Несколько дней назад в списке рассылки Full Disclosure появилось сообщение об интересной вредоносной программе для Linux. Это очень любопытный образец – не только потому, что он предназначен для 64-разрядных платформ Linux и скрывает свое присутствие в системе с помощью хитроумных методов, но прежде всего из-за необычного функционала, связанного с заражением сайтов, размещенных на подвергшемся атаке HTTP-сервере. Таким образом, мы имеем дело с вредоносной программой, используемой для организации drive-by загрузок вредоносного ПО.

Вредоносный модуль создан специально для версии ядра 2.6.32-5-amd64. Это новейший вариант ядра, используемый в 64-разрядной системе Debian версии Squeeze. Исполняемый файл имеет размер более 500 кБ, но это связано с тем, что он был скомпилирован с отладочной информацией. Возможно, модуль находится на стадии разработки: создается впечатление, что некоторые функции не до конца отлажены или, может быть, еще не полностью реализованы.

Польская Invisible Things Lab (ITL), специализирующаяся в области защитных технологий, анонсировала первую рабочую версию ОС Qubes, использующей виртуализацию как средство изоляции потенциально уязвимых приложений и системных служб. По словам разработчиков, их финальное детище призвано обеспечить разумный уровень безопасности и ориентировано на продвинутых пользователей.

Qubes 1.0, как и все предыдущие версии, предназначена для использования в настольных ПК и построена на базе гипервизора Xen и стандартного окружения Fedora Linux. В отличие от прочих аналогов, число доверенных компонентов, рассаженных по строгим «песочницам» (виртуальным машинам), в ней сведено до практичного минимума. Пользователю предоставляется возможность разделить свою цифровую жизнь на целевые виртуальные зоны с разным уровнем конфиденциальности ― в терминологии разработчиков, security domains, поля безопасности. Пользователь сам решает, какие привилегии и политики безопасности назначить доменам «Личное», «Работа», «Торговля», «Банк» и т.п. Он может создавать также одноразовые виртуальные окружения (disposable VMs) ― например, для просмотра подозрительного файла, присланного по почте. Для удобства пользователей Qubes осуществляет вывод окон изолированных друг от друга приложений на единый рабочий стол.

Авторы проекта предупреждают, что, несмотря на многочисленные уровни защиты, предусмотренные в Qubes, ее присутствие не повышает безопасность автоматически. Решения по использованию возможностей, предоставляемых новой ОС, принимает сам пользователь. Загрузить установочный образ и ознакомиться с руководством по инсталляции можно на специализированной странице.

Рыночная доля! Это очевидный, но не единственный возможный ответ.

По различным оценкам в 2011 году на долю компании Apple приходилось более 5% персональных компьютеров/ноутбуков по всему миру. Это достаточно серьезная доля рынка: ОС Linux установлена менее чем на 2% всех компьютеров, а доля Google ChromeOS и того меньше. Достижение компьютерами на базе Mac OS максимального уровня популярности за последние 15 лет совпало по времени с появлением атак с использованием фальшивых антивирусов, нацеленных на компьютеры Apple. Мы обнаружили атаку и написали о ней в блоге в апреле, а потом снова в мае 2011 года. Теперь это совпадение уже не кажется странным. Кстати, то, что вредоносное ПО для компьютеров Apple стало распространенным именно сейчас, скорее всего, не связано с тем, что раньше не было эксплойтов для Apple или с тем, что в системе Mac OS X уделяется какое-то особенное внимание безопасности. Во время «Месяца багов Apple» (Month of Apple Bugs), прошедшего в 2007 году, было показано, что Mac OS X и код, написанный для этой системы, полны уязвимостей, которые злоумышленники вполне могут использовать. На хакерских конкурсах регулярно создаются эксплойты для Safari, Quicktime и других программ, установленных на устройствах Apple. И все же до прошлого года система не привлекала внимания широких масс киберпреступников.

Согласно результатам опроса, проведенного Антифишинговой рабочей группой (Anti-Phishing Working Group, APWG), подавляющее большинство легальных сайтов, задействованных в фишинговых атаках, в качестве операционной среды используют open-source платформу LAMP (Linux, Apache, MySQL, PHP).

APWG приступила к анкетированию в конце 2009 года; к апрелю 2011-го активисты опросили 270 веб-мастеров, пострадавших от взлома. Как оказалось, составными компонентами архитектуры сетевых ресурсов, оккупированных фишерами, являются, как правило, ОС Linux (76% респондентов), сервер Apache (81%), СУБД-приложение MySQL (87%) и система разработки PHP/Java (82%).

В 84% случаев злоумышленники использовали взломанный ресурс для создания фишингового сайта или размещения поддельных страниц, 24% вторжений имели целью размещение вредоносного ПО. При этом четверть участников опроса не смогли точно сказать, когда и как непрошеные гости проникли на их территорию. 52% пострадавших обнаружили взлом, получив уведомление от антифишинговой организации, 18% были предупреждены хостинг-провайдером, 19% ― жертвой фишинга. Лишь 6% опрошенных зафиксировали инцидент, изучая логи веб-сервера, 16% отследили измененные файлы, а 4% получили сигнал от IDS, антивируса или иной защитной системы.

APWG отмечает, что представленная статистика [PDF 548 Кб] ― лишь предварительные результаты. Полный анализ собранного материала и соответствующие рекомендации будут опубликованы позднее.

Почти половина дефектов, которые компания Coverity обнаружила в open-source продуктах, способны вызвать фатальный сбой или поставить под угрозу безопасность системы.

Coverity уже несколько лет регулярно тестирует открытые исходники. Эти исследования проводятся в рамках проекта, запущенного по инициативе Департамента внутренней безопасности США. В текущем году эксперты проанализировали свыше 290 популярных продуктов, включая Android, Linux, Apache, Samba и PHP. 45% программных ошибок, выявленных при сканировании, были классифицированы как весьма серьезные. Разработчики коммерческого ПО обычно отслеживают и исправляют такие дефекты, прежде чем продукт попадет на рынок.

Особое внимание в отчете Coverity уделено результатам тестирования ядра Linux для платформы Android. В качестве образца была взята версия 2.6.32, которая используется в таких смартфонах, как HTC Droid Incredible. Проверка ядра обнаружила 359 программных ошибок, что ниже среднестатистического показателя для кодов аналогичной величины. Однако четверть этих ошибок признаны очень опасными. Эксперты планируют провести повторные испытания данного продукта и опубликовать обновленные результаты.

Ознакомиться с полной версией отчета Coverity можно, зарегистрировавшись на сайте компании.

Учитывая, что мой предыдущий пост был принят в штыки многими линуксоидами, думаю, будет логично рассмотреть более подробно указанный пример, тем более что на днях к нам поступила новая модификация Trojan-Dropper.Linux.Prl.

Trojan-Dropper.Linux.Prl.b

Имя файла: ob.pl. Тип файла: ELF. Обнаружен пользователем на своём сервере после публикации предыдущего блогпоста. Принцип работы остался прежний — создание процесса «/usr/bin/perl» и передача ему через pipe Perl-скрипта.

Сам скрипт хранится в теле трояна в зашифрованном виде. Алгоритм расшифровки при этом выглядит так:

Алгоритм расшифровки Perl-скрипта.

Основная цель работы расшифрованного Perl-скрипта — рассылка спама.

Времена мифов о безопасности *nix-систем и отсутствия для них вирусов и других вредоносных программ давно прошли. Очередным подтверждением этого тезиса стали троянцы Trojan-Mailfinder.Perl.Hnc.a и Trojan-Dropper.Linux.Prl.a.

Первый представляет собой Perl-скрипт, подключающийся к командному серверу для получения текста спам-сообщения и списка получателей этого сообщения:

Perl-скрипт рассылающий спам

Второй троянец является исполняемым файлом для Linux и FreeBSD. Файл расшифровывает Perl-скрипт, запускает интерпретатор Perl и передаёт ему получившийся скрипт:

Расшифровка и запуск Perl-скрипта

В субботу в Висбадене (Германия) завершилась выставка Linuxtag 2006. Согласно утверждениям организаторов, это самая большая в Европе выставка, посвященная Linux. После разговоров с посетителями стенда «Лаборатории Касперского» мы неожиданно осознали главную угрозу безопасности Linux-систем — всеобщую уверенность в неуязвимости Linux.

Практически все посетители признавали необходимость защиты Windows от вредоносных программ (правда, даже на посвященной Linux выставке встречались люди, уверенные, что для защиты от вирусов и червей достаточно межсетевого экрана), но мало кто всерьез воспринимал необходимость подобной защиты для Linux — в конце концов, говорили они, пользователь Linux никогда не выходит в сеть с правами администратора подобно большинству пользователей Windows XP.

Но в этой точке зрения есть несколько серьезных недочетов:

• для того, чтобы удалить пользовательскую папку или получить доступ к пользовательской информации права администратора и не нужны — достаточно запустить вредоносную программу с правами пользователя (и далеко не все пользователи ежедневно осуществляют резервное копирование важной информации);
• количество вредоносных программ для операционной системы определяется не числом уязвимостей в этой операционной системе, а числом ее пользователей; в Германии число пользователей Linux быстро растет, и количество вредоносных программ для этой ОС более чем удвоилось за 2005-й год;
• для получения доступа к системе вирусописателю не нужно 300 уязвимостей — вполне достаточно одной;
• уязвимости существуют и до того, как их обнаруживают — вирусописатели постоянно ищут новые уязвимости, но предпочитают умалчивать о своих находках;
• только идеальная система может обладать идеальной безопасностью; в книге «Areas for Improvement in the 2.6 Kernel Development Process» Эндрю Мортон (Andrew Morton, ведущий разработчик ядра Linux) утверждает, что количество ошибок в текущей версии ядра 2.6 заставляет разработчиков задуматься над приостановкой дальнейшего развития системы до тех пор, пока все найденные ошибки не будут исправлены.

Не поймите меня неправильно — Linux, разумеется, более защищена, чем средняя стандартная машина под управлением Windows. Причиной тому обязательное разделение на пользователей и администраторов, относительно небольшое число работающих под Linux компьютеров и быстрая реакция на обнаруживаемые уязвимости. И сейчас, учитывая скромное число вредоносных программ для Linux, установка на Linux-компьютер антивирусного сканера это не более чем жест доброй воли в отношении пользователей Windows, с которыми вы часто обмениваетесь файлами. Но если на основании этого большинство пользователей Linux сделает вывод о принципиальной неуязвимости своей ОС, то это приведет лишь к упрощению задачи распространения вредоносных программ для Linux в будущем.

Обратимся к историческим примерам: в 2000 году червь VBS.Loveletter заразил все незащищенные компьютеры под управлением Windows в мире всего за несколько часов. Да, на данный момент ничего похожего в мире Linux не происходило. Но вот вопрос: когда это все-таки случится, успеют ли пользователи подверженных вирусной атаке компьютеров выбрать и установить себе надежный антивирус?

Сегодня утром в интернете появился новый червь для Linux — это уже второй новый червь для Linux за последние пару месяцев (первым был Net-Worm.Linux.Lupper).

Червь получил название Net-Worm.Linux.Mare.a. Для своего распространения Mare.a использует php include. Вместе с червем также распространяется новая версия IRC-бота Backdoor.Linux.Tsunami.

Несколько лет назад я впервые поехал на конференцию по Linux. Помню, мне сразу бросилась в глаза общая неформальная атмосфера: посетители прямо на лекциях разговаривали, пили пиво и пытались взломать ноутбук выступавшего через Wi-Fi посредством обнаруженной тремя днями ранее уязвимости в SSH. Позже я узнал, что подобное поведение норма на конференциях по Linux/Unix, но для новичка это выглядело диковинно.

Одна из презентаций посвящалась вредоносным программам для Unix, в частности — для Linux. Выступавший проанализировал несколько широко известных вирусов, руткитов и бэкдоров для Linux, но обошел стороной сетевые черви. Под конец своего доклада автор отметил, что черви для Linux не просто возможны, но совершенно неминуемо появятся в будущем и станут не менее распространенными, чем, например, CodeRed. Утверждение было встречено явным (то есть, довольно громким) несогласием аудитории, напомнившей выступавшему, что Linux безопаснее Windows и червь вроде CodeRed в принципе не может появиться в Linux. Выступавший вздохнул, но спорить не стал — ему все было и так ясно.

Несколько дней назад наша система мониторинга сети Smallpot стала регистрировать флуд пакетов на 80-м порту. Поскольку в них не содержалось ни кода shell, ни кода переполнения буферов, то система автоматически присвоила им степень «низкой опасности» и отправила в архив. Но вскоре мы заметили, что с этими пакетами все же что-то не так. Обычно мы получаем огромное количество элементарных HTTP-запросов на 80-й порт — спамеры ищут открытые прокси-серверы или иные возможности для рассылки своих писем — но встретить червя, размножающегося через уязвимость на 80-м порту (HTTP) без использования переполнения буфера довольно трудно.

Однако именно так устроен Net-Worm.Linux.Lupper. Червь представляет собой статично скомпилированный ELF-бинарник, способный работать на большинстве систем и укомплектованный набором эксплойтов, предназначенных для уязвимых версий файлов xmlrpc.php и awstats.pl. Файлы эти встречаются во множестве дистрибутивов Linux (в частности, в Gentoo, Mandriva, Slackware, Debian и Ubuntu), а также в старых версиях популярного веблог-пакета WordPress.

Стоит отметить, что встроенная в новейшие процессоры AMD и Intel «железная» защита от переполнения буфера (так называемый NX/XD bit) бесполезна в отражении подобных атак и неспособна защитить компьютер от заражения червем Lupper, что еще раз доказывает несостоятельность рекламирования этой функции как «конец всем вирусам».

Детектирование червя Lupper.a было добавлено в базы антивируса 6 ноября. Вариант «b» стал перехватываться Антивирусом Касперского 9 ноября. Разумеется, Антивирус Касперского для Linux File Servers с запущенной постоянной защитой предотвращает заражение червем Lupper.