web-dev-qa-db-ja.com

管理者権限またはSudo権限を持たないユーザーがマルウェアを実行すると、システムに害を及ぼす可能性がありますか?

Linuxを実行しているマシンで最近侵入した後、パスワードの弱いユーザーのホームフォルダーに実行可能ファイルが見つかりました。すべての損傷と思われるものをクリーンアップしましたが、念のために完全なワイプを準備しています。

非Sudoまたは非特権ユーザーが実行するマルウェアは何ができますか?それは感染するために誰でも書き込み可能な許可でマークされたファイルを探しているだけですか?ほとんどのLinuxシステムで、管理者以外のユーザーは何を脅かすことができますか?この種のセキュリティ違反が引き起こす可能性のある実際の問題の例をいくつか挙げていただけますか?

securitymalware
30
ezgoodnight

ほとんどの通常のユーザーは、メールを送信し、システムユーティリティを実行し、より高いポートでリッスンするネットワークソケットを作成できます。つまり、攻撃者は

  • スパムまたはフィッシングメールを送信する、
  • システム内からのみ見えるシステムの設定ミスを悪用する(許可された読み取り権限を持つ秘密鍵ファイルを考えてください)、
  • 任意のコンテンツを配信するサービスを設定します(例:ポルノ急流)。

これが正確に何を意味するかは、セットアップによって異なります。例えば。攻撃者は、会社から送信されたように見せかけたメールを送信し、サーバーのメールレピュテーションを悪用する可能性があります。 DKIMのようなメール認証機能が設定されている場合はなおさらです。これは、サーバーの担当者が汚染し、他のメールサーバーがIP /ドメインをブラックリストに登録し始めるまで機能します。

どちらの場合も、バックアップからの復元が正しい選択です。

29
tarleb

ほとんどの回答には、2つのキーワードprivilege escalationがありません。

攻撃者が非特権アカウントにアクセスできる場合、オペレーティングシステムとライブラリのバグを悪用してシステムへの特権アクセスを取得する方がはるかに簡単です。攻撃者が最初に取得した非特権アクセスのみを使用したとは想定しないでください。

19
David Richerby

rm -rf ~または同様のものはかなり壊滅的であり、ルート権限は必要ありません。

15
joH1

ランサムウェア

お気づきのように、それはあなたの状況には当てはまりませんが、今日ではランサムウェアのやや人気のある攻撃(すべてのドキュメントを暗号化し、復号化キーを販売することを申し出ています)にとっては、非特権アクセスで十分です。

システムファイルを変更することはできませんが、一般的にシステムを最初から再構築することは、古くなったり存在しないことが多いバックアップから貴重なユーザーデータ(ビジネスドキュメント、家族の写真など)を復元するのに比べて簡単です。

12
Peteris

最も一般的な(私のPOVで、私の経験から):

  • スパムを送信しています

  • より多くのスパムを送信する

  • 他のコンピューターへの感染

  • フィッシングサイトを設定する

  • ...

11
Giacomo Catenazzi

ウイルスはLANネットワーク内のすべてのマシンに感染し、ルートアクセスを取得する権限を昇格させる wiki-Privilege_escalation

特権の昇格とは、オペレーティングシステムまたはソフトウェアアプリケーションのバグ、設計上の欠陥、または構成の監視を悪用して、通常はアプリケーションまたはユーザーから保護されているリソースへのアクセスを昇格させる行為です。その結果、アプリケーション開発者またはシステム管理者が意図したよりも多くの特権を持つアプリケーションが、不正なアクションを実行する可能性があります。

4
GAD3R

多くの潜在的な可能性が私の頭に浮かびます:

  • サービス拒否:それはあなたのマシン上にあるか、より可能性が高いです、あなた自身のリソースを犠牲にしてあなたのマシンを使って2番目のものを攻撃します。
  • 私のビットコイン。お金を稼ぐためにあなたのCPUを使うことは十分魅力的だ
  • ブラウザが脆弱である場合、あらゆる種類のサイトにリダイレクトしたり、バーをインストールしたり、ポップアップを表示して収益を得ようとします。要は、これはLinuxでは難しいように思えるか、スパマーはこれほど上手ではありません。
  • 商用利用のための個人データを取得し、他の人に販売します。侵害されたユーザーのみ:生年月日、電話、ブラウザの場合.
  • 読み取り可能なサーバー内の他のファイルにアクセスします。
  • Rootパスワードを要求する可能性がある悪意のあるスクリプトを作成します。たとえば、bashでは、パスワードを取得するためにSudoを他のものにリダイレクトしようとする場合があります。
  • ブラウザに保存されているパスワードを取得するか、銀行のクレデンシャルをキーログに記録してみてください。これは難しいかもしれませんが、確かに危険です。 Gmailを使用すると、Facebookを入手したり、SteamアカウントやAmazonなどを盗んだりする可能性があります。
  • ユーザーにとって有効な悪意のある証明書をインストールする

もちろん、これは最悪のシナリオなので、慌てないでください。これの一部は、他のセキュリティ対策によってブロックされる可能性があり、まったく簡単ではありません。

0
borjab

情報 [1]

私見エクスプロイトが行うことができる最も恐ろしいことの1つは、情報を収集し、戻って戻ってあなたの注意力が弱まるとき(毎晩または休日の期間が適切になります)にストライクするために隠されたままにすることです。
以下は、私の頭に浮かぶ最初の理由にすぎません。他の人や他の人を追加できます...

  • 実行中のservicesに関する情報、それらのバージョンとその弱点、互換性の理由で存続する必要がある古いものに特に注意してください。
  • Periodicityそれらとセキュリティパッチを更新するときに使用します。速報の前に座って、適切なタイミングで戻ってくるのを待つ。
  • 習慣ユーザーの、そうなると疑われる人を減らす。
  • defences設定します。
  • 部分的なルートアクセスさえ取得した場合、各ユーザーのこのマシンと他のマシンでssh-keysauthorized hostsおよびpasswordsとなる(誰かを想定しましょう)パラメータとして渡されたパスワードを使用してコマンドを実行しました。ルート権限も必要ありません)。メモリをスキャンして抽出することができました。もう一度言います。あなたのマシンに対しても、あなたのマシンからも、両方の方法で。 2つのマシン間で両面ssh認証を使用すると、侵害されたアカウントから引き続きバウンスおよびバウンスできます。

上記の理由と、他の回答から読み取ることができる他のすべての理由により、そのマシンをフラット化し、将来のパスワードとキーを監視します。

[1]ヒッチコックを文字通り引用しない:「銃のショットはしばらく続きますが、武器を持っている手は完全な映画を続けることができます」

0
Hastur