Czy złośliwe oprogramowanie uruchamiane przez użytkownika bez uprawnień administratora lub sudo może zaszkodzić mojemu systemowi? [Zamknięte]

30

Po ostatniej włamaniu na maszynę z systemem Linux znalazłem plik wykonywalny w folderze domowym użytkownika ze słabym hasłem. Wyczyściłem wszystko, co wydaje się być wszystkimi uszkodzeniami, ale dla pewności przygotowuję pełne wyczyszczenie.

Co może zrobić złośliwe oprogramowanie uruchamiane przez użytkownika niebędącego sudo lub nieuprzywilejowanego użytkownika? Czy szuka tylko plików oznaczonych światowym prawem do infekcji? Jakie niebezpieczne rzeczy może zrobić użytkownik niebędący administratorem w większości systemów Linux? Czy możesz podać przykłady rzeczywistych problemów, jakie może powodować takie naruszenie bezpieczeństwa?

ezgoodnight
źródło
14
Może robić wszystko, co mógłbyś zrobić jako użytkownik nieuprzywilejowany, co może być całą masą rzeczy.
Faheem Mitha
1
Zależy to od konfiguracji i od prawidłowego utrzymania urządzenia. Może to być od wysyłania złośliwego oprogramowania lub bycia częścią botnetu, od eskalacji uprawnień, robienia tych wszystkich rzeczy i dalszego narażania komputera i bezpieczeństwa sieci.
Rui F Ribeiro
9
Jeśli złośliwe oprogramowanie jest wystarczająco zaawansowane, może wykorzystać luki w zabezpieczeniach, aby uzyskać dostęp do roota. Naruszony system należy zawsze uważać za całkowicie zepsuty i powinien zostać natychmiast wyłączony.
Runium,
2
Uwaga: Zwykle exploity są nieaktywne przez miesiące. Eksplorator sprzedaje zdolność robienia złych rzeczy innym.
Giacomo Catenazzi
5
Lokalna eskalacja uprawnień access.redhat.com/security/cve/CVE-2016-0728
Jeff Schaller

Odpowiedzi:

29

Większość zwykłych użytkowników może wysyłać pocztę, uruchamiać narzędzia systemowe i tworzyć gniazda sieciowe nasłuchujące na wyższych portach. Oznacza to, że atakujący mógłby

  • wysyłać spam lub wiadomości phishingowe,
  • wykorzystuj dowolną błędną konfigurację systemu widoczną tylko z poziomu systemu (pomyśl o plikach kluczy prywatnych z dozwolonymi uprawnieniami do odczytu),
  • skonfigurować usługę do dystrybucji dowolnych treści (np. torrent pornograficzny).

Co to dokładnie oznacza, zależy od konfiguracji. Np. Osoba atakująca może wysłać pocztę wyglądającą na pochodzącą z Twojej firmy i nadużyć reputacji poczty na serwerach; tym bardziej, jeśli skonfigurowano funkcje uwierzytelniania poczty, takie jak DKIM. Działa to do momentu skażenia przedstawiciela twojego serwera, a inne serwery pocztowe nie zaczną umieszczać na czarnej liście adresu IP / domeny.

Tak czy inaczej, przywracanie z kopii zapasowej jest właściwym wyborem.

tarleb
źródło
17
Atakujący może zaszyfrować wszystkie dane użytkowników i wymagać zapłaty, aby uzyskać dla nich klucz prywatny
Ferrybig
1
@Ferrybig Mogą szyfrować tylko bieżącą wersję, a nie kopie zapasowe. Powstaje zatem pytanie: czy zestaw kopii zapasowych jest niepusty?
PyRulez
Wszyscy znamy zwykłą odpowiedź na to pytanie, @PyRulez: O
TheBlastOne
Czy wysyłanie wiadomości e-mail z serwera oznacza, że ​​możesz używać adresów e-mail w swojej domenie w bardziej odróżnialny sposób niż przy użyciu zupełnie nieistotnego serwera?
user23013
1
@ user23013 Niekoniecznie, ale w wielu systemach tak się dzieje. Postmasterzy mogą konfigurować technologie takie jak SPF , DKIM i DMARC, które umożliwiają zdalnym serwerom sprawdzanie legalności poczty przychodzącej. Niektóre mailery (np. Gmail) oferują opcję podświetlania potwierdzonych w ten sposób wiadomości e-mail. Osoba atakująca może wykorzystać to, aby wysyłać pozornie godne zaufania wiadomości phishingowe.
tarleb
19

W większości odpowiedzi brakuje dwóch słów kluczowych: eskalacja uprawnień .

Gdy osoba atakująca ma dostęp do nieuprzywilejowanego konta, znacznie łatwiej jest im wykorzystać błędy w systemie operacyjnym i bibliotekach, aby uzyskać uprzywilejowany dostęp do systemu. Nie należy zakładać, że atakujący wykorzystał tylko nieuprzywilejowany dostęp, jaki pierwotnie uzyskał.

David Richerby
źródło
2
Czekałem, aby opublikować, czy ktoś zauważy to szczególne ryzyko. Przepełnienia bufora, wieczny przyjaciel wszystkich złośników, lol. Powinieneś mieć więcej niż 1, ponieważ jest to rzeczywiste ryzyko, a nie niektóre programy szpiegujące na poziomie użytkownika, co jest denerwujące, ale o to chodzi. Eskalacja uprawnień, prowadząca do instalacji rootkitów, prowadząca do posiadania całkowicie maszyny, z właściwie niewykrywalnymi exploitami działającymi z radością za kulisami.
Lizardx
15

rm -rf ~Lub coś podobnie byłoby dość katastrofalny i nie trzeba uprawnień roota.

joH1
źródło
15
Drodzy nowi użytkownicy systemu UNIX, nie próbujcie tego! (spowoduje to usunięcie twoich osobistych plików)
AL
1
Dokładnie tak, jak mówi AL. rm -rf /jest znacznie bezpieczniejszy (jk nie rób tego. Zabija wszystko: urbandictionary.com/define.php?term=rm+-rf+%2F. )
PyRulez
12

Ransomware

Nie dotyczy to Twojej sytuacji, ponieważ można to zauważyć, ale w dzisiejszych czasach dość popularne ataki oprogramowania ransomware (szyfrowanie wszystkich dokumentów i oferowanie sprzedaży klucza odszyfrowującego) jest całkowicie wystarczające, aby mieć nieuprzywilejowany dostęp.

Nie można modyfikować plików systemowych, ale generalnie przebudowa systemu od zera jest prosta w porównaniu do odzyskiwania cennych danych użytkownika (dokumentów biznesowych, zdjęć rodzinnych itp.) Z kopii zapasowych, które często są przestarzałe lub nieistniejące.

Piotr jest
źródło
11

Najczęstsze (w moim POV, z mojego doświadczenia):

  • Wysyłanie spamu

  • Wysyłanie większej ilości spamu

  • Infekowanie innych komputerów

  • Skonfiguruj strony phishingowe

  • ...

Giacomo Catenazzi
źródło
2
Zapomniałeś więcej spamu.
Autar
4

Wirus może zainfekować wszystkie maszyny w sieci LAN i podnieść uprawnienia do uzyskania dostępu do konta root wiki-Privilege_escalation

Eskalacja uprawnień polega na wykorzystaniu błędu, usterki projektowej lub nadzoru konfiguracji w systemie operacyjnym lub aplikacji w celu uzyskania podwyższonego dostępu do zasobów, które normalnie są chronione przed aplikacją lub użytkownikiem. Powoduje to, że aplikacja z większą liczbą uprawnień niż zamierzona przez twórcę aplikacji lub administratora systemu może wykonywać nieautoryzowane działania.

GAD3R
źródło
0

Przychodzi mi na myśl wiele potencjalnych możliwości:

  • Odmowa usługi: może być na twoim komputerze lub bardziej prawdopodobne, użyj swojej maszyny, aby zaatakować drugą maszynę kosztem własnych zasobów.
  • Moje bitcoiny. Korzystanie z procesora w celu uzyskania pieniędzy wydaje się wystarczająco atrakcyjne
  • Jeśli przeglądarka jest podatna na ataki, będą próbować przekierować cię do każdego rodzaju witryn, instalować paski lub wyświetlać wyskakujące okienka, które zapewnią im dochód. Na szczęście wydaje się to trudniejsze w Linuksie lub spamerzy nie są w tym tak dobrzy.
  • Uzyskaj prywatne dane do użytku komercyjnego i sprzedawaj je innym. Tylko dla zainfekowanego użytkownika: data urodzenia, telefon, jeśli jest w pamięci podręcznej przeglądarki.
  • Uzyskaj dostęp do innych plików na serwerze, które można odczytać.
  • Twórz złośliwe skrypty, które mogą prosić o hasło roota. Na przykład w twoim bashu mogą próbować przekierować sudo na inne rzeczy, aby zdobyć twoje hasło.
  • Uzyskiwanie przechowywanych haseł w przeglądarce lub spróbuj zarejestrować dane kredytowe banku. To może być trudniejsze, ale na pewno będzie niebezpieczne. Z Gmaila mogą dostać Facebooka, ukradł konta Steam, Amazon itp.
  • Zainstaluj złośliwe certyfikaty jako ważne dla użytkownika

Oczywiście jest to gorszy scenariusz, więc nie panikuj. Niektóre z nich mogą zostać zablokowane przez inne środki bezpieczeństwa i nie będą wcale trywialne.

borjab
źródło
0

Informacje [1]

IMHO jedną z najbardziej przerażających rzeczy, które może zrobić exploit, jest zbieranie informacji i pozostawanie w ukryciu, aby wrócić i zaatakować, gdy twoja uwaga będzie mniejsza (każda noc lub okres wakacyjny będzie odpowiedni).
Oto tylko pierwsze powody, które przychodzą mi na myśl, możesz dodać innych i innych ...

  • Informacje o usługach , które prowadzisz, ich wersjach i słabościach, ze szczególnym uwzględnieniem przestarzałej, której utrzymanie może być konieczne ze względu na kompatybilność.
  • Okresowość, z jaką je aktualizujesz, oraz poprawki zabezpieczeń. Usiąść przed biuletynem i poczekać na odpowiedni moment, aby spróbować wrócić.
  • Te nawyki swoich użytkowników, wzrośnie mniej podejrzanych kiedy to będzie.
  • Do obrony skonfigurować.
  • Jeśli uzyskano choć częściowy dostęp do katalogu głównego , klucze ssh , autoryzowane hosty i hasła na tym i innych komputerach dla każdego użytkownika (załóżmy, że ktoś wykonał polecenie z hasłem przekazanym jako parametr, nie jest nawet potrzebne uprawnienie root). Możliwe było zeskanowanie pamięci i wyodrębnienie jej. Mówię jeszcze raz: w obie strony, do twojej maszyny i z twojej maszyny. Dzięki 2-stronnej autoryzacji ssh między dwoma komputerami mogą one nadal odbijać się od zainfekowanego konta.

Spłaszcz więc tę maszynę i monitoruj przyszłe hasła i klucze, z powyższych powodów i wszystkich innych, które możesz odczytać z innych odpowiedzi.


[1] Nie cytując dosłownie Hitchcocka: „Strzał z pistoletu trwa chwilę, ale ręka z bronią może trwać cały film”

Hastur
źródło