Dr Web warnt vor Mac- und Linux-Trojaner

[Annika_Kremer]

Das russische IT-Sicherheits-Unternehmen Dr Web warnt vor einem neuen Trojaner, der Passwörter für diverse Websites auslesen kann. Das Besondere: der als "BackDoor.Wirenet.1" bezeichnete Schädling funktioniert sowohl unter Linux als auch unter Mac OS X und ist somit der erste bekannte Trojaner, der beide mit Unix verwandten Betriebssysteme angreifen kann.

zur News

[linuxhacker]

Ich sage nur eins, wenn sich ein Keylogger unter Linux verbereiten kann sitzt das Problem vor dem PC und nicht im.
Vergessen darf man auch nicht, das dann nicht der Ganze PC betroffen sein wird (dauer Root User mal ausgeschossen), nur der User an sich was bei Windows in aller Regel anders sein wird.
Achja und Apparmor sollte dem ganzen in aller regel wiso ein Riegel vorschieben.

[HouseKatZe]

Ich sage nur eins, wenn sich ein Keylogger unter Linux verbereiten kann sitzt das Problem vor dem PC ...

Naja... Die Zeit der Linux-Trojaner/Würmer wird schon noch kommen.

Vergessen darf man auch nicht, das dann nicht der Ganze PC betroffen sein wird (dauer Root User mal ausgeschossen) ...

Das Passwort des Benutzers (um sudo zu verwenden) ist nicht wirklich schwer herauszufinden... Sei es durch lokale Exploits, Social Engineering oder dem einfachen "austricksen" des Benutzers, z.B. indem man im richtigen Augenblick einen Fenster-Dialog erstellt der dem von gksu/gksudo ähnelt. Man muss nur kreativ sein...

Und wenn man schon mal auf dem System drauf ist, sind root-Rechte im Prinzip zweitrangig. Der Trojaner kann auch so vom Home-Verzeichnis lesen, sich in den Autostart eintragen und DDoS Attacken ausführen (mit ein wenig Einschränkung vielleicht weil man für raw-sockets root-Rechte benötigt)

Achja und Apparmor sollte dem ganzen in aller regel wiso ein Riegel vorschieben.

Ja, und am Besten lässt man Browser, E-Mail Client und Instant Messenger unter eigenen Benutzern laufen und nimmt ihnen die Rechte andere Home-Verzeichnisse zu lesen. Oder man nutzt einfach gleich direkt Qubes OS

[Rsistor]

Höchste Zeit die Unix-Systeme mal auszuprobieren. Zwischen Linux und Unix gibt es ein paar Unterschiede.

[HouseKatZe]

Zwischen Linux und Unix gibt es ein paar Unterschiede.

Ja. Linux != Unix (die beiden haben aber einen kleinsten gemeinsamen Nenner: Standards!)

Ob nun Windows, Linux oder BSD ist eigentlich egal. Solange die einzelnen Prozesse nicht wirklich getrennt von einander laufen wird man solche 'Probleme' für immer und ewig haben. Da hilft auch kein Schlangenöl wie Dr Web.

[linuxhacker]

Naja... Die Zeit der Linux-Trojaner/Würmer wird schon noch kommen.


Das Passwort des Benutzers (um sudo zu verwenden) ist nicht wirklich schwer herauszufinden... Sei es durch lokale Exploits, Social Engineering oder dem einfachen "austricksen" des Benutzers, z.B. indem man im richtigen Augenblick einen Fenster-Dialog erstellt der dem von gksu/gksudo ähnelt. Man muss nur kreativ sein...

Und wenn man schon mal auf dem System drauf ist, sind root-Rechte im Prinzip zweitrangig. Der Trojaner kann auch so vom Home-Verzeichnis lesen, sich in den Autostart eintragen und DDoS Attacken ausführen (mit ein wenig Einschränkung vielleicht weil man für raw-sockets root-Rechte benötigt)


Ja, und am Besten lässt man Browser, E-Mail Client und Instant Messenger unter eigenen Benutzern laufen und nimmt ihnen die Rechte andere Home-Verzeichnisse zu lesen. Oder man nutzt einfach gleich direkt Qubes OS

1. Wie unter Windows? Nein. Aber Kein System ist 100 % Sicher. Doch das Linux Rechte System, AppArmor und der gleichen sollten schon in der Standard Konfiguration eine Menge abwenden können.
Social Engineering und austricksen ist denkbar, aber da wären wir wieder bei meinem Argument

2.Nun ich überwache Ständig meine Prozesse und eth0 ;D, daher würde mir das sofort auffallen.
Natürlich bin ich als System Administrator und Programmierer nicht der Otto Normal User, der wird wohl eher nicht alles immer überwachen und könnte so leicht die übernahme seines Systems übersehen
3. Was denn Browser angeht der läuft bei mir tatsächlich in einer chroot, sonst übertreibe ichs nicht.

Kenne deinen Feind ist meine Devise.

Doch dass alles geht nur wenn das Teil auf das System kommt, und dass muss erst-mal passieren.
PoC Viren Würmer und etc, sind ja nicht ohne Grund nur im Labor, linux (und andere Unix Devirante) machens halt einem nicht so leicht wie das Produkt aus Remond...

Mal gucken was Dr.Web noch alles über diesen kleinen zu Tage fördert der Infektions Weg würde mich interessieren.

[mathmos]

Das Besondere: der als "BackDoor.Wirenet.1" bezeichnete Schädling funktioniert sowohl unter Linux als auch unter Mac OS X und ist somit der erste bekannte Trojaner, der beide mit Unix verwandten Betriebssysteme angreifen kann.

Im Grunde genommen nichts neues. Getshell.A ist z. B. für Windows, Mac und Linux ausgelegt.

2.Nun ich überwache Ständig meine Prozesse und eth0 ;D, daher würde mir das sofort auffallen.
Natürlich bin ich als System Administrator und Programmierer nicht der Otto Normal User, der wird wohl eher nicht alles immer überwachen und könnte so leicht die übernahme seines Systems übersehen

Du protokollierst und analysierst jeglichen Traffic?

[ponal]

bin ich der einzigste der linuxhacker für einen freak hält? es kan nicht jeder das tun was du tust und am ende sollen die user immer schuld sein wenn etwas schief geht? das ist doch humbug. sicher ist der user schuld wenn er sich einen virus einfängt aber viel schuldiger sind die verbreiter dieser dinge.

[linuxhacker]

bin ich der einzigste der linuxhacker für einen freak hält? es kan nicht jeder das tun was du tust und am ende sollen die user immer schuld sein wenn etwas schief geht? das ist doch humbug. sicher ist der user schuld wenn er sich einen virus einfängt aber viel schuldiger sind die verbreiter dieser dinge.

Ein Freak? Danke für das Kompliment.
Der Verbeiter bzw die Programierer der Software tragen natürlich auch eine Mitschuld, dennoch sollte ein User (selbst ein Dau) in der Lage sein ein Mindestmaas an Sicherheit und Menschenverstand an den Tag legen.
Ich selbst schreibe "exploits" und teste sie dann z.b Metasploit, wenn aber jemand mit diesem Code Schnipsel scheiße baut bin ich dafür nicht verantwortlich.
Das ist jedenfalls meine Auffassung.

@mathmos
Soweit es möglich ist achte ich auf Schwankungen und auf Auffälligkeiten.

[HouseKatZe]

1. Wie unter Windows? Nein.

Möglich wäre das allemal. Siehe Trojan BackDoor.Flashback und die derzeitige Java 0-Day Lücke. Selbst das ausnutzen "nativer" Lücken ist ohne weiteres im großen Maßstab möglich. Dass es nicht passiert liegt vermutlich daran, dass Linux so einen kleinen Marktanteil hat.

Doch das Linux Rechte System, AppArmor und der gleichen sollten schon in der Standard Konfiguration eine Menge abwenden können.

Das Rechtesystem ist doch vollkommen egal, solange die Angreifer nicht gerade vorhaben ein Rootkit (oder Ähnliches, was root-Rechte benötigt) auf deinem System zu installieren. Wie gesagt, es reicht, dass die Angreifer es schaffen beliebigen Code auf deinem System auszuführen. Ob nun als root oder normaler Benutzer ist da nicht weiter relevant. Vorallem wenn das System nur von einem Benutzer genutzt wird.

AppArmor (für Firefox) ist aber (unter Ubuntu) nicht teil der Standardkonfiguration! Das Profil für Firefox ist von Haus aus deaktiviert.

2.Nun ich überwache Ständig meine Prozesse und eth0 ;D, daher würde mir das sofort auffallen.

Das glaubst du doch selbst nicht. Woher willst du denn legitime Prozesse und legitimen Traffic von "bösem" unterscheiden? Meiner Meinung nach ist das nicht möglich, zumindest nicht zuverlässig.

Um die Prozesse zu überwachen bräuchte man ein Virescanner-artiges programm welches alle laufenden Prozesse überwacht. Also bräuchte man wiederum Signaturen und Heuristik. Schlangenöl, einfach zu umgehen....

Um den Traffic zu überwachen könnte man ein Intrusion Detection System nutzen. Der Nutzen von einem IDS ist aber fraglich, da es erstens die gleichen Probleme wie ein Virenscanner hat (Signaturen, Heuristik) und zweitens den Angreifern mehr Angriffsfläche auf deinem System bietet. Davon abgesehen ist der Traffic des Trojaners Verschlüsselt was einem IDS die Arbeit erschweren bzw. gänzlich unmöglich machen dürfte.

3. Was denn Browser angeht der läuft bei mir tatsächlich in einer chroot, sonst übertreibe ichs nicht.

Den Browser unter einem anderen Benutzer auszuführen wäre vermutlich die bessere Wahl da ein chroot nur für das Dateisystem gilt! Ein chroot als einzige Sicherheitsmaßnahme zu nutzen reicht bei weitem nicht aus um ein Maximum an Sicherheit zu erlangen (das solltest du als Admin doch eigentlich wissen).

Kenne deinen Feind ist meine Devise.

Tja. Nur leider weißt du weder über deine 'Feinde' noch den Infizierungsweg irgendetwas. Ohne Newsartikel wie diesen hier wüsstest du wahrscheinlich nicht mal, dass solch ein Trojaner derzeit im Umlauf ist.

Doch dass alles geht nur wenn das Teil auf das System kommt, und dass muss erst-mal passieren.
PoC Viren Würmer und etc, sind ja nicht ohne Grund nur im Labor, linux (und andere Unix Devirante) machens halt einem nicht so leicht wie das Produkt aus Remond...

Wie du anhand dieser News siehst bleibt es aber leider nicht bei Proof of Concepts oder "Laborwürmern".

Mal gucken was Dr.Web noch alles über diesen kleinen zu Tage fördert der Infektions Weg würde mich interessieren.

Ich denke da wird es bessere Quellen als eine unbekannte Schlangenöl-Ware-Firma geben.

... dennoch sollte ein User (selbst ein Dau) in der Lage sein ein Mindestmaas an Sicherheit und Menschenverstand an den Tag legen.

Und wie sollte soetwas in der Praxis dann aussehen? Solange der Browser unter dem gleichen User wie der Rest der Anwendungen läuft wird es auch immer solche Probleme geben! Meiner Meinung nach hilft nur eine strikte Trennung wie es z.B. bei Qubes OS der Fall ist!

Ich selbst schreibe "exploits" und teste sie dann z.b Metasploit, wenn aber jemand mit diesem Code Schnipsel scheiße baut bin ich dafür nicht verantwortlich.

Direkt bist du dafür nicht verantwortlich. Indirekt aber auf jeden Fall!

Soweit es möglich ist achte ich auf Schwankungen und auf Auffälligkeiten.

Yeah, right...


PS: https://en.wikipedia.org/wiki/Linux_malware

[mathmos]

@mathmos
Soweit es möglich ist achte ich auf Schwankungen und auf Auffälligkeiten.

Das bringt meiner Meinung nach recht wenig. Passwörter zu übertragen ist eine Sache von Sekunden. Wenn überhaupt. Wie willst du also nur durch das Achten auf Schwankungen und Auffälligkeiten herausfinden, ob z. B. bei einem geöffneten Browser nur der Browser sendet oder eben auch etwas anderes? Ohne genauere Analyse dürfte das unmöglich sein.

[HouseKatZe]

Ohne genauere Analyse dürfte das unmöglich sein.

Selbst mit Analyse dürfte das schwer werden. Zum Beispiel indem der Trojaner nur Traffic produziert wenn andere Programme gerade auch etwas senden.

Es gab da mal einen Fall wo eine Botschaft mit einem Trojaner infiziert wurde und sie es über Jahre nicht gemerkt haben. Unter anderem weil der Trojaner seinen Traffic in legitimen Traffic 'versteckte'. Ich meine das wurde in Alternativlos 25 erwähnt.

[markantelli]

Ein Freak? Danke für das Kompliment.

Eher ein Schwätzer. Warum muss sich ein Keylogger eigentlich "im ganzen PC ausbreiten"? Es würde doch reichen, wenn er im Kontext des Benutzers läuft und sämtliche Passworteingaben loggt.
Beim nächsten Systemstart ist der dann vielleicht nicht mehr aktiv. Aber bekanntermaßen laufen Linuxs-Systeme ja sehr stabil und lange. (<-Vorsicht Ironie...)


Der Rest dürfte ebenfalls in den Bereich Windows-Bashing fallen. Erklärt Housekatze in Beitrag 10 ja schon ganz gut. Dank UAC könnte sich ein derartiges Schadprogramm auch unter Windows nicht mehr einfach so installieren. Was die direkte Ausführung anbelangt, gibt es hier aber keinen Unterschied zu "Linux".

Und wer meint, sich auf (Schutz-)Software verlassen zu können, der ist eh (von allen guten Geistern) verlassen. Erst recht ein Systemadministrator.

[linuxhacker]

Möglich wäre das allemal. Siehe Trojan BackDoor.Flashback und die derzeitige Java 0-Day Lücke. Selbst das ausnutzen "nativer" Lücken ist ohne weiteres im großen Maßstab möglich. Dass es nicht passiert liegt vermutlich daran, dass Linux so einen kleinen Marktanteil hat.


Das Rechtesystem ist doch vollkommen egal, solange die Angreifer nicht gerade vorhaben ein Rootkit (oder Ähnliches, was root-Rechte benötigt) auf deinem System zu installieren. Wie gesagt, es reicht, dass die Angreifer es schaffen beliebigen Code auf deinem System auszuführen. Ob nun als root oder normaler Benutzer ist da nicht weiter relevant. Vorallem wenn das System nur von einem Benutzer genutzt wird.

AppArmor (für Firefox) ist aber (unter Ubuntu) nicht teil der Standardkonfiguration! Das Profil für Firefox ist von Haus aus deaktiviert.



Das glaubst du doch selbst nicht. Woher willst du denn legitime Prozesse und legitimen Traffic von "bösem" unterscheiden? Meiner Meinung nach ist das nicht möglich, zumindest nicht zuverlässig.

Um die Prozesse zu überwachen bräuchte man ein Virescanner-artiges programm welches alle laufenden Prozesse überwacht. Also bräuchte man wiederum Signaturen und Heuristik. Schlangenöl, einfach zu umgehen....

Um den Traffic zu überwachen könnte man ein Intrusion Detection System nutzen. Der Nutzen von einem IDS ist aber fraglich, da es erstens die gleichen Probleme wie ein Virenscanner hat (Signaturen, Heuristik) und zweitens den Angreifern mehr Angriffsfläche auf deinem System bietet. Davon abgesehen ist der Traffic des Trojaners Verschlüsselt was einem IDS die Arbeit erschweren bzw. gänzlich unmöglich machen dürfte.


Den Browser unter einem anderen Benutzer auszuführen wäre vermutlich die bessere Wahl da ein chroot nur für das Dateisystem gilt! Ein chroot als einzige Sicherheitsmaßnahme zu nutzen reicht bei weitem nicht aus um ein Maximum an Sicherheit zu erlangen (das solltest du als Admin doch eigentlich wissen).


Tja. Nur leider weißt du weder über deine 'Feinde' noch den Infizierungsweg irgendetwas. Ohne Newsartikel wie diesen hier wüsstest du wahrscheinlich nicht mal, dass solch ein Trojaner derzeit im Umlauf ist.


Wie du anhand dieser News siehst bleibt es aber leider nicht bei Proof of Concepts oder "Laborwürmern".


Ich denke da wird es bessere Quellen als eine unbekannte Schlangenöl-Ware-Firma geben.


Und wie sollte soetwas in der Praxis dann aussehen? Solange der Browser unter dem gleichen User wie der Rest der Anwendungen läuft wird es auch immer solche Probleme geben! Meiner Meinung nach hilft nur eine strikte Trennung wie es z.B. bei Qubes OS der Fall ist!


Direkt bist du dafür nicht verantwortlich. Indirekt aber auf jeden Fall!


Yeah, right...



PS: https://en.wikipedia.org/wiki/Linux_malware

Interessante Ansichten.

Allerdings weise ich das zurück:

"
Tja. Nur leider weißt du weder über deine 'Feinde' noch den Infizierungsweg irgendetwas. Ohne Newsartikel wie diesen hier wüsstest du wahrscheinlich nicht mal, dass solch ein Trojaner derzeit im Umlauf ist. "

Es ist immer einfach über einen Menschen etwas aus zusagen den man nicht kennt.
Ich habe andere Ansichten die für dich vielleicht Unschlüssig sind, aber ich glaube an meine Erfahrung und mein Wissen.

Und nur zu Information, ich kannte das ganze schon seit 3/4 Tagen... (ich lese *oh wunder* auch nicht deutsche Seiten)
Außerdem tauchte das auch sehr schnell in diversen Mailinglisten auf in denen ich aktiv bin.
@markantelli
Anmaßend. Besonders von jemanden der von den Mods schon was zu hören bekommen hat.. *zwinker*

Was Windows 7 angeht mit seinem UAC: nur mal ein Kleines Beispiel..
http://www.youtube.com/watch?v=QYlBxraYVYw

Ich kann Semper Video ja sonst nicht leiden aber ganz interessant.

Nun isch schwätze mich ma von dannen wa? Guten Abend Leute

[widarr]

Die News tangiert mich nur peripher.

Dass jedes System hijackbar, genauso wie ein zB nicht abgesperrtes Baustellenfahrzeug mit Zündschlüssel hijackbar ist

Nur reinkommen muss man mal, und das dürfte schwer sein, wenn die üblichen Infektionsquellen wegfallen und die meisten User ihre Software vom Distributor beziehen.

GNU/Linux würde selbst bei gleicher Desktopverbreitung niemals so einen Durchseuchungsgrad erreichen, wie bei Betriebssystemen wo man Software aus dubiosen Quellen bezieht.

[HouseKatZe]

Es ist immer einfach über einen Menschen etwas aus zusagen den man nicht kennt.
Ich habe andere Ansichten die für dich vielleicht Unschlüssig sind, aber ich glaube an meine Erfahrung und mein Wissen.

Dann überprüfe mal weiter deine Prozesse und deinen Traffic, ohne zu wissen wonach du suchen musst (darauf wollte ich hinaus).

Was Windows 7 angeht mit seinem UAC: nur mal ein Kleines Beispiel..
http://www.youtube.com/watch?v=QYlBxraYVYw

Du scheinst weder die Kommentare gelesen zu haben noch es selbst ausprobiert zu haben. Auf meinem Windows 7 Testsystem musste ich bevor ich den Task Scheduler starten kann eine UAC-Abfrage bestätigen.

[linuxhacker]

Dann überprüfe mal weiter deine Prozesse und deinen Traffic, ohne zu wissen wonach du suchen musst (darauf wollte ich hinaus).


Du scheinst weder die Kommentare gelesen zu haben noch es selbst ausprobiert zu haben. Auf meinem Windows 7 Testsystem musste ich bevor ich den Task Scheduler starten kann eine UAC-Abfrage bestätigen.

Ausprobiert habe ich es nicht (k.b dafür vmware zu bemühen) die Kommentare habe ich allerdings nicht gelesen, stimmt.

//EDIT
Der Traum von einem Crossplatform Trojaner/Virus WhatEver ist aufgeräumt:

Heise sei dank

http://www.heise.de/security/meldung...g-1697079.html