관리자 또는 sudo 권한이없는 사용자가 맬웨어를 실행하면 시스템이 손상 될 수 있습니까? [닫은]


30

최근 Linux를 실행하는 컴퓨터에서 침입 한 후 암호가 약한 사용자의 홈 폴더에서 실행 파일을 찾았습니다. 모든 손상으로 보이는 부분을 정리했지만 완전히 닦을 준비를하고 있습니다.

Non-sudo 또는 권한이없는 사용자가 맬웨어를 실행할 수있는 것은 무엇입니까? 감염 가능한 세계 쓰기 가능 권한이 표시된 파일을 찾고 있습니까? 관리자가 아닌 사용자가 대부분의 Linux 시스템에서 할 수있는 위협은 무엇입니까? 이러한 종류의 보안 침해로 인해 발생할 수있는 실제 문제의 예를 제공 할 수 있습니까?


14
권한이없는 사용자로 할 수있는 모든 작업을 수행 할 수 있습니다.
Faheem Mitha

1
설정 및 기계의 유지 관리 상태에 따라 다릅니다. 맬웨어 전송이나 봇넷의 일부, 권한 상승, 모든 작업 수행, 네트워크의 네트워크 및 보안을 손상시키는 것까지 다양합니다.
Rui F Ribeiro

9
멀웨어가 정교하면 취약점을 악용하여 루트 액세스 권한을 얻을 수 있습니다. 위반 된 시스템은 항상 완전히 고장난 것으로 간주되며 즉시 오프라인 상태로 만들어야합니다.
Runium

2
참고 : 일반적으로 익스플로잇은 몇 달 동안 비활성화됩니다. 악용자는 다른 사람에게 나쁜 일을하는 능력을 판매 할 것입니다.
Giacomo Catenazzi

5
로컬 권한 에스컬레이션 access.redhat.com/security/cve/CVE-2016-0728
Jeff Schaller

답변:


29

대부분의 일반 사용자는 메일을 보내고 시스템 유틸리티를 실행하며 더 높은 포트에서 수신 대기하는 네트워크 소켓을 만들 수 있습니다. 이것은 공격자가

  • 스팸 또는 피싱 메일 발송
  • 시스템 내에서만 볼 수있는 시스템 구성 오류 (허용 된 읽기 권한이있는 개인 키 파일 생각)
  • 임의의 콘텐츠 (예 : 포르노 토런트)를 배포하는 서비스를 설정합니다.

이것이 의미하는 바는 설정에 따라 다릅니다. 예를 들어 공격자는 회사에서 온 것처럼 메일을 보내 서버의 평판을 악용 할 수 있습니다. DKIM과 같은 메일 인증 기능이 설정된 경우 더욱 그렇습니다. 이것은 서버의 담당자가 오염되고 다른 메일 서버가 IP / 도메인을 블랙리스트에 올릴 때까지 작동합니다.

어느 쪽이든 백업에서 복원하는 것이 올바른 선택입니다.


17
침입자는 모든 사용자 데이터를 암호화하고 개인 키를 얻기 위해 지불을 요구할 수 있습니다
Ferrybig

1
@Ferrybig 백업이 아닌 현재 버전 만 암호화 할 수 있습니다. 문제는 다음과 같습니다. 백업 세트가 비어 있지 않습니까?
PyRulez

우리는 모두 그 질문에 대한 일반적인 답을 알고 있습니다 : @PyRulez : O
TheBlastOne

서버에서 이메일을 보내는 것은 완전히 관련이없는 서버를 사용하는 것보다 더 뚜렷한 방식으로 도메인의 이메일 주소를 사용할 수 있다는 것을 의미합니까?
user23013

1
@ user23013 반드시 필요한 것은 아니지만 많은 시스템에서 가능합니다. 포스트 마스터 는 원격 서버가 들어오는 메일의 적법성을 검증 할 수 있도록 SPF , DKIMDMARC 와 같은 기술을 설정할 수 있습니다 . 일부 메일러 (예 : Gmail)는 검증 된 메일을 강조 표시하는 옵션을 제공합니다. 공격자는이를 악용하여 신뢰할 수있는 피싱 메일을 보낼 수 있습니다.
tarleb

19

대부분의 답변에는 특권 에스컬레이션 이라는 두 가지 핵심 단어가 빠져 있습니다.

공격자는 권한이없는 계정에 액세스 할 수 있으므로 운영 체제 및 라이브러리의 버그를 악용하여 시스템에 대한 권한있는 액세스 권한을 얻는 것이 훨씬 쉽습니다. 공격자가 원래 얻은 권한없는 액세스 만 사용했다고 가정해서는 안됩니다.


2
누군가가이 특별한 위험에 주목했는지 알기 위해 게시를 기다리고있었습니다. 버퍼 오버플로, 모든 악성의 영원한 친구, lol. 이것은 실제 사용자의 위험이기 때문에 일부 사용자 수준 스파이웨어가 아니기 때문에 1 이상을 가졌을 것입니다. 루트킷 설치로 이어지는 권한 에스컬레이션, 완전히 소유 된 머신으로 이어질 수 있으며, 탐지 할 수없는 익스플로잇이 뒤에서 행복하게 실행됩니다.
Lizardx

15

A rm -rf ~또는 그와 비슷한 것이 상당히 치명적일 수 있으며 루트 권한이 필요하지 않습니다.


15
친애하는 UNIX 초보자 여러분, 이것을 시도하지 마십시오! (개인 파일이 지워집니다)
AL

1
AL이 말한대로. rm -rf /훨씬 더 안전합니다 (jk는하지 않습니다. 모든 것을 죽입니다 : urbandictionary.com/define.php?term=rm+-rf+%2F. )
PyRulez

12

랜섬웨어

그것은 당신이 그것을 알아 차렸을 것이기 때문에 당신의 상황에는 적용되지 않지만, 요즘에는 다소 인기있는 랜섬웨어 공격 (모든 문서를 암호화하고 암호 해독 키를 판매하기 위해 제공)은 권한이없는 액세스 권한을 갖는 것으로 충분합니다.

시스템 파일을 수정할 수는 없지만 일반적으로 사용하지 않거나 존재하지 않는 백업에서 중요한 사용자 데이터 (비즈니스 문서, 가족 사진 등)를 복구하는 것과 비교하여 처음부터 시스템을 처음부터 다시 작성하는 것은 간단합니다.


11

가장 일반적으로 (내 경험으로 볼 때 POV에서) :

  • 스팸 발송

  • 더 많은 스팸 발송

  • 다른 컴퓨터 감염

  • 피싱 사이트 설정

  • ...


2
스팸을 더 잊어 버렸습니다.
Autar

4

바이러스가 LAN 네트워크의 모든 컴퓨터를 감염시키고 루트 액세스 권한을 상승시킬 수 있습니다. wiki-Privilege_escalation

권한 에스컬레이션은 운영 체제 또는 소프트웨어 응용 프로그램에서 버그, 설계 결함 또는 구성 감독을 악용하여 일반적으로 응용 프로그램이나 사용자로부터 보호되는 리소스에 대한 액세스를 높입니다. 결과적으로 응용 프로그램 개발자 나 시스템 관리자가 의도 한 것보다 많은 권한을 가진 응용 프로그램이 무단 작업을 수행 할 수 있습니다.


0

많은 가능성이 떠 오릅니다.

  • 서비스 거부 : 시스템에 있거나 더 가능성이 높을 수 있으므로 시스템을 사용하여 자원을 희생하여 두 번째 시스템을 공격하십시오.
  • 광산 비트 코인. 돈을 벌기 위해 CPU를 사용하는 것은 충분히 비 활동적인 것처럼 보입니다.
  • 브라우저가 취약한 경우 모든 종류의 사이트로 리디렉션하거나 막대를 설치하거나 팝업을 표시하여 수익을 제공합니다. 다행스럽게도 Linux에서는 이것이 더 어려워 보이거나 스패머는 이것에 능숙하지 않습니다.
  • 상업적 용도로 사용할 개인 데이터를 입수하여 다른 사람에게 판매하십시오. 감염된 사용자 만 해당 : 생년월일, 전화 번호 (브라우저 캐시에있는 경우).
  • 읽을 수있는 서버의 다른 파일에 액세스하십시오.
  • 루트 암호를 요구할 수있는 악성 스크립트를 작성하십시오. 예를 들어, bash에서 sudo를 다른 것으로 리디렉션하여 암호를 얻을 수 있습니다.
  • 브라우저에 저장된 비밀번호를 가져 오거나 은행 계좌를 키로그하려고합니다. 이것은 더 어려울 수 있지만 확실히 위험합니다. Gmail을 사용하면 페이스 북을 얻거나 증기를 훔치거나 아마존 등을 훔칠 수 있습니다.
  • 사용자에게 유효한 악성 인증서 설치

물론 이것은 최악의 시나리오이므로 당황하지 마십시오. 이 중 일부는 다른 보안 조치에 의해 차단되어 사소한 것이 아닙니다.


0

정보 [1]

IMHO는 익스플로잇이 수행 할 수있는 가장 무서운 일 중 하나는 정보를 수집하고 관심이 적을 때 다시 돌아와서 숨을 수 있도록 숨기는 것입니다 (각 야간 또는 휴일 기간이 적합 함).
다음은 내 생각에 떠오른 첫 번째 이유 일뿐입니다. 다른 사람과 다른 사람을 추가 할 수 있습니다 ...

  • [정보] 정보 서비스를 실행중인, 당신은 호환성을 위해 살아 유지해야하는 사용되지 않는 하나의 특별한주의와의 버전과 약점.
  • 업데이트 주기 및 보안 패치. 게시판 앞에 앉아 올바른 순간을 기다렸다가 다시 방문합니다.
  • 사용자 의 습관 , 의심이 적을 때.
  • 방어 당신은 설정합니다.
  • 각 사용자에 대해 ssh-keys , 권한이 부여 된 호스트 및 이 컴퓨터와 다른 컴퓨터 의 암호 에 부분적인 루트 액세스 권한 이있는 경우 누군가가 암호로 매개 변수로 전달 된 명령을 실행했다고 가정하면 루트 권한이 필요하지 않습니다. 메모리를 스캔하고 추출 할 수있었습니다. 다시 한 번 말하지만 두 가지 방법으로 컴퓨터와 컴퓨터에서. 두 시스템 사이에 양면 ssh 인증을 사용하면 손상된 계정에서 계속 튀어 오를 수 있습니다.

위의 이유와 다른 답변에서 읽을 수있는 다른 모든 이유로 인해 기계를 평평하게하고 미래의 암호와 키를 모니터링하십시오.


[1] 말 그대로 히치콕 인용 : "총의 총은 잠시 지속되지만 무기를 들고있는 손은 전체 영화를 지속 할 수 있습니다"

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.