¿Puede el malware ejecutado por un usuario sin privilegios de administrador o sudo dañar mi sistema? [cerrado]

30

Después de un reciente robo en una máquina con Linux, encontré un archivo ejecutable en la carpeta de inicio de un usuario con una contraseña débil. He limpiado lo que parece ser todo el daño, pero estoy preparando una limpieza completa para estar seguro.

¿Qué puede hacer el malware ejecutado por un usuario NO privilegiado o no privilegiado? ¿Solo busca archivos marcados con permiso de escritura mundial para infectar? ¿Qué cosas amenazantes puede hacer un usuario no administrador en la mayoría de los sistemas Linux? ¿Puede proporcionar algunos ejemplos de problemas del mundo real que este tipo de violación de seguridad puede causar?

security malware ezgoodnight
fuente
14
Puede hacer lo que sea que pueda hacer como usuario sin privilegios, lo que podría ser muchas cosas.
Faheem Mitha
1
Depende de su configuración y si la máquina está bien mantenida. Puede variar desde solo enviar malware o ser parte de una botnet, desde aumentar los privilegios, hacer todas esas cosas y comprometer aún más la máquina y la seguridad de su red.
Rui F Ribeiro
99
Si el malware es lo suficientemente sofisticado, puede explotar vulnerabilidades para obtener acceso a la raíz. Un sistema violado siempre debe considerarse completamente roto y debe desconectarse de inmediato.
Runium
2
Nota: Por lo general, los exploits están inactivos durante meses. El explotador venderá la capacidad de hacer cosas malas a otros.
Giacomo Catenazzi
55
Escalada de
Jeff Schaller

Respuestas:

29

La mayoría de los usuarios normales pueden enviar correo, ejecutar utilidades del sistema y crear sockets de red que escuchan en puertos superiores. Esto significa que un atacante podría

  • enviar correos no deseados o de phishing,
  • explotar cualquier configuración incorrecta del sistema solo visible desde el sistema (piense en archivos de clave privada con permisos de lectura permisivos),
  • configurar un servicio para distribuir contenidos arbitrarios (por ejemplo, torrent porno).

Lo que esto significa exactamente depende de su configuración. Por ejemplo, el atacante podría enviar correo como si viniera de su empresa y abusar de la reputación de correo de sus servidores; aún más si se han configurado funciones de autenticación de correo como DKIM. Esto funciona hasta que el representante de su servidor está contaminando y otros servidores de correo comienzan a poner en la lista negra la IP / dominio.

De cualquier manera, restaurar desde una copia de seguridad es la opción correcta.

tarleb
fuente
17
El atacante puede encriptar todos los datos de los usuarios y
solicitar
1
@Ferrybig Solo pueden cifrar la versión actual, no copias de seguridad. La pregunta se convierte en esta: ¿el conjunto de copias de seguridad no está vacío?
PyRulez
Todos sabemos la respuesta habitual a esa pregunta, @PyRulez: O
TheBlastOne
¿Enviar correos electrónicos desde un servidor implica que puede usar direcciones de correo electrónico en su dominio, de una manera más distintiva que usar un servidor completamente irrelevante?
user23013
1
@ user23013 No necesariamente, pero con muchos sistemas, lo hace. Los postmasters pueden configurar tecnologías como SPF , DKIM y DMARC que permiten a los servidores remotos validar la legitimidad del correo entrante. Algunos correos (por ejemplo, Gmail) ofrecen una opción para resaltar los correos validados de esa manera. Un atacante podría abusar de esto para enviar correos de phishing aparentemente confiables.
tarleb
19

A la mayoría de las respuestas les faltan las dos palabras clave: escalada de privilegios .

Una vez que un atacante tiene acceso a una cuenta no privilegiada, es mucho más fácil para ellos explotar errores en el sistema operativo y las bibliotecas para obtener acceso privilegiado al sistema. No debe suponer que el atacante usó solo el acceso sin privilegios que obtuvo originalmente.

David Richerby
fuente
2
Estaba esperando publicar para ver si alguien notó este riesgo real en particular. El búfer se desborda, el amigo perpetuo de todos los malcretores, jajaja. Debería haber tenido más de más 1 porque este es el riesgo real real, no algún spyware a nivel de usuario, lo cual es molesto, pero eso es todo. Escalada de privilegios, lo que lleva a la instalación del rootkit, lo que lleva a una máquina totalmente propia, con exploits esencialmente indetectables que se ejecutan felizmente detrás de escena.
Lizardx
15

Una rm -rf ~o algo por igual serían bastante catastrófica, y que no necesitan privilegios de root.

joH1
fuente
15
Estimados recién llegados de UNIX, ¡no intenten esto! (borrará sus archivos personales)
AL
1
Exactamente como dice AL. rm -rf /es mucho más seguro (jk no lo hagas. Mata todo: urbandictionary.com/define.php?term=rm+-rf+%2F. )
PyRulez
12

Ransomware

No se aplica a su situación, ya que lo habría notado, pero para los ataques de ransomware algo populares hoy en día (encriptar todos sus documentos y ofrecer vender la clave de descifrado) es completamente suficiente para tener acceso sin privilegios.

No puede modificar los archivos del sistema, pero generalmente reconstruir un sistema desde cero es simple en comparación con la recuperación de datos valiosos del usuario (documentos comerciales, fotos familiares, etc.) de copias de seguridad que a menudo son obsoletas o inexistentes.

Pedro es
fuente
11

Más común (en mi POV, desde mi experiencia):

  • Enviando spam

  • Enviar más spam

  • Infectar otras computadoras

  • Configurar sitios de phishing

  • ...

Giacomo Catenazzi
fuente
2
Olvidaste un poco más de spam.
Autar
4

Un virus puede infectar todas las máquinas en su red LAN y elevar el privilegio para obtener el acceso raíz wiki-Privilege_escalation

La escalada de privilegios es el acto de explotar un error, falla de diseño o supervisión de configuración en un sistema operativo o aplicación de software para obtener un acceso elevado a recursos que normalmente están protegidos de una aplicación o usuario. El resultado es que una aplicación con más privilegios de los previstos por el desarrollador de la aplicación o el administrador del sistema puede realizar acciones no autorizadas.

GAD3R
fuente
0

Se me ocurren muchas posibilidades potenciales:

  • Denegación de servicio: podría ser en su máquina o más probable, use su máquina para atacar una segunda a costa de sus propios recursos.
  • Mina bitcoins. Usar su CPU para obtener dinero parece lo suficientemente atractivo
  • Si el navegador es vulnerable, intentarán redirigirlo a todo tipo de sitios, instalar barras o mostrar ventanas emergentes que les darán ingresos. Afortunadamente, esto parece más difícil en Linux o los spammers no son tan buenos en esto.
  • Obtenga datos privados para uso comercial y véndalos a otros. Solo para el usuario comprometido: fecha de nacimiento, teléfono, si está en el navegador caché.
  • Acceda a otros archivos en el servidor que sean legibles.
  • Cree scripts maliciosos que puedan solicitar la contraseña de root. Por ejemplo, en su bash pueden intentar redirigir sudo a otras cosas para obtener su contraseña.
  • Obtenga sus contraseñas almacenadas en el navegador o intente registrar sus credenciales bancarias. Esto podría ser más difícil pero ciertamente será peligroso. Con gmail pueden obtener facebook, robar su cuenta de steam, amazon, etc.
  • Instale certificados maliciosos como válidos para su usuario

Por supuesto, este es el peor de los casos, así que no se asuste. Parte de esto podría estar bloqueado por otras medidas de seguridad y no será trivial en absoluto.

borjab
fuente
0

Información [1]

En mi humilde opinión, una de las cosas más aterradoras que puede hacer un exploit es recopilar información y permanecer oculto para regresar y atacar cuando su atención sea menor (cada noche o período de vacaciones será adecuado).
Las siguientes son solo las primeras razones que se me ocurren, puedes agregar otras y otras ...

  • Información sobre los servicios que está ejecutando, su versión y sus debilidades, con especial atención a la obsoleta que puede necesitar para mantener con vida por razones de compatibilidad.
  • Periodicidad con la que los actualiza y los parches de seguridad. Para sentarse frente a un boletín y esperar el momento adecuado para intentar regresar.
  • Los hábitos de tus usuarios, para levantar menos sospechosos cuando será.
  • Las defensas que estableciste.
  • Si obtiene un acceso raíz parcial a las claves ssh , los hosts autorizados y las contraseñas en esta y otras máquinas para cada usuario (supongamos que alguien ejecutó un comando con la contraseña pasada como parámetro, ni siquiera se necesita el privilegio root). Fue posible escanear la memoria y extraerla. Digo de nuevo: en ambos sentidos, a su máquina y desde su máquina. Con la autorización ssh a 2 caras entre dos máquinas, pueden continuar entrando y saliendo de la cuenta comprometida.

Aplanar esa máquina y monitorear las contraseñas y claves futuras, por estas razones anteriores y todas las demás que puede leer de las otras respuestas.

[1] Citando no literalmente a Hitchcock: "Un disparo de una pistola dura un momento, pero una mano que empuña un arma puede durar una película completa"

Hastur
fuente