Rosszindulatú programok Unix-szerű rendszerekre

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt hozzászólók, és jelentősen eltérhet a 2017. január 16-án felülvizsgált verziótól ; az ellenőrzések 19 szerkesztést igényelnek .

Valószínűleg az első számítógépes vírusokat a Unix OS családhoz Fred Cohen írta kísérletek során. Az 1980-as évek végén jelentek meg az első kiadványok Bash nyelvű vírusforráskóddal . [1] [2] A Unix-szerű rendszerekre szánt rosszindulatú szoftverek közé tartoznak a trójaiak, számítógépes férgek és más típusú kártevők , amelyek károsíthatják az operációs rendszert .

Linux malware

Történelmileg a legtöbb rosszindulatú programot a Microsoft Windows operációs rendszerhez hozták létre , amely az operációs rendszerek piacának többségét foglalja el [3] .

A Linux rendszerek sajátossága a többfelhasználós környezet megszervezése, amelyben a felhasználók bizonyos jogokat kapnak, és bizonyos beléptetőrendszereket is használnak. Ahhoz, hogy jelentős károkat okozzon a rendszerben, egy rosszindulatú programnak root hozzáférést kell kapnia hozzá. Amíg azonban a felhasználó el nem kezd dolgozni root jogosultságokkal vagy rendszergazdai fiókkal , addig a jogok megkülönböztető rendszere nem ad lehetőséget a vírusnak arra, hogy kárt okozzon a rendszerben – szuperfelhasználói jogok megszerzése nélkül a vírusok rosszindulatú tevékenysége a felhasználó megfigyelésére korlátozódik. műveletek (billentyűzetről beírt jelszavak elfogása, hitelkártyaadatok stb.), felhasználói fájlok ellopása, spam küldése és DDoS - támadásokban való részvétel.

A szuperfelhasználói jogosultságok megszerzéséhez (az angol terminológiában ezt rootolásnak hívják ) általában vagy olyan exploitok használatával, amelyek kihasználják a Linux kernel vagy a saját tevékenységeikhez root jogosultságokkal rendelkező szolgáltatások kijavítatlan sebezhetőségeit, vagy pedig social engineering módszereket ( pl. Például egy vírus legális alkalmazásként való átadása, amely rendszergazdai jogosultságokat igényel). A sérülékenységek kiaknázását nehezíti az ismert sérülékenységek gyors bezárása, aminek következtében a vírus terjedése a biztonsági frissítések megjelenése után hamar leáll, a social engineering módszer pedig a felhasználók általában magas technikai színvonala miatt hatástalan. adminisztrátori jogosultságokkal, ami a Linux különböző verzióiban (disztribúcióiban) a programok indításakor történő különböző módjaival együtt ahhoz vezet, hogy nem triviális feladat olyan ismert vírusokból találni, hogy sikeresen indítható és végrehajtható legyen. rosszindulatú tevékenysége a modern disztribúciókon [4] .

Linux rendszerekhez víruskeresők [5] állnak rendelkezésre , amelyek fő célja az operációs rendszerek vírusainak és egyéb kártevőinek észlelése. Képesek ellenőrizni a rajtuk áthaladó e-maileket , például megvédhetik azokat a Microsoft Windows rendszerű számítógépeket, amelyek vállalati levelezőszerveren keresztül fogadják a leveleket . Azok az esetek, amikor az antivírusok vírusokat észleltek a Linux "élőben" ("vadon") vagy nem történtek meg, vagy nem ismertek, például az LMD ismert .

A fertőzés főbb módjai

A harmadik felektől vagy felhasználóktól származó bináris fájlok és forráskódok vírust tartalmazhatnak. A shell- szkriptek indításuk után programokat hajthatnak végre, és hozzáférhetnek a . Egy hamis könyvtár helyettesíthető a könyvtár egy adott verziójával.
A Microsoft Windowshoz tervezett vírusok működhetnek a Wine -nal (mivel sok vírus dokumentálatlan Windows rendszerhívásokat használ , amelyek nagyon rosszul vannak megvalósítva a Wine -ban, így kisebb a fertőzés kockázata). A vírusok általában csak az operációs rendszer újraindításáig élhetnek át a Wine-on, mivel a Windows rendszerben a programok automatikus futtatásának szokásos módszerei nem működnek a Wine-ban. Ez alól kivételt képeznek a fájlvírusok, vagyis azok, amelyek megfertőzik a legális programok futtatható fájljait. A vírus újraindul, amint a felhasználó elindítja a fertőzött programot.
Érdemes megjegyezni a fent leírt social engineering módszereket is , például az adathalászatot , amelyek a felhasználói figyelmetlenség használatán alapulnak.

Meg kell jegyezni, hogy a fájlvírusok osztálya gyakorlatilag megszűnt létezni, átadva a helyét a trójaiknak és a hátsó ajtóknak, amelyek egy (ritkán két) példányban (fájlban) léteznek a lemezen, és a Windows szabványos (vagy nem olyan) automatikus futtatási mechanizmusain futnak át. . A fertőzés mértéke attól függ, hogy melyik felhasználó milyen jogosultságokkal futtatta a bináris fájlt. A bináris futtatás rootként az egész rendszert megfertőzheti. A root jogokkal kapcsolatos biztonsági rések lehetővé tehetik, hogy egy adott fiók alatt futó rosszindulatú programok megfertőzzék az egész rendszert. A fejlesztői adattárak használata csökkenti a fertőzés valószínűségét, mivel a fejlesztők karbantartják és mindig ellenőrizhetik programjaikat vírusok szempontjából. Az ellenőrző összegek jelenléte az ellenőrzés során valószínűtlenné tette a DNS- és az ARP - hamisítási módszereket. A reprodukálható összeállítási technika lehetővé teszi annak ellenőrzését, hogy a digitálisan aláírt kód biztonságosan és teljesen átalakítható-e bináris fájllá.

A rosszindulatú programok fő típusai

Vírusok és trójaiak [6]

Ha egy vírust tartalmazó fertőzött bináris fájl fut, a rendszer átmenetileg megfertőződik, mivel a Linux kernel a memóriában van, és csak olvasható. A fertőzés mértéke attól függ, hogy melyik felhasználó milyen jogosultságokkal futtatta a bináris fájlt. Ahogy fentebb említettük, egy ilyen fájlt futtató root felhasználó automatikusan megfertőzi az egész rendszert. A privilégium eszkalációs rendszer lehetővé teszi a rendszer egyre több szintjének megfertőzését, amikor különböző hozzáférési szintekre lép.

Érdemes megjegyezni, hogy ahhoz, hogy egy kódrészletet írjunk egy lefordított programba, amely például egy közvetítőt tud elindítani, amely akkor indul el, amikor a felhasználó bejelentkezik a levelezőkliens-szerver alkalmazásba, a feladat nem olyan nehéz; sokkal nehezebb olyan manipulátor programot (trójai) írni, amely csak rosszindulatú feladatot hajt végre.

Morris Worm

1988 - ban Robert Morris Jr. hozta létre az első sorozatgyártású hálózati férget. A 60 000 bájtos programot a Berkeley 4.3 UNIX operációs rendszerek legyőzésére tervezték. A vírust eredetileg ártalmatlannak fejlesztették ki, és csak az ARPANET hálózaton keresztül összekapcsolt számítógépes rendszerek rejtett beszivárgására szolgált, és ott észrevétlenül maradhat. A vírusprogram olyan komponenseket tartalmazott, amelyek lehetővé tették a fertőzött rendszerben tárolt jelszavak felfedését, ami viszont lehetővé tette, hogy a program a rendszer legális felhasználóinak feladatának álcázza magát, valójában sokszorosítsa és terjeszthesse a másolatokat. A vírus a fejlesztés során elkövetett kisebb hibák miatt nem maradt rejtett és teljesen biztonságos, ahogy a szerző szándéka volt, ami a vírus gyors ellenőrizetlen önreplikációjához vezetett.

A legóvatosabb becslések szerint a Morris féreg okozta incidens több mint 8 millió órányi hozzáférés-kiesésbe, és több mint egymillió órányi közvetlen veszteségbe került a rendszerek működőképességének helyreállításához. E költségek teljes költségét 96 millió dollárra becsülik (ez az összeg – nem teljesen indokolt – tartalmazza az operációs rendszer véglegesítésének költségeit is). A kár sokkal nagyobb lett volna, ha a vírust eleve pusztító szándékkal hozták volna létre.

A Morris féreg több mint 6200 számítógépet fertőzött meg. A vírustámadás következtében a legtöbb hálózat akár öt napig is üzemen kívül volt. Meghibásodtak azok a számítógépek is, amelyek kapcsolási funkciókat láttak el, fájlszerverként működtek, vagy más, a hálózat működését biztosító funkciókat végeztek.

Lásd még

Jegyzetek

↑ Douglas McIlroy. Virology 101 Archiválva : 2009. február 26., a Wayback Machine -nél
↑ Tom Duff. Vírusos támadások a UNIX® rendszerbiztonságon archiválva : 2010. március 22. a Wayback Machine -nél
↑ Asztali Windows-verzió piaci részesedése világszerte . StatCounter globális statisztika . Letöltve: 2020. október 26. Az eredetiből archiválva : 2017. január 24.
↑ Roy s. A Linux mentes a vírusoktól és rosszindulatú programoktól? | Unixmen ? _ . Letöltve: 2020. november 8. Az eredetiből archiválva : 2021. január 18. (határozatlan)
↑ A tíz legjobb vírusirtó Linuxhoz . habr.com . Letöltve: 2020. október 26. Az eredetiből archiválva : 2020. október 29. (Orosz)
↑ ismeretlen. Jártam az Ubuntuban: Szóval szeretné tudni, hogyan kell használni a víruskereső szoftvert az Ubuntuban? . Jártam az Ubuntuban (2007. október 12.). Letöltve: 2020. november 8. Az eredetiből archiválva : 2020. november 17. (határozatlan)

Linkek

Linux/FreeBSD vírusok, C, Assembler

Linux projekt
Tábornok	Örökbefogadás Összehasonlítás a Windows rendszerrel Kritika GNU ( projekt ) Sejtmag Sztori A Linux Alapítvány Linus törvénye névadás Tux
Terítés	Elosztások ( lista ) Élő CD Élő USB mini linux Szoftvercsomag formátumok
Alkalmazások	ALSA Asztali eszközöket Beágyazott Szerencsejáték LÁMPA vékony kliens
Személyiségek	Jono Bacon Klaus Knopper Alan Cox Benjamin Mako Hill Pamela Jones Ari Lemke Andrew Morton Jan Murdoch Hans Reiser Scott James Maradék Daniel Robbins Mark Shuttleworth Richard Stallman Linus Torvalds Theodore Tso Patrick Volkerding Warren Woodford Matt Zimmerman
tömegmédia	Vállalati nyílt forráskódú folyóirat Ingyenes Szoftver Magazin linux.com Linux formátum Linux Gazette Linux Journal Linux-Magazin Linux Magazin Linux Medical News Linux.org.ru LWN.net O3 Magazin opennet Phoronix DistroWatch
Listák	Eszközök disztribúciók
Mobilitás	Hozzáférés a Linux platformhoz Android bada LiMo platform MeeGo ( Mobilinux ) mama ) Moblin Ubuntu Mobile és Embedded Edition
Egyéb	Felhasználói csoport LinuxChix LSB Revolution OS SCO és Linux Tanenbaum-Torvalds vita Rosszindulatú

Rosszindulatú szoftver
Fertőző rosszindulatú programok	Számítógépes vírus hálózati féreg trójai boot vírus Batch vírus Sztori
Rejtős módszerek	Hátsó ajtó Csöpögtető Könyvjelző Cryptor zombi számítógép Polimorfizmus rootkit
Malware haszonszerzés céljából	Adware Adatvédelmi invazív szoftver Ransomware ( Trojan.Winlock ) Spyware Bot botnet Webes fenyegetések Billentyűzetfigyelő Formgrabber Scareware ( Rogue vírusirtó ) Pornótárcsázó
Operációs rendszerek szerint	Linux malware Vírusok Palm OS-hez Makrovírus mobil vírus
Védelem	Defenzív számítástechnika Víruskereső program Tűzfal Behatolásjelző rendszer Információszivárgás megelőzése Az antivírusok idővonala
Ellenintézkedések	Anti Spyware Coalition számítógépes megfigyelés méztartó Működés: Bot Roast