistema.
Nessun serio professionista ha mai detto che Linux è sicuro e Windows no. Un Linux mal configurato e/o mal gestito non è certamente meglio di un Windows tenuto come si deve.
Statisticamente si dice che ci sono tra i 15 e i 50 bug ogni 1000 linee di codice (alla prima stesura). Questo a prescindere dal sistema operativo o sistema su cui tale codice gira.
Il vantaggio principale di Linux (e dell'open source più in generale) sono i sorgenti pubblici, quindi migliaia di occhi che controllano, così i bug vengono scoperti e corretti in tempi rapidi.
Top
{Scafroglia}
Ospite





MessaggioInviato: 11 Feb 2021 10:13    Oggetto: Rispondi citando

@Wiz: ok ti cito il capitolo 3.2 initial compromise vector preso dal paper di ESET su Kobalos.
"We do not have firsthand knowledge of how systems were compromised to gain administrative access to install the Kobalos backdoor on them. We can only speculate based on the forensic artifacts we collected while assisting victims.On compromised machines whose system administrators were able to investigate further, we discovered that an SSH credential stealer was present in the form of a trojanized OpenSSH client. The /usr/bin/sshfile was replaced with a modified executable that recorded username, password and target hostname, and wrote them to an encrypted file. Thus, we believe that credential stealing could be one of the ways Kobalos propagates. It could also explain why many academic networks were compromised; if one of those system’s SSH clients was used by students or researchers from multiple universities, it could have leaked credentials to all these third-party systems.Another possible entry point could be exploitation of a known vulnerability. Some of the compromised machines ran old, unsupported, or unpatched operating systems and software. While the use of an undisclosed vulnerability isn’t impossible, a known exploit is more likely in this situation."

È quindi un trojan mascherato da client openSSH che viene installato in un qualche modo (social engineering? o altro) e che poi ruba le credenziali SSH... e, come descritto, sembra esserci dell'altro...
mi sembra in ogni caso piuttosto grave... non minimizzerei se fossi in te...
Top
{Wiz}
Ospite





MessaggioInviato: 11 Feb 2021 13:14    Oggetto: Rispondi citando

Ok, ma il punto "Some of the compromised machines ran old, unsupported, or unpatched operating systems and software" credo che ricada abbastanza bene nella categoria "negligenze da parte di amministratori di sistema". Anche l'utilizzo di client SSH presi a caso in giro per la rete non è proprio una gran furbata, è un po' come usare il lucchetto del mio magico diario segreto del cuore per chudere la cassaforte. Cioè, te la vai proprio a cercare, ma poi non si vada a dare la colpa a Linux, come peraltro non si deve darla a Windows, o alla cassaforte.
Ciò non vuol dire che non possano esserci in Linux bug ancora non noti che questo malware stia invece usando.
Top
SverX
Supervisor Macchinisti
Supervisor Macchinisti


Registrato: 25/03/02 11:16
Messaggi: 11559
Residenza: Tokelau

MessaggioInviato: 11 Feb 2021 19:30    Oggetto: Rispondi citando

peraltro se i sistemi erano vulnerabili, ci sta che qualcuno li abbia colpiti con l'intento di sostituire il client SSH con uno appositamente modificato... quindi non è neanche detto che uno andasse in giro per la rete a scaricare software a caso... Confused

comunque curiosa l'idea, forzo un sistema e non faccio razzia di tutti i segreti che ci sono dentro, lo uso per ottenere altri segreti! Cool
Top
Profilo Invia messaggio privato HomePage
{Wiz}
Ospite





MessaggioInviato: 11 Feb 2021 22:09    Oggetto: Rispondi citando

E a quel punto si esce dal mondo pseudo-reale e si entra in un meraviglioso CTF fine a se stesso :)
Top
Gladiator
Dio maturo
Dio maturo


Registrato: 05/12/10 20:32
Messaggi: 12755
Residenza: Purtroppo o per fortuna Italia

MessaggioInviato: 14 Feb 2021 16:22    Oggetto: Rispondi

SverX ha scritto:
[...]comunque curiosa l'idea, forzo un sistema e non faccio razzia di tutti i segreti che ci sono dentro, lo uso per ottenere altri segreti! Cool

Forse è una tecnica di mascheramento?
Se dopo aver forzato una sistema lo "ripulisco" chi lo gestisce facilmente si rende conto del problema e può intervenire, se invece resto silente e "aggredisco" solo chi si collega ho più tempo prima che mi scoprano e "ripulisco" più sistemi, può essere questa la ragione?
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi