Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

HiddenWasp : un programme malveillant détecté sur Linux,
Capable de contrôler totalement les machines infectées

Le , par Bruno

100PARTAGES

22  0 
Lorsque les acteurs de la menace obtiennent l’accès à un système, ils ont habituellement le désir de perpétrer cet accès et de le rendre bien plus simple et facile. Pour y parvenir, une porte dérobée peut être installée par l’attaquant pour rendre possibles les futurs accès. Les chercheurs d'Intezer ont découvert la semaine dernière une porte dérobée sous Linux surnommée HiddenWasp. Selon les chercheurs, cette porte dérobée est une suite de programmes comprenant un cheval de Troie, un rootkit et un script de déploiement initial.

Différents des autres programmes malveillants s’exécutant sous Linux, le code et les preuves collectées montrent que les ordinateurs infectés ont déjà été préalablement compromis par ces mêmes acteurs de la menace. L’exécution de HiddenWasp serait donc une phase avancée dans la chaîne de destruction de cette menace. Bien que l’article indique qu’on ne sait pas combien d’ordinateurs ont été infectés ni comment les étapes précédentes ont été déroulées, il convient de noter tout de même que la plupart des programmes du type backdoors sont installés en cliquant sur un objet (lien, image ou fichier exécutable), cela sans que l'utilisateur ne se rende compte que c'est une menace.


L’ingénierie sociale qui est une forme d’attaque utilisée par les chevaux de Troie pour tromper les victimes en les incitant à installer des suites de logiciels tels que HiddenWasp sur leurs ordinateurs ou équipements mobiles pourrait être la technique adoptée par ces attaquants pour atteindre leur cible. « Les logiciels malveillants sous Linux encore inconnus d’autres plates-formes pourraient créer de nouveaux défis pour la communauté de la sécurité », écrivait le chercheur Intezer, Ignacio Sanmillan, dans son article de mercredi. « Le fait que ce programme malveillant parvienne à rester sous le radar devrait être une alerte pour que le secteur de la sécurité consacre davantage d'efforts ou de ressources à la détection de ces menaces », a-t-il poursuivi.

Dans sa stratégie d’évasion et de dissuasion, le Kit utilise un script bash accompagné d'un fichier binaire. Selon les chercheurs d'Intezer, les fichiers téléchargés sur Virus Total ont un chemin contenant le nom d'une société de criminalistique basée en Chine, à savoir Shen Zhou Wang Yun. En plus, les logiciels malveillants seraient hébergés sur des serveurs d'une société d'hébergement de serveurs physiques appelée Think Dream située à Hong Kong.

Source : Intezer

Et vous ?

Qu'en pensez-vous ?

Linux, serait-il aussi vulnérable que Windows ?

Voir aussi

Une faille grave du noyau Linux a été découverte dans RDS, Red Hat, Ubuntu, Debian et SUSE affectées

Des vulnérabilités de corruption de mémoire dans systemd affectent la plupart des distributions Linux, aucun correctif n'est disponible pour le moment

Une faille dans la brique de base des systèmes de conteneurisation RunC permet une évasion des conteneurs Linux, pour gagner un accès root sur l'hôte

Microsoft découvre une porte dérobée dans un pilote d'ordinateur portable Huawei, qui permettrait à des hackers d'avoir accès à toutes les données

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de CaptainDangeax
Membre éclairé https://www.developpez.com
Le 05/06/2019 à 9:02
Donc, pour l'exploitation de cette faille, c'est donc une série de logiciels qui doivent être installés par l'utilisateur avec des droits root et qui permet la prise de contrôle à distance de Linux. Oui, oui, oui
On peut aussi le faire avec SSH, autoriser la connexion du root sans mot de passe...
On peut aussi créer un compte guest sans mot de passe avec les droits sudo...
Pour l'administrateur d'un réseaux de postes de travail sous Linux, la mesure est très simple :
- /home monté sur une partition séparée et avec le flag noexec
- compte utilisateur sans escalade sudo.
- et services réduits au strict nécessaire.
Et pas besoin de solutions tierces parties.

ça fait 26 ans que j'utilise Linux. ça fait 26 ans que je lis des news sur des vecteurs d'attaque. Et ça fait 26 ans que ces failles ne sont exploitables qu'avec une longue liste de prérequis : incompétence de l'administrateur, sécurité diminuée par rapport à l'installation du système depuis l'iso, intervention de l'utilisateur avec des droits root.

Le jour où on aura l'équivalent d'un wannacry ou d'un blaster qui s'installe et s'éxécute tout seul sur un parc Linux sans aucun des 3 prérequis que j'ai indiqué ci-dessus, réveillez-moi.
15  4 
Avatar de CaptainDangeax
Membre éclairé https://www.developpez.com
Le 06/06/2019 à 17:07
Citation Envoyé par Madmac Voir le message
@CaptainDangeax

Une attaque avec un paquetage semble l'explication la plus évidente. Mais avec le backdoor inclus avec la CPU intel. Les choses ne sont plus aussi simple.

À partir du moment qu'il est possible d'avoir le mot de passe de l'administrateur, les risques de Rootkit deviennent énormes.
J'attends le proof of concept. Pas vu depuis 26 ans.
Il faut aussi distinguer la possibilité d'accès physique à la machine visée. La sécurité commence à la porte du bâtiment.
4  0 
Avatar de Steinvikel
Membre chevronné https://www.developpez.com
Le 04/06/2019 à 18:11
Après avoir lu l'actualité, je suis rassuré de comprendre que cette menace ne vient pas d'une partie du code du noyau, mais que sa présence est du à l'entité entre la chaise et le clavier. ^^'
A part ClamAV ...pour linux, vous connaissez quoi pour renforcer la sécurité, pour ceux qui n'y connaissent pas grand chose ?

J'ai eu connaissance de logiciels qui peuvent :
- détecter l'escalade de privilèges pour les processus en cours
- et supprimer le processus avant l'exécution du code d'exploitation
- bloquer les attaques (comme ClamAV)

...je les compte sur les doigts de la mains, la sécurité est pourtant aussi critique /importante que sur Windows, bien que plus élevé par défaut.
Je suppose donc qu'il y a beaucoup de solutions sur le marché, notamment adressé aux entreprises. Mais j'ai aucune visibilité sur ces produits.
Quelqu'un sait où trouver des info sur ces produits ?
3  0 
Avatar de disedorgue
Expert éminent https://www.developpez.com
Le 07/06/2019 à 10:41
Citation Envoyé par CaptainDangeax Voir le message
J'attends le proof of concept. Pas vu depuis 26 ans.
Il faut aussi distinguer la possibilité d'accès physique à la machine visée. La sécurité commence à la porte du bâtiment.
Je suis d'accord avec toi pour un env de prod, mais on est dans le même souci que windows dans le cas des particuliers qui ne sont que de simples utilisateurs qui n'y connaissent pas grand chose.
Dans la plupart des cas, ils sont à la merci de la configuration mise en place par la distribution utilisée.

Dans le principe, on est sur 2 monde à part entre une attaque windows et une attaque sur des unix/linux: pour windows, on ne vise pas une machine en particulier, on vise la masse. Alors que pour unix/linux, on fait une attaque ciblé d'un serveur que l'on veut atteindre.
Windows: l'attaquant n'est pas actif, il fait de la pêche au filet.
Unix/linux: là, c'est plus moby dick

Mais si on fait une pêche au filet sur du Unix/linux, on aura les mêmes travers que pour windows (le maillon faible est très très souvent entre la chaise et le clavier (ou la souris )
3  0 
Avatar de grigric
Membre régulier https://www.developpez.com
Le 04/06/2019 à 22:25
bonjour,
sous linux, il y a beaucoup de logiciels de sécurité efficace et open source.
Tout dépend de ce que tu recherches, par contre, un antivirus ne bloque pas vraiment les attaques, ce n'est pas un ips...
Il y a tripwire, AIDE, wazuh, fail2ban, suricata, snort, chkrootkit, lynis, etc...
2  0 
Avatar de htoukour
Membre régulier https://www.developpez.com
Le 05/06/2019 à 10:39
Entièrement d'accord avec CaptainDangeax. Linux te donne le choix.
2  0 
Avatar de Madmac
Membre éprouvé https://www.developpez.com
Le 05/06/2019 à 23:43
@CaptainDangeax

Une attaque avec un paquetage semble l'explication la plus évidente. Mais avec le backdoor inclus avec la CPU intel. Les choses ne sont plus aussi simple.

À partir du moment qu'il est possible d'avoir le mot de passe de l'administrateur, les risques de Rootkit deviennent énormes.
1  0 
Avatar de sergio_is_back
Membre émérite https://www.developpez.com
Le 07/06/2019 à 15:41
Citation Envoyé par CaptainDangeax Voir le message
Donc, pour l'exploitation de cette faille, c'est donc une série de logiciels qui doivent être installés par l'utilisateur avec des droits root et qui permet la prise de contrôle à distance de Linux. Oui, oui, oui
Oui, Oui, Oui,

Je ne sais pas vraiment si l'on peut parler de faille...
A partir de l'instant où un utilisateur installe le package avec les droits "root"... Il prend ses responsabilités...
1  0 
Avatar de sergio_is_back
Membre émérite https://www.developpez.com
Le 07/06/2019 à 16:03
Citation Envoyé par Steinvikel Voir le message

Là, il n'est pas question d'installation au sens large, mais simplement d’exécution... les machines infectés pouvait exécuter des images, du texte... il y avait donc au préalable un vrai problème de restriction des droits. De plus il n'a ni été fait mention ni de la nécessité de droits root, ni d'une escalade de privilège.
Déjà :"les machines infectés pouvait exécuter des images, du texte..." c'est pas clair.... On ne peut exécuter que des scripts ou des binaires.... Certes on peut "cacher" un script dans un fichier mais c'est loin d'être évident

De plus sous Linux on ne peut exécuter un binaire ou un script que si ce dernier a les bonnes permissions (au moins xr- pour l'utilisateur) et qu'il est situé dans un des dossiers paramétrés dans la variable d'environnement PATH (pas dans un répertoire type /home/user/downloads par exemple... Sinon il faut forcer l'exécution du script ou du binaire depuis la console.... donc c'est une action volontaire... après si le binaire veut installer une backdoor ou un rootkit il faut surement une escalade de privilèges (donc on exécute en sudo et on demande le mot de passe utilisateur) je vois pas comment faire autrement où alors la session utilisateur est directement sous "root"

Si l'on en croit le site Intezer qui publie une partie du script de déploiement :


On y voit des commandes comme "useradd", "groupadd" et d'autres encore comme la modification du fichier /etc/rc.local
Ces actions demandent plus de privilèges qu'un simple compte utilisateur n'en possède à l'origine sur les distributions classiques, au minimum il faut exécuter ce script avec sudo
1  0 
Avatar de disedorgue
Expert éminent https://www.developpez.com
Le 07/06/2019 à 17:11
En fait, cela semble un peu plus vicieux que ça, faudrait voir tout le code, mais en lecture rapide, il semble être capable d'infecter un compte utilisateur quelconque et attend patiemment que celui-ci prenne les droits via un sudo pour profiter des privilèges.
Donc même si l'user ne l’exécute pas en root ou sudo, le jour ou celui-ci fera un sudo depuis son compte, l'infection se propagera de manière globale.

Mais, on reste quand même sur une faille liée à la "structure" qui se trouve entre la chaise et le clavier.
1  0