Un logiciel malveillant exécuté par un utilisateur sans privilèges administrateur ou sudo peut-il endommager mon système? [fermé]

30

Après une récente intrusion sur une machine exécutant Linux, j'ai trouvé un fichier exécutable dans le dossier personnel d'un utilisateur avec un mot de passe faible. J'ai nettoyé ce qui semble être tous les dégâts, mais je prépare une lingette complète pour être sûr.

Que peuvent faire les malwares exécutés par un utilisateur NON-sudo ou non privilégié? Cherche-t-il simplement des fichiers marqués d'une autorisation accessible en écriture pour l'infection? Quelles choses menaçantes un utilisateur non administrateur peut-il faire sur la plupart des systèmes Linux? Pouvez-vous fournir des exemples de problèmes réels que ce type d'atteinte à la sécurité peut causer?

security  malware 
ezgoodnight
source
14
Il peut faire tout ce que vous pourriez faire en tant qu'utilisateur non privilégié, ce qui pourrait être beaucoup de choses.
Faheem Mitha
1
Cela dépend de votre configuration et si la machine est bien entretenue. Cela peut aller de l'envoi de logiciels malveillants ou de la participation à un botnet, à l'augmentation des privilèges, à tout cela et à compromettre davantage la machine et la sécurité de votre réseau.
Rui F Ribeiro
9
Si le malware est suffisamment sophistiqué, il peut exploiter les vulnérabilités pour accéder à la racine. Un système violé doit toujours être considéré comme totalement défectueux et doit être immédiatement mis hors ligne.
Runium
2
Remarque: Habituellement, les exploits sont inactifs pendant des mois. L'exploiteur vendra la capacité de faire de mauvaises choses aux autres.
Giacomo Catenazzi
5
Jeff Schaller

Réponses:

29

La plupart des utilisateurs normaux peuvent envoyer des e-mails, exécuter des utilitaires système et créer des sockets réseau en écoutant sur des ports supérieurs. Cela signifie qu'un attaquant pourrait

  • envoyer des mails de spam ou de phishing,
  • exploiter toute mauvaise configuration du système uniquement visible depuis l'intérieur du système (pensez aux fichiers de clés privées avec des autorisations de lecture permissives),
  • mettre en place un service pour distribuer des contenus arbitraires (ex: torrent porno).

Ce que cela signifie exactement dépend de votre configuration. Par exemple, l'attaquant pourrait envoyer du courrier semblant provenir de votre entreprise et abuser de la réputation du courrier de vos serveurs; encore plus si des fonctionnalités d'authentification de messagerie comme DKIM ont été configurées. Cela fonctionne jusqu'à ce que le représentant de votre serveur soit entaché et que d'autres serveurs de messagerie commencent à mettre sur liste noire l'IP / domaine.

Dans tous les cas, la restauration à partir d'une sauvegarde est le bon choix.

tarleb
source
17
L'attaquant peut crypter toutes les données des utilisateurs et exiger un paiement pour obtenir la clé privée correspondante
Ferrybig
1
@Ferrybig Ils ne peuvent chiffrer que la version actuelle, pas les sauvegardes. La question devient alors la suivante: l'ensemble des sauvegardes n'est-il pas vide?
PyRulez
Nous connaissons tous la réponse habituelle à cette question, @PyRulez: O
TheBlastOne
L'envoi d'e-mails à partir d'un serveur implique-t-il que vous pouvez utiliser des adresses e-mail @ votre domaine, d'une manière plus distincte que l'utilisation d'un serveur complètement hors de propos?
user23013
1
@ user23013 Pas nécessairement, mais avec de nombreux systèmes, c'est le cas. Les maîtres de poste peuvent configurer des technologies telles que SPF , DKIM et DMARC qui permettent aux serveurs distants de valider la légitimité du courrier entrant. Certains expéditeurs (par exemple Gmail) offrent une option pour mettre en évidence les e-mails validés de cette façon. Un attaquant pourrait en abuser pour envoyer des mails de phishing dignes de confiance.
tarleb
19

La plupart des réponses ne contiennent pas les deux mots clés: élévation de privilèges .

Lorsqu'un attaquant a accès à un compte non privilégié, il leur est beaucoup plus facile d'exploiter les bogues du système d'exploitation et des bibliothèques pour obtenir un accès privilégié au système. Vous ne devez pas supposer que l'attaquant n'a utilisé que l'accès non privilégié qu'il a obtenu à l'origine.

David Richerby
source
2
J'attendais de poster pour voir si quelqu'un a noté ce risque réel particulier. Buffer déborde, l'ami perpétuel de tous les mécréants, lol. Vous auriez dû avoir plus de plus 1 car c'est le risque réel réel, pas un logiciel espion de niveau utilisateur, ce qui est ennuyeux mais c'est à peu près tout. L'escalade de privilèges, conduisant à l'installation de rootkit, conduisant à une machine totalement possédée, avec des exploits essentiellement indétectables fonctionnant joyeusement en coulisses.
Lizardx
15

Un rm -rf ~ou quelque chose de semblable serait assez catastrophique, et vous n'avez pas besoin de privilèges root.

joH1
source
15
Chers nouveaux arrivants UNIX, n'essayez pas ceci! (il effacera vos fichiers personnels)
AL
1
Exactement comme le dit AL. rm -rf /est beaucoup plus sûr (jk ne le fais pas. Il tue tout: urbandictionary.com/define.php?term=rm+-rf+%2F. )
PyRulez
12

Ransomware

Cela ne s'applique pas à votre situation, car vous l'auriez remarqué, mais pour les attaques de ransomwares quelque peu populaires de nos jours (chiffrement de tous vos documents et offre de vendre la clé de déchiffrement), il suffit complètement d'avoir un accès non privilégié.

Il ne peut pas modifier les fichiers système, mais généralement, la reconstruction d'un système à partir de zéro est simple par rapport à la récupération de données utilisateur précieuses (documents commerciaux, photos de famille, etc.) à partir de sauvegardes qui sont souvent obsolètes ou inexistantes.

Peter est
source
11

Le plus courant (dans mon POV, d'après mon expérience):

  • Envoi de spam

  • Envoyer plus de spam

  • Infecter d'autres ordinateurs

  • Configurer les sites de phishing

  • ...

Giacomo Catenazzi
source
2
Vous avez oublié un peu plus de spam.
Autar
4

Un virus peut infecter toutes les machines de votre réseau LAN et élever le privilège d'obtenir l'accès racine wiki-Privilege_escalation

L'escalade de privilèges consiste à exploiter un bogue, un défaut de conception ou une erreur de configuration dans un système d'exploitation ou une application logicielle pour obtenir un accès élevé aux ressources qui sont normalement protégées contre une application ou un utilisateur. Le résultat est qu'une application avec plus de privilèges que prévu par le développeur de l'application ou l'administrateur système peut effectuer des actions non autorisées.

GAD3R
source
0

Beaucoup de possibilités me viennent à l’esprit:

  • Déni de service: il pourrait être sur votre machine ou plus probable, utilisez votre machine pour en attaquer une seconde au détriment de vos propres ressources.
  • Mine de bitcoins. Utiliser votre CPU pour gagner de l'argent semble assez attrayant
  • Si le navigateur est vulnérable, il essaiera de vous rediriger vers tous les types de sites, d'installer des barres ou d'afficher des fenêtres contextuelles qui leur procureront des revenus. Heureusement, cela semble plus difficile sous Linux ou les spammeurs ne sont pas aussi bons dans ce domaine.
  • Obtenez des données privées pour une utilisation commerciale et vendez-les à d'autres. Uniquement pour l'utilisateur compromis: date de naissance, téléphone, s'il est dans le cache du navigateur.
  • Accédez à d'autres fichiers du serveur qui sont lisibles.
  • Créez des scripts malveillants qui pourraient demander le mot de passe root. Par exemple, dans votre bash, ils peuvent essayer de rediriger sudo vers d'autres choses pour obtenir votre mot de passe.
  • Récupérez vos mots de passe stockés dans le navigateur ou essayez d'enregistrer vos identifiants bancaires. Cela pourrait être plus difficile mais certainement dangereux. Avec Gmail, ils peuvent obtenir Facebook, voler votre compte Steam, Amazon, etc.
  • Installez des certificats malveillants valides pour votre utilisateur

Bien sûr, c'est un scénario pire, alors ne paniquez pas. Certains de ces éléments peuvent être bloqués par d'autres mesures de sécurité et ne seront pas du tout anodins.

borjab
source
0

Informations [1]

À mon humble avis, l'une des choses les plus effrayantes qu'un exploit puisse faire est de recueillir des informations et de rester caché pour revenir et frapper lorsque votre attention sera moindre (chaque nuit ou période de vacances conviendra).
Ce ne sont que les premières raisons qui me viennent à l'esprit, vous pouvez en ajouter d'autres et d'autres ...

  • Informations sur les services que vous exécutez, leur version et leurs faiblesses, avec une attention particulière à celui obsolète que vous devrez peut-être maintenir en vie pour des raisons de compatibilité.
  • Périodicité avec laquelle vous les mettez à jour et les correctifs de sécurité. S'asseoir devant un bulletin et attendre le bon moment pour essayer de revenir.
  • Les habitudes de vos utilisateurs, pour lever moins de suspects quand il le sera.
  • Les défenses que vous mettez en place.
  • Si vous obtenez un accès root même partiel aux clés ssh , aux hôtes autorisés et aux mots de passe sur cette machine et d'autres pour chaque utilisateur (supposons que quelqu'un ait exécuté une commande avec le mot de passe passé en paramètre, il n'a même pas besoin du privilège root). Il était possible de scanner la mémoire et de l'extraire. Je le répète: dans les deux sens, vers votre machine et depuis votre machine. Avec une autorisation ssh bilatérale entre deux machines, ils peuvent continuer à rebondir dans et hors du compte compromis.

Aplatissez donc cette machine et surveillez les futurs mots de passe et clés, pour ces raisons ci-dessus et toutes les autres que vous pouvez lire dans les autres réponses.

[1] Citant pas littéralement Hitchcock: "Un coup de feu dure un instant mais une main brandissant une arme peut durer un film complet"

Hastur
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.