Классификация и принцип работы вредоносного программного обеспечения для ОС Linux
Ожидает приглашения
Исследования в области развития вредоносного программного обеспечения для ОС Linux Ubuntu является актуальной, т.к. данная операционная система становится все более популярной для пользователей ПК.
Структура windows и linux-вирусов различна, но принцип работы не отличается. Отличаются лишь структура файлов в самих ОС.
Исполняемые файлы в Linux имеют специальный формат — ELF (Executable and Linkable Format — формат исполняемых и компонуемых файлов). У каждого ELF-файла есть заголовок, в котором указан адрес входа, т.е. место, где начинается код самой программы. Таким образом, загрузчик ELF interpretor понимает, что и в каком количестве загружать. «Классический» вирус записывает себя вместо точки входа, чтобы, выполнившись, передать управление оригинальной программе, которую он поместил в другое место. Загрузчик запускает процесс, расположенный по адресу из заголовка, считая его нормальной программой, а вирус, перехвативший таким образом управление, сам является подобием ELF-файла, но сначала в нем записан исполняемый вредоносный код, а потом — подобие ELF-заголовка, чтобы передать управление оригиналу. Антивирусы, сканируя систему, сравнивают свои файлы с сигнатурами с кодом файла, затем проверяют содержимое файла на наличие знакомого участка кода (тела вируса) и при необходимости удаляют его.
Вирус, попавший в вашу систему, может обладать лишь теми же правами, что и вы. Если вы работаете под правами пользователя, то вирус никогда не сможет нанести вред системе, но нанести вред вашим личным данным может. В общем случае нет структурных отличий между Windows-вирусами и Linux-вирусами. Принципиальная разница в построении системы допусков самих ОС. В систему Linux Ubuntu вирус может попасть так же легко, как и в Windows, но он не сможет «самореализоваться», поэтому вредоносным его очень сложно назвать. Другая сложность вируса для GNU/Linux заключается в том, что все системы очень сильно отличаются друг от друга. Любая программа (и вирус тоже) использует какие-то системные функции (хороший пример — это зависимости пакетов в Linux: вы не сможете запустить пакет А, если он зависит от отсутствующего пакета Б). Из этого следует, что вирусы рассчитывают на наличие определенных библиотек (и обычно их количество исчисляется парой десятков). В результате написанный вирус сможет заработать на 1-2 машинах из тысячи, но и там будет сильно ограничен в своих правах. Другая сложность для вируса — это принцип логирования в Linux. Linux Ubuntu записывает в логи все события, происходившие на ПК, что позволяет быстро обнаруживать вредоносное ПО, даже если они смогли проникнуть на ваш компьютер. Наибольшее распространение в Linux получили бэкдоры и руткиты.
Бэкдор — (от англ. back door, чёрный ход) — программа или набор программ, которые устанавливает взломщик (хакер) на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к системе.
Руткит — (от англ. rootkit, т.е. «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.
Експлоит — (англ. exploit, эксплуатировать) — это компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Целью атаки может быть как захват контроля над системой (повышение привилегий), так и нарушение её функционирования (DDoS-атака).
Эти программы обычно не имеют механизмов размножения на компьютере (кроме случаев, когда эта вредоносная система сканирует компьютеры в сети, чтобы заразить и их, используя эксплоит, например, вирус Ramen). Но чаще всего злоумышленник (хакер) взламывает вашу систему, не используя «стандартный» эксплоит и внедряет в систему бэкдор и руткит. Backdoor обеспечивает связь и удаленное управление компьютером жертвы. Часто их можно обнаружить по открытым портам, но не всегда, т.к. порты могут меняться, и бэкдор может использовать какой-либо стандартный порт (например, http 80 порт). Пока его обнаружение не является проблемой, т.к. все действия попадают в логи ОС. Для чистки логов используется Rootkit. Он затирает все «следы» пребывания в системе бэкдора и самого себя. Наибольшую опасность представляют «ядерные» руткиты, работающие непосредственно с ядром системы. Они могут быть реализованы модулем ядра или вносить изменения в память ядра. Но в большинстве случаев руткиты лишь подменяют какие-нибудь системные утилиты и меняют настройки безопасности, и то и другое легко обнаруживается различными антируткитами (например, rkhunter) или блокируется средствами превентивной защиты (SELinux и AppArmor).
AppArmor -программный инструмент упреждающей защиты, основанный на профилях безопасности, которые определяют, к каким системным ресурсам и с какими привилегиями может получить доступ то или иное приложение. в AppArmor включён набор стандартных профилей, а также инструменты статического анализа и инструменты, основанные на обучении, позволяющее ускорить и упростить построение новых профилей. По умолчанию входит в состав дистрибутивов Ubuntu с версии 7.10, но не все профили включены по умолчанию.
Lion Worm поражает Linux-системы с запущенным DNS-сервером BIND версий 8.2, 8.2-P1, 8.2.1, 8.2.2-Px, и всех 8.2.3-beta.
Ramen virus поражает Red Hat Linux 6.2, используя уязвимости в wu-ftpd и rpc.statd, и Red Hat Linux 7.0., используя уязвимости lpd.
Winux Virus — кроссплатформенный концепт-вирус для Windows и Linux. Данный вирус не получил большого распространения в глобальной сети интернет.
Virus.Linux.RST — опасный вирус, который открывает удаленный доступ к локальному компьютеру. Вирус опасен при запуске только под root`ом.
Для обеспечения частичной безопасности вашей системы вам необходимо сведите работу с правами суперпользователя к минимуму. Настройка профилей для AppArmor гарантирует вам повышение уровня безопасности от действий бэкдоров. Так же необходимо настроить в брандмауэр, в Linux Ubuntu он включен в стандартный набор программного обеспечения.
Подводя итоги нужно сказать, что обеспечение безопасности в ОС Linux Ubuntu является актуальной проблемой т.к. Linux Ubuntu и другие дистрибутивы GNU/Linux набирают все большую популярность на рынке операционных систем. Исходя из этого, можно предположить, что увеличится количество вредоносного программного обеспечения для нее.
Вредоносное программное обеспечение для GNU/Linux
Структура windows и linux-вирусов различна, но принцип работы не отличается. Отличаются лишь структура файлов в самих ОС.
Исполняемые файлы в Linux имеют специальный формат — ELF (Executable and Linkable Format — формат исполняемых и компонуемых файлов). У каждого ELF-файла есть заголовок, в котором указан адрес входа, т.е. место, где начинается код самой программы. Таким образом, загрузчик ELF interpretor понимает, что и в каком количестве загружать. «Классический» вирус записывает себя вместо точки входа, чтобы, выполнившись, передать управление оригинальной программе, которую он поместил в другое место. Загрузчик запускает процесс, расположенный по адресу из заголовка, считая его нормальной программой, а вирус, перехвативший таким образом управление, сам является подобием ELF-файла, но сначала в нем записан исполняемый вредоносный код, а потом — подобие ELF-заголовка, чтобы передать управление оригиналу. Антивирусы, сканируя систему, сравнивают свои файлы с сигнатурами с кодом файла, затем проверяют содержимое файла на наличие знакомого участка кода (тела вируса) и при необходимости удаляют его.
Вирус, попавший в вашу систему, может обладать лишь теми же правами, что и вы. Если вы работаете под правами пользователя, то вирус никогда не сможет нанести вред системе, но нанести вред вашим личным данным может. В общем случае нет структурных отличий между Windows-вирусами и Linux-вирусами. Принципиальная разница в построении системы допусков самих ОС. В систему Linux Ubuntu вирус может попасть так же легко, как и в Windows, но он не сможет «самореализоваться», поэтому вредоносным его очень сложно назвать. Другая сложность вируса для GNU/Linux заключается в том, что все системы очень сильно отличаются друг от друга. Любая программа (и вирус тоже) использует какие-то системные функции (хороший пример — это зависимости пакетов в Linux: вы не сможете запустить пакет А, если он зависит от отсутствующего пакета Б). Из этого следует, что вирусы рассчитывают на наличие определенных библиотек (и обычно их количество исчисляется парой десятков). В результате написанный вирус сможет заработать на 1-2 машинах из тысячи, но и там будет сильно ограничен в своих правах. Другая сложность для вируса — это принцип логирования в Linux. Linux Ubuntu записывает в логи все события, происходившие на ПК, что позволяет быстро обнаруживать вредоносное ПО, даже если они смогли проникнуть на ваш компьютер. Наибольшее распространение в Linux получили бэкдоры и руткиты.
Бэкдор — (от англ. back door, чёрный ход) — программа или набор программ, которые устанавливает взломщик (хакер) на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к системе.
Руткит — (от англ. rootkit, т.е. «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.
Експлоит — (англ. exploit, эксплуатировать) — это компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Целью атаки может быть как захват контроля над системой (повышение привилегий), так и нарушение её функционирования (DDoS-атака).
Эти программы обычно не имеют механизмов размножения на компьютере (кроме случаев, когда эта вредоносная система сканирует компьютеры в сети, чтобы заразить и их, используя эксплоит, например, вирус Ramen). Но чаще всего злоумышленник (хакер) взламывает вашу систему, не используя «стандартный» эксплоит и внедряет в систему бэкдор и руткит. Backdoor обеспечивает связь и удаленное управление компьютером жертвы. Часто их можно обнаружить по открытым портам, но не всегда, т.к. порты могут меняться, и бэкдор может использовать какой-либо стандартный порт (например, http 80 порт). Пока его обнаружение не является проблемой, т.к. все действия попадают в логи ОС. Для чистки логов используется Rootkit. Он затирает все «следы» пребывания в системе бэкдора и самого себя. Наибольшую опасность представляют «ядерные» руткиты, работающие непосредственно с ядром системы. Они могут быть реализованы модулем ядра или вносить изменения в память ядра. Но в большинстве случаев руткиты лишь подменяют какие-нибудь системные утилиты и меняют настройки безопасности, и то и другое легко обнаруживается различными антируткитами (например, rkhunter) или блокируется средствами превентивной защиты (SELinux и AppArmor).
AppArmor -программный инструмент упреждающей защиты, основанный на профилях безопасности, которые определяют, к каким системным ресурсам и с какими привилегиями может получить доступ то или иное приложение. в AppArmor включён набор стандартных профилей, а также инструменты статического анализа и инструменты, основанные на обучении, позволяющее ускорить и упростить построение новых профилей. По умолчанию входит в состав дистрибутивов Ubuntu с версии 7.10, но не все профили включены по умолчанию.
Некоторые известные Linux-вирусы
Lion Worm поражает Linux-системы с запущенным DNS-сервером BIND версий 8.2, 8.2-P1, 8.2.1, 8.2.2-Px, и всех 8.2.3-beta.
Ramen virus поражает Red Hat Linux 6.2, используя уязвимости в wu-ftpd и rpc.statd, и Red Hat Linux 7.0., используя уязвимости lpd.
Winux Virus — кроссплатформенный концепт-вирус для Windows и Linux. Данный вирус не получил большого распространения в глобальной сети интернет.
Virus.Linux.RST — опасный вирус, который открывает удаленный доступ к локальному компьютеру. Вирус опасен при запуске только под root`ом.
Рекомендации по защите в ОС Linux Ubuntu
Для обеспечения частичной безопасности вашей системы вам необходимо сведите работу с правами суперпользователя к минимуму. Настройка профилей для AppArmor гарантирует вам повышение уровня безопасности от действий бэкдоров. Так же необходимо настроить в брандмауэр, в Linux Ubuntu он включен в стандартный набор программного обеспечения.
Подводя итоги нужно сказать, что обеспечение безопасности в ОС Linux Ubuntu является актуальной проблемой т.к. Linux Ubuntu и другие дистрибутивы GNU/Linux набирают все большую популярность на рынке операционных систем. Исходя из этого, можно предположить, что увеличится количество вредоносного программного обеспечения для нее.