Menéame: comentarios [3679370]

#17 Symbiote, el malware para Linux casi imposible de detectar: corrompe todos los programas abiertos y les impide 'chivarse'

yonky_n13 — Mon, 13 Jun 2022 10:19:31 +0000

#16 Después de ver,lo que lograron hacer en gentoo, estoy de acuerdo contigo en que no es algo para principiantes... pero si se ha conseguido por un lado, podría hacerse por el otro.
Si comprometes un repositorio con un tráfico considerable, puede infectar a muchos con una sola actualización; supongo también, que no debería durar más que el tiempo que tarden todos los demás repositorios, en "quejarse" de que los hashes no coinciden.
Ya podemos ir diciendo que Linux, ya no es lo que era....

» autor: yonky_n13

#16 Symbiote, el malware para Linux casi imposible de detectar: corrompe todos los programas abiertos y les impide 'chivarse'

Shotokax — Mon, 13 Jun 2022 07:15:15 +0000

#15 para "acceder" tendrían que poder firmar el paquete con la clave privada de Debian y además poder subirlo a los servidores. Puede ser que ocurra, pero es una tarea muy complicada a añadir al desarrollo del propio virus.

» autor: Shotokax

#15 Symbiote, el malware para Linux casi imposible de detectar: corrompe todos los programas abiertos y les impide 'chivarse'

yonky_n13 — Sun, 12 Jun 2022 11:52:05 +0000

#14 No hace mucho, "alguien" accedió de alguna manera al repositorio de gentó y las consecuencias pudieron ser enormes; se paró rápido pues gentoó tiene un sistema en el que se compila todo, pero imagínate que en un sistema como debían, por ponerte un ejemplo, si accede.n y logran comprometer la seguridad, incluyendo código malicioso en cualquier paquete de uso común, al día siguiente, tienes un problema pues cualquiera que actualice su sistema, recibirá ese código sin enterarse de nada (un usuario normal).
Un saludo.

» autor: yonky_n13

#14 Symbiote, el malware para Linux casi imposible de detectar: corrompe todos los programas abiertos y les impide 'chivarse'

Shotokax — Sun, 12 Jun 2022 09:57:05 +0000

#3 pero entonces el virus solo afectaría a ese usuario en concreto y no a todo el sistema.

#5 para eso tendrían que infiltrar a gente en el grupo que compila los paquetes supongo.

» autor: Shotokax

#13 Symbiote, el malware para Linux casi imposible de detectar: corrompe todos los programas abiertos y les impide 'chivarse'

Ithilwen2 — Sat, 11 Jun 2022 12:12:14 +0000

#el plural de virus es virus

» autor: Ithilwen2

#12 Symbiote, el malware para Linux casi imposible de detectar: corrompe todos los programas abiertos y les impide 'chivarse'

procrastinator — Sat, 11 Jun 2022 03:10:40 +0000

#7 www.intezer.com/blog/research/new-linux-threat-symbiote/

» autor: procrastinator

#11 Symbiote, el malware para Linux casi imposible de detectar: corrompe todos los programas abiertos y les impide 'chivarse'

drstrangelove — Sat, 11 Jun 2022 00:02:51 +0000

Yo uso linuz porque ejque no tiene birus, decían los caragranos.

» autor: drstrangelove

#10 Symbiote, el malware para Linux casi imposible de detectar: corrompe todos los programas abiertos y les impide 'chivarse'

Jakeukalane — Fri, 10 Jun 2022 22:18:34 +0000

#9 yo estoy usando GNU/Linux Manjaro en modo distendido y de momento no le ha entrado el COVID ni nada, que yo sepa.

» autor: Jakeukalane

#9 Symbiote, el malware para Linux casi imposible de detectar: corrompe todos los programas abiertos y les impide 'chivarse'

--633606-- — Fri, 10 Jun 2022 19:09:09 +0000

[Usuario deshabilitado]

» autor: --633606--

#8 Symbiote, el malware para Linux casi imposible de detectar: corrompe todos los programas abiertos y les impide 'chivarse'

ochoceros — Fri, 10 Jun 2022 18:24:40 +0000

#4 Podría ser una vulnerabilidad que tenga que ver con los PATH, como hace años pasaba en Windows con un Explorer.exe malicioso en carpetas distintas a las suya.

Si no se usa la ruta completa en todas y cada una de las llamadas/cargas, se puede dejar un archivo malicioso en otra ruta del PATH con más preferencia.

» autor: ochoceros

#7 Symbiote, el malware para Linux casi imposible de detectar: corrompe todos los programas abiertos y les impide 'chivarse'

txirrindulari — Fri, 10 Jun 2022 17:37:23 +0000

Alguna otra fuente sobre el tema?

» autor: txirrindulari

#6 Symbiote, el malware para Linux casi imposible de detectar: corrompe todos los programas abiertos y les impide 'chivarse'

Mustela — Fri, 10 Jun 2022 16:01:52 +0000

#5 Sí, pero para ello el usuario debería utilizar repositorios no oficiales, y eso que cada desarrollo es un mundo. Generalmente las herramientas GPL están bastante cuidadas pero es cierto que alguien podría meter la mano.

Yo utilizo Gentoo y no olvidaré nunca lo que sucedió hace 3 años, y aún con estas sigue siendo mi favorita: www.meneame.net/story/github-gentoo-comprometido-eng

Quien utilice repositorios no oficiales o se instale un pquete de una fuente desconocida o no fiable está en riesgo, pero no sólo por esto sino por cualquier otra infección. Ahora bien, ¿podría comprometerse un sistema bien montado si un usuario estándar sin permisos pretende ejecutar algo? Tengo dudas, pero con los casos expansivos de ciberataque y aprovechándose de alguna vulnerabilidad (o descuido) no me extrañaría tampoco.

» autor: Mustela

#5 Symbiote, el malware para Linux casi imposible de detectar: corrompe todos los programas abiertos y les impide 'chivarse'

yonky_n13 — Fri, 10 Jun 2022 15:44:21 +0000

#3 En una actualización infectada: es la manera más lógica que se me ocurre (hablo desde la ignorancia y seguramente,este equivocado)

» autor: yonky_n13

#4 Symbiote, el malware para Linux casi imposible de detectar: corrompe todos los programas abiertos y les impide 'chivarse'

chavi — Fri, 10 Jun 2022 15:39:22 +0000

Los archivos .so son bibliotecas dinámicas. Lo mismo que las .dll en Windows. Los ejecutables las cargan "sobre la marcha" cuando el código que necesitan ejecutar está ahí.

Supongo (porque la información tiende a 0) que todo pasa por sustituír un .so de uso común en el sistema por uno malicioso. No explican el vector de ataque.

el LD_PRELOAD unicamente indica de donde se debe cargar la biblioteca. Supongo que lo utilizarán para que los programas la carguen en lugar de la legítima....

» autor: chavi

#3 Symbiote, el malware para Linux casi imposible de detectar: corrompe todos los programas abiertos y les impide 'chivarse'

Mustela — Fri, 10 Jun 2022 15:14:18 +0000

#2 De alguna forma se tuvo que instalar ese software. Un usuario estándar no puede instalar esas bibliotecas pero quizá sí leerlas si de algún modo residen en su raíz o en un temporal y un ejecutable las carga gracias al "ld_preload".

Quien no instale ni descargue nada extraño no debería por qué preocuparse, al menos es la impresión que tengo.

» autor: Mustela

#2 Symbiote, el malware para Linux casi imposible de detectar: corrompe todos los programas abiertos y les impide 'chivarse'

Shotokax — Fri, 10 Jun 2022 15:02:57 +0000

En teoría, su nombre procede de su capacidad para funcionar sin ejecutables, limitándose a 'inyectarse' en los procesos en ejecución y convertirlos en maliciosos; esto es posible porque la carga 'viral' reside en una biblioteca con extensión .SO, que los procesos cargan porque los atacantes, previamente, han hecho uso de la variable de entorno LD_PRELOAD.

Lo que me pregunto es cómo cambia el valor de la variable sin ejecutar ningún proceso para ello.

» autor: Shotokax

#1 Symbiote, el malware para Linux casi imposible de detectar: corrompe todos los programas abiertos y les impide 'chivarse'

--456958-- — Fri, 10 Jun 2022 14:57:26 +0000

Jo jo jo… el lumpen usando Windows.. jojo, expuestos a mil viruses… jojojjj…
…
…
.. O-oh nooooo!!!!!!!!!!

» autor: --456958--