Linux malware

Sistemele de operare GNU/Linux și Unix-like sunt în general considerate a fi sigure împotriva programelor malware de calculator. Cu toate acestea, virușii pot ataca sistemele Linux neprotejate, pot bloca funcționarea acestora și chiar se pot răspândi în alte calculatoare.
Deși nu există atât de multe programe malware scrise pentru Linux, spre deosebire de Windows, amenințările la adresa securității Linux au devenit mai numeroase și mai severe în ultimii ani.
Sistemele de operare Linux și Unix-like dețin o cotă de piață în servere de aproximativ 66%, numărul de programe malware (viruși, troieni, spyware) pe acestea a crescut de la 422 la 863 din 2005 până în 2006.

Potrivit lui Scott Granneman de la SecurityFocus:

«... Calculatoarele cu Linux au nevoie de software antivirus. De exemplu, serverele Samba și NFS conțin documente vulnerabile în formate Microsoft, cum ar fi Word și Excel, care nu au specificații deschise, care pot răspândi viruși. Serverele de poștă electronică Linux ar trebui să fie echipate cu software antivirus pentru a face virusul inofensiv înainte de a ajunge în cutiile poștale Outlook și Outlook Express».^[1]

Numărul de viruși pentru Windows este de aproximativ 114.000, iar pentru Linux reprezintă 0.76% din numărul total de viruși Windows. Acest lucru este adesea atribuit incapacității malware-ului de a obține privilegii "root" și actualizarea rapidă a descoperirii vulnerabilităților Linux.

Android, care este un sistem de operare bazat pe kernel Linux, este, de asemenea, una dintre platformele cele mai vizate de malware, deoarece Android este cel mai comun sistem de operare pe smartphone-uri. ^[2]

Unele programe malware ca virușii multiplatformă pot să ruleze pe orice sistem de operare sau chiar și pe alte arhitecturi cum ar fi ARM, MIPS, Power PC și SuperH.^[3]

Scurt istoric

Primele virusuri de calculator pentru familia de sisteme de operare Unix au fost experimente create de Fred Cohen în anul 1983 la Viterbi School of Engineering. La sfârșitul anilor 1980, scrie primele publicații cu codul sursă de virusuri în limbaj Bash. ^[4][5]

Staog a fost primul virus real pentru Linux în octombrie 1996. Când este executat, virusul devine rezident în memorie și infectează fișiere ELF în timp ce sunt executate pentru a obține acces la root. ^[6]

Bliss a fost al doilea virus Linux. A apărut în 1997 infectând executabile ELF și creează directorul /tmp/.bliss. Prin accesarea fișierului /etc/hosts.equiv poate infecta mai multe computere din rețea. În luna februarie a anului următor a fost lansată o versiune revizuită. ^[7]

Snoopy este un virus companion Unix apărut după 1998. Versiunile vechi infectau fișierele a.out, iar variantele mai noi, fișiere ELF. Două versiuni anterioare au fost examinate în cartea Neagră uriașă a lui Mark Ludwig.^[8]

În același an sunt publicate The Little Black Book of Computer Viruses și The Giant Black Book of Computer Viruses de Mark Ludwig, cărți revoluționare la vremea respectivă pentru că au enumerat codul sursă complet pentru viruși. Sunt examinate și două versiuni anterioare ale virusului Snoopy.^[9]

OSF.8759, detectat în 2002, a fost primul virus cu adevărat periculos pentru Linux care infectează executabile ELF. Fișierele afectate au dimensiunea crescută cu 8759 octeți. 3979 octeți aparțin codului actual de virus, în timp ce celelalte 4662 aparțin codului unui backdoor atașat de virus la sfârșitul fișierului. Virusul infectează toate fișierele din directorul curent, dar evită infectarea fișierelor cu nume care se termină cu "ps". Backdoor-ul atașat virusului accede pe portul UDP 3049.^[10]

O vulnerabilitate în Apache a dus la crearea și răspândirea viermelui Mighty. Viermele exploata o vulnerabilitate în interfața SSL din Apache, apoi infecta computerul victimei. Odată pe computer, crează o conexiune secretă la un server IRC și se alătură unui canal pentru a aștepta trimiterea comenzilor la acesta.

Un vierme similar a fost Lupper descoperit în 2005, care se răspândește prin exploatarea serverelor web Apache folosind scripturile PHP/CGI. Viermele este descarcat și se execută atunci când serverul vizat rulează scripturi vulnerabile la o anumită adresă URL și apoi crează unui backdoor pe serverul compromis. Viermele generează apoi adrese URL, care inițiază o scanare pentru a căuta alte servere. ^[11]

Podloso descoperit la 4 aprilie 2007, a fost un virus de tip proof-of-concept (PoC) care infectează anumite fișiere dintr-un dispozitiv iPodLinux.

Un site web pentru utilizatorii GNOME a găzduit în anul 2009 un malware într-un screensaver numit WaterFall. După ce a fost instalat pe calculator, malwareul instala și un backdoor care lansa la un atac DOS.

Koobface a fost un virus multiplatformă care s-a răspândit în 2010 prin intermediul rețelelor de socializare, Facebook, Skype, Yahoo Messenger, din Windows, Mac OS X. Odată parola compromisă, virusul trimitea un mesaj malware tuturor prietenilor din rețeaua de socializare.

Windigo sau "Operațiunea Windigo" din anul 2014, a fost un malware prin care s-au expediat milioane de e-mailuri spam la zeci de mii de servere Linux. Victimele Windigo au inclus CPanel și kernel.org.^[12]

Pe 20 februarie 2016, au fost accesate serverele Linux Mint pe care s-a instalat spyware și backdoors în versiunea Linux Mint 17.3 Rosa Cinnamon. Atacul de hacking a fost din Sofia, Bulgaria.^[13]

Mirai un program malware ce ataca dispozitivele IoT din rețea cum ar fi camerele IP și routerele care rulează Linux și le transforma în "bots" controlate de la distanță. Dispozitivele afectate erau apoi folosite ca parte a unui botnet în atacuri de rețea la scară largă. ^{[14][15][16] [17][18]}

Aplicații antivirus pentru Linux

 

Scanare chkrootkit pe Linux

• Avast!
• AVG
• Avira Antivir (propietar)
• BitDefender
• chkrootkit
• ClamAV și Clamtk GUI
• Comodo (proprietar)
• Dr.Web (proprietar)
• ESET (proprietar)
• F-PROT
• Kaspersky Linux Security
• Linux Malware Detect
• lynis
• Panda Security
• rkhunter
• Sophos (proprietar)
• Trend Micro (proprietar)

Vezi și

• Malware
• Securitatea informației

Referințe și note

1. ^ Linux vs. Windows Viruses securityfocus.com, Scott Granneman, 2003-10-02
2. ^ Android Malware cyber.nj.gov
3. ^ Remaiten Is a New DDoS Bot Targeting Linux-Based Home Routers news.softpedia.com, By Cătălin Cimpanu, Mar 31, 2016
4. ^ Computer Viruses - Theory and Experiments (1984) all.net
5. ^ On the Implications of Computer Viruses and Methods of Defense (1988) vx.netlux.org
6. ^ staog virus.wikidot.com
7. ^ bliss virus.wikidot.com
8. ^ snoopy virus.wikidot.com
9. ^ The Giant Black Book of Computer Viruses (1995). Chapter 20 "Unix Virus", pp. 266-268 vx.netlux.org
10. ^ osf.8759 Arhivat în 18 iulie 2019, la Wayback Machine. viruslibrary.com
11. ^ Lupper Worm 101 spamlaws.com
12. ^ Windigo: Virusul care afectează 500.000 de calculatoare în fiecare zi realitatea.net, 26 martie 2014
13. ^ Linux Arhivat în 11 mai 2019, la Wayback Machine. malware.wikia.org
14. ^ Hackerii lansează o campanie cibernetică masivă de la Mirai faravirus.ro, 17-03-2017
15. ^ A brief history of Linux malware Arhivat în 18 mai 2019, la Wayback Machine. networkworld.com
16. ^ A history of viruses on Linux neowin.net, Brandon Boyce, Nov. 27, 2010
17. ^ An Introduction to Linux-based malware sans.org
18. ^ Official Ubuntu Documentation - Linux virus help.ubuntu.com

Legături externe

• Linuxsecurity.com
• Viruses by Type: Linux^{[nefuncțională]}
• Linux malware threats you should know about Arhivat în 18 mai 2019, la Wayback Machine.
• Cele Mai Bune 7 Antivirusuri (GRATUITE) Pentru Linux în 2019
• Vulnerabilitate linux kernel Arhivat în 18 mai 2019, la Wayback Machine.
• 12 Best Linux Distributions for Hacking and Penetration Testing

Bibliografie

Donald A. Tevault: Mastering Linux Security and Hardening. Secure your Linux server and protect it from intruders, malware attacks, and other external threats, Packt Publishing, 2018, ISBN: 9781788625067