IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Linux : un logiciel malveillant combine une furtivité inhabituelle avec une suite complète de fonctions,
Les logiciels malveillants pour Linux sont en hausse et atteignent leur niveau le plus élevé

Le , par Bruno

47PARTAGES

6  0 
Jusqu'à récemment, en comparaison avec Windows, les défenseurs du système d’exploitation Linux se complimentaient d’être largement ignorés par les cybercriminels. Cependant, les nouvelles données montrent que les tendances des cyberattaques sont en train de changer. Selon les données présentées par l'équipe d'Atlas VPN, le nombre de nouveaux logiciels malveillants Linux a atteint un niveau record au premier semestre 2022, puisque près de 1,7 million d'échantillons ont été découverts. Cette semaine, des chercheurs ont dévoilé une nouvelle souche de logiciel malveillant Linux qui se distingue par sa furtivité et sa sophistication dans l'infection des serveurs traditionnels et des petits appareils de l'Internet des objets.

Par rapport à la même période de l'année dernière, où 226 324 échantillons ont été découverts, le nombre de nouveaux logiciels malveillants Linux a explosé de près de 650 %. Si l'on examine le nombre de nouveaux échantillons de logiciels malveillants Linux trimestre par trimestre, au premier trimestre de cette année, il a baissé de 2 %, passant de 872 165 au quatrième trimestre 2021 à 854 688 au premier trimestre 2022. Au deuxième trimestre, les échantillons de logiciels malveillants ont à nouveau diminué, cette fois de 2,5 %, pour atteindre 833 059.

Echantillons de logiciels malveillants Linux par trimestre (2021 - S1 2022)


Cette semaine, des chercheurs ont dévoilé une nouvelle souche de logiciel malveillant Linux qui se distingue par sa furtivité et sa sophistication dans l'infection des serveurs traditionnels et des petits appareils de l'Internet des objets. Baptisé Shikitega par les chercheurs d'AT&T Alien Labs qui l'ont découvert, ce logiciel malveillant est diffusé par le biais d'une chaîne d'infection en plusieurs étapes utilisant un codage polymorphe. Il utilise également des services de cloud légitimes pour héberger des serveurs de commande et de contrôle. Ces éléments rendent la détection extrêmement difficile.

« Les acteurs de la menace continuent de chercher de nouvelles façons de diffuser des logiciels malveillants pour rester sous le radar et éviter la détection », a écrit Ofer Caspi, chercheur aux AT&T Alien Labs. « Le logiciel malveillant Shikitega est livré de manière sophistiquée, il utilise un encodeur polymorphe, et il livre progressivement sa charge utile où chaque étape ne révèle qu'une partie de la charge utile totale. En outre, le malware abuse de services d'hébergement connus pour héberger ses serveurs de commande et de contrôle. »

  • Le logiciel malveillant télécharge et exécute le meterpreter "Mettle" de Metasploit pour maximiser son contrôle sur les machines infectées ;
  • Shikitega exploite les vulnérabilités du système pour obtenir des privilèges élevés, persister et exécuter le crypto miner ;
  • Le malware utilise un encodeur polymorphe pour le rendre plus difficile à détecter par les moteurs antivirus ;
  • Shikitega abuse des services légitimes de cloud computing pour stocker certains de ses serveurs de commande et de contrôle (C&C).

Shikitega operation process


Le logiciel malveillant télécharge et exécute 'Mettle', un compteur-préteur Metasploit qui permet à l'attaquant d'utiliser une large gamme d'attaques telles que le contrôle de la webcam, le renifleur, plusieurs shells inversés (tcp/http..), le contrôle du processus, l'exécution de commandes shell et plus encore. En outre, le logiciel malveillant utilise wget pour télécharger et exécuter le dropper de l'étape suivante.

Il s'agit d'une implémentation d'un Meterpreter en code natif, conçu pour la portabilité, l'embarquabilité et la faible utilisation des ressources. Il peut fonctionner sur les plus petites cibles Linux embarquées jusqu'au gros fer, et cible Android, iOS, macOS, Linux et Windows, mais peut être porté sur presque tout environnement compatible POSIX.

De nouveaux logiciels malveillanst comme BotenaGo et EnemyBot illustrent la façon dont les auteurs de malwares intègrent rapidement les vulnérabilités récemment découvertes pour trouver de nouvelles victimes et accroître leur portée. Shikitega utilise une chaîne d'infection en plusieurs couches, dont la première ne contient que quelques centaines d'octets, et chaque module est responsable d'une tâche spécifique, depuis le téléchargement et l'exécution du meterpreter de Metasploit, l'exploitation des vulnérabilités de Linux, la mise en place de la persistance dans la machine infectée jusqu'au téléchargement et à l'exécution d'un cryptomineur.

Le dropper principal du logiciel malveillant est un très petit fichier ELF, dont la taille totale est d'environ 370 octets seulement, alors que la taille réelle de son code est d'environ 300 octets. Le logiciel malveillant utilise l'encodeur polymorphe XOR à rétroaction additive Shikata Ga Nai, qui est l'un des encodeurs les plus populaires utilisés dans Metasploit. À l'aide de cet encodeur, le logiciel malveillant passe par plusieurs boucles de décodage, où une boucle décode la couche suivante, jusqu'à ce que la charge utile finale du shellcode soit décodée et exécutée. Le goujon de l'encodeur est généré sur la base de la substitution dynamique des instructions et de l'ordonnancement dynamique des blocs. De plus, les registres sont sélectionnés dynamiquement.

Après plusieurs boucles de déchiffrement, le code shell de la charge utile finale sera déchiffré et exécuté. Comme le logiciel malveillant n'utilise aucun import, il utilise int 0x80 pour exécuter le syscall approprié. Comme le code principal du dropper est très petit, le malware téléchargera et exécutera des commandes supplémentaires à partir de sa commande et de son contrôle en appelant 102 syscall (sys_socketcall).

Le C&C répondra avec des commandes shell supplémentaires à exécuter. Les premiers octets marqués en bleu sont les commandes shell que le logiciel malveillant va exécuter. La commande reçue téléchargera des fichiers supplémentaires du serveur qui ne seront pas stockés sur le disque dur, mais seront exécutés en mémoire uniquement. Dans d'autres versions du malware, il utilise l'appel système execve pour exécuter /bin/sh avec la commande reçue du C&C.

Le fichier suivant téléchargé et exécuté est un petit fichier ELF supplémentaire (environ 1 ko) codé avec l'encodeur Shikata Ga Nai. Le logiciel malveillant décrypte une commande shell qui sera exécutée en appelant syscall_execve avec '/bin/sh" comme paramètre avec le shell déchiffré. Le dropper de deuxième étape décrypte et exécute des commandes shell. La commande shell exécutée va télécharger et exécuter des fichiers supplémentaires. Pour exécuter le dropper de la prochaine et dernière étape, il exploitera deux vulnérabilités de Linux afin de tirer parti des privilèges - CVE-2021-4034 et CVE-2021-3493.

Persistance

Pour assurer sa persistance, le ogiciel malveillant télécharge et exécute un total de 5 scripts shell. Il persiste dans le système en configurant 4 crontabs, deux pour l'utilisateur actuellement connecté et les deux autres pour l'utilisateur root. Il vérifie d'abord si la commande crontab existe sur la machine, et si ce n'est pas le cas, le logiciel malveillant l'installe et lance le service crontab. Pour s'assurer qu'une seule instance fonctionne, il utilise la commande flock avec un fichier de verrouillage /var/tmp/vm.lock.

Un appel à flock() peut bloquer si un verrou incompatible est détenu par un autre processus. Pour faire une demande non bloquante, incluez LOCK_NB (par ORing) avec l'une des opérations ci-dessus. Un même fichier ne peut pas avoir simultanément des verrous partagés et exclusifs.

Les verrous créés par flock() sont associés à une entrée de la table des fichiers ouverts. Cela signifie que les descripteurs de fichiers dupliqués (créés par exemple par fork(2) ou dup(2)) font référence au même verrou, et que ce verrou peut être modifié ou libéré en utilisant n'importe lequel de ces descripteurs. De plus, le verrou est libéré soit par une opération LOCK_UN explicite sur l'un de ces descripteurs dupliqués, soit lorsque tous ces descripteurs ont été fermés.

Si un processus utilise open(2) (ou similaire) pour obtenir plus d'un descripteur pour le même fichier, ces descripteurs sont traités indépendamment par flock(). Une tentative de verrouiller le fichier en utilisant l'un de ces descripteurs de fichier peut être refusée par un verrou que le processus appelant a déjà placé via un autre descripteur.

Un processus ne peut détenir qu'un seul type de verrou (partagé ou exclusif) sur un fichier. Les appels ultérieurs à flock() sur un fichier déjà verrouillé convertiront un verrou existant vers le nouveau mode de verrouillage. Les verrous créés par flock() sont préservés lors d'un execve(2). Un verrou partagé ou exclusif peut être placé sur un fichier indépendamment du mode dans lequel le fichier a été ouvert.

Les logiciels malveillants pour Linux sont en hausse et atteignent leur niveau le plus élevé au premier semestre 2022

Jusqu'à récemment, les cybercriminels ont largement ignoré Linux par rapport à d'autres systèmes d'exploitation plus populaires. Cependant, les nouvelles données montrent que les tendances des cyberattaques sont en train de changer. Selon les données présentées par l'équipe d'Atlas VPN, le nombre de nouveaux logiciels malveillants Linux a atteint un niveau record au premier semestre 2022, puisque près de 1,7 million d'échantillons ont été découverts.

Pourtant, le nombre cumulé de nouveaux échantillons de logiciels malveillants Linux au premier semestre 2022 était supérieur de 31 % au nombre d'échantillons de ce type pour l'ensemble de l'année 2021. En fait, le premier semestre de cette année a enregistré plus de nouveaux échantillons de logiciels malveillants Linux que toute autre année depuis 2008. De tous les mois, c'est le mois d'avril qui a enregistré le plus grand nombre de nouveaux échantillons, soit 400 931.

Les nouveaux logiciels malveillants Windows restent en tête


Bien que Linux soit le seul système d'exploitation à avoir connu une augmentation du nombre de nouveaux échantillons de logiciels malveillants au cours du premier semestre de cette année, c'est Windows qui a enregistré le plus grand nombre de nouvelles applications malveillantes. Au total, 41,4 millions d'échantillons de logiciels malveillants Windows nouvellement programmés ont été identifiés au premier semestre 2022. Par rapport au premier semestre 2021, où ces agrafes étaient au nombre de 63,8 millions, elles ont diminué de 35 %.

Échantillons de logiciels malveillants Linux par année (2008 - S1 2022 )


Bien que Linux ne détienne que 1 % de la part de marché des systèmes d'exploitation, il occupe la deuxième place de la liste avec 1,7 million de logiciels malveillants au premier semestre 2022. Le système d'exploitation le plus populaire, Android, comptait quant à lui 716 201 échantillons de logiciels malveillants nouvellement développés au premier semestre 2022. Il a également connu la plus forte baisse d'échantillons de logiciels malveillants par rapport à l'année dernière, soit 58 %.
Enfin, macOS a été la cible de 4 922 nouveaux échantillons de logiciels malveillants au cours du premier semestre 2022, soit une baisse de 32 % par rapport aux 7 269 échantillons du premier semestre 2021.

Développement de nouveaux logiciels malveillants par système d'exploitation (H1 2021 vs H1 2022)


Android occupe 44 % des parts de marché des systèmes d'exploitation, tandis que Windows et OS X ont respectivement 29 % et 6 %.
En somme, si Linux n'est pas aussi populaire parmi les utilisateurs d'ordinateurs que les autres systèmes d'exploitation, il fait fonctionner les systèmes dorsaux de nombreux réseaux, ce qui rend les attaques contre Linux très lucratives. Plus l'adoption de Linux augmentera, plus les attaques contre lui augmenteront.

Sources : AT&T, Atlas VPN

Et vous ?

Quel est votre avis sur le sujet ?

Le nombre d'attaques sur Linux a atteint un niveau record, quel commentaire cela vous suggère ?

Malgré la hausse exponentielle des logiciels malveillants sur Linux, Windows reste l'OS avec le plus grand nombre d'attaques des nouveaux logiciels malveillants ?

Voir aussi :

Découverte de Symbiote, un malware Linux extrêmement dangereux et presque impossible à détecter, il existe depuis au moins novembre 2021 et semble avoir été développé pour cibler le secteur financier

Plus de 3,6 millions de serveurs MySQL découverts exposés sur Internet, ce qui constitue une surface d'attaque potentielle pour les cybercriminels

Le paquet PyPI "keep" aurait inclus par erreur un voleur de mots de passe, le mainteneur aurait involontairement introduit une dépendance malveillante par une faute de frappe

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Jipété
Expert éminent sénior https://www.developpez.com
Le 10/09/2022 à 9:44
Bonjour,

Citation Envoyé par Bruno Voir le message
Pour exécuter le dropper de la prochaine et dernière étape, il exploitera deux vulnérabilités de Linux afin de tirer parti des privilèges - CVE-2021-4034 et CVE-2021-3493.
pour 4034 :
La vulnérabilité CVE-2021-4034 PwnKit est utilisable par un attaquant qui dispose déjà d’un accès interne à une machine vulnérable. Autrement dit, il faut déjà être entré sur une machine pour ensuite pouvoir utiliser la vulnérabilité, ce qui réduit fortement les risques d’attaque.
source : https://cyberwatch.fr/cve/cve-2021-4034/
et pour Debian, voir https://security-tracker.debian.org/.../CVE-2021-4034 et/ou https://security-tracker.debian.org/...ge/policykit-1 où se trouve un tableau indiquant que c'est corrigé.

et pour 3493 chez Debian : https://security-tracker.debian.org/.../CVE-2021-3493 montre que c'est fixé avec la dernière màj de Bullseye.
12  0 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 10/09/2022 à 10:58
Les logiciels malveillants pour Linux sont en hausse et atteignent leur niveau le plus élevé
Quand on sait que par exemple pour le marché français, les serveurs connectés à internet sont équipés à 65% de Linux contre 34% de Windows, est-il surprenant que les hackers soient soudainement intéressés par Linux?

On parlera simplement ici d'une "tendance du marché"...
9  0 
Avatar de edrobal
Membre averti https://www.developpez.com
Le 17/09/2022 à 20:15
Citation Envoyé par ericosteix Voir le message
le gros problème pour linux c'est l'absence d'antivirus, ou s'il y en a, les antivirus linux sont rarement mis à jour.
Je suis venu de Windows à Linux quand je suis arrivé à me demander ce qui était le pire des virus ou des antivirus.
Et un Linux bien configuré ne peux pas avoir de virus. C'est de conception.
1  0 
Avatar de edrobal
Membre averti https://www.developpez.com
Le 15/09/2022 à 10:36
Faudrait m'expliquer comment ces malwares peuvent s'installer sans la complicité de l'utilisateur. Soit il travaille en superuser soit un malware ne peut pas s'exécuter.
0  0 
Avatar de LittleWhite
Responsable 2D/3D/Jeux https://www.developpez.com
Le 16/09/2022 à 19:37
Ou bien, une faille permettant de passer d'utilisateur normal à super utilisateur est trouvée (la faille sudo, récemment).
0  0 
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 18/09/2022 à 8:59
Détrompes-toi.

Il existe aussi des failles de sécurité sous Linux.
0  0 
Avatar de ericosteix
Membre à l'essai https://www.developpez.com
Le 17/09/2022 à 19:48
le gros problème pour linux c'est l'absence d'antivirus, ou s'il y en a, les antivirus linux sont rarement mis à jour.
0  3