Kann Malware, die von einem Benutzer ohne Administrator- oder Sudo-Berechtigungen ausgeführt wird, meinem System schaden? [geschlossen]

30

Nach einem kürzlichen Einbruch auf einem Linux-Computer habe ich eine ausführbare Datei im Home-Ordner eines Benutzers mit einem schwachen Passwort gefunden. Ich habe alles aufgeräumt, was den Schaden zu bedeuten scheint, bereite aber zur Sicherheit ein vollständiges Abwischen vor.

Was kann Malware, die von einem Nicht-Sudo-Benutzer oder einem nicht privilegierten Benutzer ausgeführt wird, tun? Sucht es nur nach Dateien, die mit einer weltweiten, beschreibbaren Infektionserlaubnis versehen sind? Welche Bedrohungen kann ein Benutzer ohne Administratorrechte auf den meisten Linux-Systemen ausführen? Können Sie einige Beispiele für Probleme in der Praxis nennen, die durch diese Art von Sicherheitsverletzung verursacht werden können?

security malware Ezgoodnight
quelle
14
Es kann alles tun, was Sie als nicht privilegierter Benutzer tun können, was eine ganze Reihe von Dingen sein kann.
Faheem Mitha
1
Dies hängt von Ihrem Setup ab und davon, ob die Maschine gut gewartet wird. Dies kann vom einfachen Versenden von Malware oder der Zugehörigkeit zu einem Botnetz, der Eskalation von Berechtigungen, all diesen Aufgaben und der weiteren Gefährdung des Computers und der Sicherheit Ihres Netzwerks reichen.
Rui F Ribeiro
9
Wenn die Malware ausgereift genug ist, kann sie Sicherheitslücken ausnutzen, um Root-Zugriff zu erhalten. Ein System, gegen das verstoßen wurde, ist immer als völlig kaputt anzusehen und sollte sofort offline geschaltet werden.
Runium
2
Hinweis: In der Regel sind die Exploits monatelang inaktiv. Der Ausbeuter wird die Fähigkeit verkaufen, anderen schlechte Dinge anzutun.
Giacomo Catenazzi
5
Eskalation lokaler Rechte access.redhat.com/security/cve/CVE-2016-0728
Jeff Schaller

Antworten:

29

Die meisten normalen Benutzer können E-Mails senden, Systemdienstprogramme ausführen und Netzwerk-Sockets erstellen, die an höheren Ports empfangsbereit sind. Dies bedeutet, ein Angreifer könnte

  • Spam- oder Phishing-Mails versenden,
  • eine Systemfehlkonfiguration ausnutzen, die nur vom System aus sichtbar ist (denken Sie an private Schlüsseldateien mit zulässigen Leseberechtigungen),
  • Einrichten eines Dienstes zum Verteilen von beliebigen Inhalten (z. B. Pornostrom).

Was genau dies bedeutet, hängt von Ihrem Setup ab. Der Angreifer könnte beispielsweise E-Mails senden, die so aussehen, als stammten sie von Ihrem Unternehmen, und die E-Mail-Reputation Ihres Servers missbrauchen. Dies gilt umso mehr, wenn Funktionen zur E-Mail-Authentifizierung wie DKIM eingerichtet wurden. Dies funktioniert, bis der Mitarbeiter Ihres Servers befleckt ist und andere Mailserver damit beginnen, die IP / Domain auf die schwarze Liste zu setzen.

In jedem Fall ist die Wiederherstellung von einem Backup die richtige Wahl.

tarleb
quelle
17
Der Angreifer kann alle Benutzerdaten verschlüsseln und eine Zahlung verlangen, um den privaten Schlüssel dafür zu erhalten
Ferrybig
1
@Ferrybig Sie können nur die aktuelle Version verschlüsseln, keine Backups. Die Frage lautet dann: Ist der Sicherungssatz nicht leer?
PyRulez
Wir kennen alle die übliche Antwort auf diese Frage, @PyRulez: O
TheBlastOne
Bedeutet das Senden von E-Mails von einem Server, dass Sie E-Mail-Adressen in Ihrer Domain besser unterscheiden können als bei einem völlig irrelevanten Server?
user23013
1
@ user23013 Nicht unbedingt, aber bei vielen Systemen ist dies der Fall. Postmaster können Technologien wie SPF , DKIM und DMARC einrichten , mit denen Remoteserver die Legitimität eingehender E-Mails überprüfen können. Einige Mailer (z. B. Google Mail) bieten die Möglichkeit, auf diese Weise überprüfte Mails hervorzuheben. Ein Angreifer könnte dies missbrauchen, um scheinbar vertrauenswürdige Phishing-Mails zu versenden.
Tarleb
19

Bei den meisten Antworten fehlen die beiden Schlüsselwörter: Eskalation der Rechte .

Wenn ein Angreifer Zugriff auf ein nicht privilegiertes Konto hat, ist es für ihn viel einfacher, Fehler im Betriebssystem und in den Bibliotheken auszunutzen, um privilegierten Zugriff auf das System zu erhalten. Sie sollten nicht davon ausgehen, dass der Angreifer nur den nicht privilegierten Zugriff verwendet hat, den er ursprünglich erhalten hat.

David Richerby
quelle
2
Ich habe auf die Veröffentlichung gewartet, um zu sehen, ob jemand dieses besondere Risiko bemerkt hat. Buffer Overflows, der ewige Freund aller Bösewichte, lol. Sie hätten mehr als plus 1 haben sollen, da dies das eigentliche Risiko ist, nicht irgendeine Spyware auf Benutzerebene, was ärgerlich ist, aber das war es auch schon. Die Eskalation von Berechtigungen, die zur Installation des Rootkits führt, führt zu einem vollständig im Besitz befindlichen Computer, dessen Exploits im Hintergrund nicht erkannt werden können.
Lizardx
15

Ein rm -rf ~oder etwas Ähnliches wäre ziemlich katastrophal, und Sie benötigen keine Root-Rechte.

joH1
quelle
15
Sehr geehrte UNIX-Neulinge, probieren Sie das nicht aus! (Es werden Ihre persönlichen Dateien gelöscht.)
AL
1
Genau wie AL sagt. rm -rf /ist viel sicherer (jk mach es nicht. Es tötet alles: urbandictionary.com/define.php?term=rm+-rf+%2F. )
PyRulez
12

Ransomware

Es trifft nicht auf Ihre Situation zu, da Sie es bemerkt hätten, aber für die heutzutage populären Angriffe von Ransomware (Verschlüsseln aller Ihrer Dokumente und Anbieten des Verkaufs des Entschlüsselungsschlüssels) ist es völlig ausreichend, nicht privilegierten Zugriff zu haben.

Es kann keine Systemdateien ändern, aber im Allgemeinen ist das Neuerstellen eines Systems von Grund auf einfach, verglichen mit der Wiederherstellung wertvoller Benutzerdaten (Geschäftsdokumente, Familienbilder usw.) von Sicherungen, die häufig veraltet oder nicht vorhanden sind.

Peter ist
quelle
11

Am häufigsten (in meiner POV, aus meiner Erfahrung):

  • Spam senden

  • Senden Sie mehr Spam

  • Andere Computer infizieren

  • Richten Sie Phishing-Sites ein

  • ...

Giacomo Catenazzi
quelle
2
Sie haben noch mehr Spam vergessen.
Autar
4

Ein Virus kann alle Computer in Ihrem LAN-Netzwerk infizieren und die Berechtigung erhöhen, den Root-Zugriff wiki-Privilege_escalation zu erhalten

Die Eskalation von Berechtigungen ist die Ausnutzung eines Fehlers, eines Konstruktionsfehlers oder eines Konfigurationsfehlers in einem Betriebssystem oder einer Softwareanwendung, um erhöhten Zugriff auf Ressourcen zu erhalten, die normalerweise vor einer Anwendung oder einem Benutzer geschützt sind. Das Ergebnis ist, dass eine Anwendung mit mehr Berechtigungen als vom Anwendungsentwickler oder Systemadministrator vorgesehen, nicht autorisierte Aktionen ausführen kann.

GAD3R
quelle
0

Mir fallen viele mögliche Möglichkeiten ein:

  • Denial-of-Service: Möglicherweise ist es auf Ihrem Computer oder wahrscheinlich, dass Sie Ihren Computer verwenden, um einen zweiten auf Kosten Ihrer eigenen Ressourcen anzugreifen.
  • Meine Bitcoins. Die Verwendung Ihrer CPU für den Erhalt von Geld scheint attraktiv genug zu sein
  • Wenn der Browser anfällig ist, wird er versuchen, Sie zu allen Arten von Websites umzuleiten, Leisten zu installieren oder Pop-ups anzuzeigen, mit denen Sie Einnahmen erzielen. Glücklicherweise scheint dies unter Linux schwieriger zu sein, oder die Spammer können das nicht so gut.
  • Holen Sie sich private Daten für den kommerziellen Gebrauch und verkaufen Sie diese an andere. Nur für den kompromittierten Benutzer: Geburtsdatum, Telefon, wenn es sich im Browser-Cache befindet.
  • Greifen Sie auf andere Dateien auf dem Server zu, die lesbar sind.
  • Erstellen Sie böswillige Skripte, die möglicherweise nach dem Root-Passwort fragen. Beispielsweise versuchen sie in Ihrer Bash möglicherweise, sudo auf andere Dinge umzuleiten, um Ihr Passwort zu erhalten.
  • Holen Sie sich Ihre gespeicherten Passwörter in den Browser oder versuchen Sie, Ihre Bankdaten zu speichern. Dies könnte schwieriger sein, wird aber sicherlich gefährlich sein. Mit Google Mail erhalten sie möglicherweise Facebook, haben Ihren Steam-Account gestohlen, Amazon usw.
  • Installieren Sie schädliche Zertifikate, die für Ihren Benutzer gültig sind

Natürlich ist dies ein schlimmeres Szenario, also keine Panik. Einige davon werden möglicherweise durch andere Sicherheitsmaßnahmen blockiert und sind überhaupt nicht trivial.

Borjab
quelle
0

Informationen [1]

Eine der erschreckendsten Möglichkeiten eines Exploits ist es, Informationen zu sammeln und versteckt zu bleiben, um zurückzukehren und zu zuschlagen, wenn Ihre Aufmerksamkeit nachlässt (jede Nacht oder Urlaubsperiode ist geeignet).
Das Folgende sind nur die ersten Gründe, die mir in den Sinn kommen, Sie können andere und andere hinzufügen ...

  • Informationen zu den Dienstleistungen Ihnen ausgeführten , ihrer Version und ihren Schwächen, insbesondere zu den veralteten , die Sie möglicherweise aus Kompatibilitätsgründen am Leben erhalten müssen.
  • Periodizität mit der Sie sie und die Sicherheitspatches aktualisieren. Um vor einem Bulletin zu sitzen und im richtigen Moment zu warten, um zu versuchen, wiederzukommen.
  • Die Gewohnheiten Ihrer Benutzer, weniger Verdächtige zu erwecken, wenn es sein wird.
  • Die Abwehrkräfte Sie eingerichtet haben.
  • Wenn Sie auch nur einen Teil des Root-Zugriffs auf die SSH-Schlüssel , die autorisierten Hosts und die Passwörter auf diesem und anderen Computern für jeden Benutzer erhalten (nehmen wir an, jemand hat einen Befehl mit dem als Parameter übergebenen Passwort ausgeführt, es wird nicht einmal das Root-Privileg benötigt). Der Speicher konnte gescannt und extrahiert werden. Ich sage noch einmal: auf beide Arten, zu Ihrer Maschine und von Ihrer Maschine. Mit der zweiseitigen SSH-Autorisierung zwischen zwei Computern können sie weiterhin vom kompromittierten Konto ein- und aussteigen.

Machen Sie den Computer platt und überwachen Sie die zukünftigen Passwörter und Schlüssel, aus den oben genannten Gründen und all den anderen, die Sie aus den anderen Antworten ablesen können.

[1] Nicht wörtlich Hitchcock zitieren: "Ein Schuss einer Waffe dauert einen Moment, aber eine Hand mit einer Waffe kann einen ganzen Film aushalten "

Hastur
quelle