O malware executado por um usuário sem privilégios de administrador ou sudo pode prejudicar meu sistema? [fechadas]

30

Após uma recente invasão em uma máquina executando Linux, encontrei um arquivo executável na pasta inicial de um usuário com uma senha fraca. Limpei o que parece ser todo o dano, mas estou preparando uma limpeza completa para ter certeza.

O que o malware pode executar por um usuário não sudo ou sem privilégios? Ele está apenas procurando arquivos marcados com permissão mundial de gravação para infectar? Que coisas ameaçadoras um usuário não administrador pode fazer na maioria dos sistemas Linux? Você pode fornecer alguns exemplos de problemas do mundo real que esse tipo de violação de segurança pode causar?

security malware ezgoodnight
fonte
14
Ele pode fazer o que você poderia fazer como um usuário sem privilégios, o que poderia ser um monte de coisas.
Faheem Mitha 29/02
11
Depende da sua configuração e se a máquina está bem conservada. Pode variar desde enviar malware ou fazer parte de uma botnet, escalar privilégios, fazer todas essas coisas e comprometer ainda mais a máquina e a segurança da sua rede.
Rui F Ribeiro
9
Se o malware é sofisticado o suficiente, ele pode explorar vulnerabilidades para obter acesso root. Um sistema violado deve sempre ser considerado totalmente quebrado e deve ser colocado offline imediatamente.
Runium 29/02
2
Nota: Geralmente as explorações ficam inativas por meses. O explorador venderá a capacidade de fazer coisas ruins a outros.
Giacomo Catenazzi
5
Escalada de
Jeff Schaller

Respostas:

29

A maioria dos usuários normais pode enviar e-mails, executar utilitários do sistema e criar soquetes de rede ouvindo em portas mais altas. Isso significa que um invasor pode

  • envie e-mails de spam ou phishing,
  • explorar qualquer configuração incorreta do sistema visível apenas de dentro do sistema (pense em arquivos de chave privada com permissões de leitura permissivas),
  • configure um serviço para distribuir conteúdo arbitrário (por exemplo, torrent pornô).

O que isso significa exatamente depende da sua configuração. Por exemplo, o invasor pode enviar e-mails com aparência de sua empresa e abusar da reputação de e-mail dos servidores; ainda mais se os recursos de autenticação de email como DKIM foram configurados. Isso funciona até que o representante do seu servidor esteja manchado e outros servidores de email comecem a colocar o IP / domínio na lista negra.

De qualquer forma, a restauração do backup é a escolha certa.

tarleb
fonte
17
O atacante pode criptografar todos os dados de usuários e exigir um pagamento para obter a chave privada para ele
Ferrybig
11
@Ferrybig Eles só podem criptografar a versão atual, não os backups. A questão passa a ser a seguinte: o conjunto de backups não é vazio?
PyRulez
Todos nós sabemos a resposta usual para essa pergunta, @PyRulez: O
TheBlastOne
O envio de emails de um servidor implica que você possa usar os endereços de email @ seu domínio, de uma maneira mais distinta do que usar um servidor completamente irrelevante?
User23013 01/01
11
@ user23013 Não necessariamente, mas com muitos sistemas, sim. Os postmasters podem configurar tecnologias como SPF , DKIM e DMARC, que permitem aos servidores remotos validar a legitimidade do correio recebido. Alguns usuários (por exemplo, Gmail) oferecem uma opção para destacar e-mails validados dessa maneira. Um invasor pode abusar disso para enviar e-mails de phishing aparentemente confiáveis.
tarleb
19

A maioria das respostas está ausente das duas palavras-chave: escalonamento de privilégios .

Quando um invasor tem acesso a uma conta sem privilégios, é muito mais fácil explorar bugs no sistema operacional e nas bibliotecas para obter acesso privilegiado ao sistema. Você não deve assumir que o invasor usou apenas o acesso não privilegiado que eles obtiveram originalmente.

David Richerby
fonte
2
Eu estava esperando para postar para ver se alguém notou esse risco real em particular. O buffer transborda, o amigo perpétuo de todos os mal-entendidos, lol. Você deveria ter mais do que mais 1, porque esse é o risco real real, não algum spyware no nível do usuário, o que é irritante, mas é tudo. Escalonamento de privilégios, levando à instalação do rootkit, levando a uma máquina totalmente de propriedade, com explorações essencialmente indetectáveis ​​rodando alegremente nos bastidores.
Lizardx
15

Um rm -rf ~ou algo semelhante seria bastante catastrófico e você não precisa de privilégios de root.

joH1
fonte
15
Caros novatos no UNIX, não tente isso! (ele irá apagar seus arquivos pessoais)
AL
11
Exatamente como AL diz. rm -rf /é muito mais seguro (jk não fazê-lo Ele mata tudo:. . urbandictionary.com/define.php?term=rm+-rf+%2F )
PyRulez
12

Ransomware

Isso não se aplica à sua situação, pois você já deve ter notado, mas nos ataques atuais de ransomware um pouco populares (criptografando todos os seus documentos e oferecendo a venda da chave de descriptografia) é completamente suficiente ter acesso sem privilégios.

Ele não pode modificar arquivos do sistema, mas geralmente reconstruir um sistema a partir do zero é simples comparado à recuperação de dados valiosos do usuário (documentos comerciais, fotos de família etc.) de backups geralmente obsoletos ou inexistentes.

Peter é
fonte
11

Mais comum (no meu POV, pela minha experiência):

  • Enviando spam

  • Enviando mais spam

  • Infectando outros computadores

  • Configurar sites de phishing

  • ...

Giacomo Catenazzi
fonte
2
Você esqueceu um pouco mais de spam.
Autar 01/03
4

Um vírus pode infectar todas as máquinas da sua rede LAN e aumentar o privilégio de obter o acesso root wiki-Privilege_escalation

Escalonamento de privilégios é o ato de explorar um bug, falha de design ou supervisão de configuração em um sistema operacional ou aplicativo de software para obter acesso elevado a recursos que normalmente são protegidos de um aplicativo ou usuário. O resultado é que um aplicativo com mais privilégios do que o planejado pelo desenvolvedor ou administrador do sistema pode executar ações não autorizadas.

GAD3R
fonte
0

Muitas possibilidades em potencial me vêm à mente:

  • Negação de serviço: pode estar na sua máquina ou, mais provavelmente, usar sua máquina para atacar uma segunda à custa de seus próprios recursos.
  • Mine bitcoins. Usar sua CPU para obter dinheiro parece bastante atraente
  • Se o navegador estiver vulnerável, eles tentarão redirecioná-lo para todos os tipos de sites, instalar barras ou exibir pop-ups que gerarão receita. Felizmente, isso parece mais difícil no Linux ou os spammers não são tão bons nisso.
  • Obtenha dados privados para uso comercial e venda-os a outros. Somente para o usuário comprometido: data de nascimento, telefone, se estiver no cache do navegador.
  • Acesse outros arquivos no servidor que sejam legíveis.
  • Crie scripts maliciosos que possam solicitar a senha root. Por exemplo, no seu bash, eles podem tentar redirecionar o sudo para outras coisas para obter sua senha.
  • Colocando suas senhas armazenadas no navegador ou tente registrar suas credenciais bancárias. Isso pode ser mais difícil, mas certamente será perigoso. Com o Gmail, eles podem acessar o Facebook, roubar sua conta do Steam, Amazon, etc.
  • Instale certificados maliciosos válidos para seu usuário

Claro que este é um cenário de pior caso, portanto, não entre em pânico. Parte disso pode estar bloqueada por outras medidas de segurança e não será trivial.

Borjab
fonte
0

Informações [1]

IMHO, uma das coisas mais assustadoras que uma exploração pode fazer é coletar informações e permanecer oculto para voltar e atacar quando sua atenção for menor (todas as noites ou períodos de férias serão adequados).
A seguir, são apenas os primeiros motivos que me vêm à cabeça: você pode adicionar outros e outros ...

  • Informações sobre os serviços que você está executando, sua versão e seus pontos fracos, com atenção especial ao obsoleto que você pode precisar manter vivo por motivos de compatibilidade.
  • Periodicidade com a qual você os atualiza e os patches de segurança. Sentar na frente de um boletim e esperar o momento certo para tentar voltar.
  • Os hábitos de seus usuários, para levantar menos suspeitos quando será.
  • As defesas que você montou.
  • Se obtivermos até um acesso root parcial às chaves ssh , hosts autorizados e as senhas nesta e em outras máquinas para cada usuário (suponha que alguém executou um comando com a senha passada como parâmetro, nem é necessário o privilégio root). Foi possível escanear a memória e extraí-la. Digo novamente: nos dois sentidos, para sua máquina e de sua máquina. Com a autorização ssh de dois lados entre duas máquinas, eles podem continuar entrando e saindo da conta comprometida.

Por isso, aplainar essa máquina e monitorar as senhas e chaves futuras, pelas seguintes razões acima e por todas as outras que você pode ler nas outras respostas.

[1] Citando não literalmente Hitchcock: "O tiro de uma arma dura um momento, mas uma mão segurando uma arma pode durar um filme completo"

Hastur
fonte