Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

  • Ajouter aux favoris
    Ajouter aux favoris

Les scripts sont une arme contre Linux

Lu par: 1369 Commentaires: 4 Cote de popularité: 9

En comparaison avec les menaces ciblant Windows, les programmes malveillants ciblant Linux (et UNIX en général) sont plutôt rares. C’est en grande partie dû au fait que l'OS est moins populaire : les malfaiteurs préfèrent attaquer des OS ayant beaucoup plus d’utilisateurs. Mais ce n’est pas la seule raison, car attaquer des systèmes moins répandus peut également être rentable. Personne ne s’y attend, et l’effet de surprise peut jouer.

Le problème principal pour les pirates est la diversité des systèmes d'exploitation et des configurations. Il existe un grand nombre de distributions Linux qui permettent de reconstruire littéralement tout, y compris le noyau de l’OS. Ils permettent également d'installer un grand nombre de patchs pouvant modifier considérablement les fonctionnalités du système.

Par conséquent, il est possible de créer un fichier exécutable (dans Linux, les extensions n'ont pas d'importance et les fichiers sont lancés en fonction du contenu, mais il s'agit d'un équivalent d'un fichier .exe sous Windows), mais il n'est pas du tout évident qu'un tel fichier soit opérationnel. Le problème est que lors de la composition standard (dynamique) des fichiers exécutables, des bibliothèques sont requises pour leur fonctionnement.

Note. Il est également possible de créer un fichier sans dépendances mais c'est un build dit statique. Or, selon les règles adoptées pour Linux, le code doit être publié conformément aux termes de la licence GNU. Il est peu probable que les criminels le fassent. :-)

Plus sérieusement, un fichier sans dépendances est plus volumineux que d'autres fichiers, ce qui rend sa diffusion problématique.

Comment font les cybercriminels pour trouver une solution ? Ils utilisent les scripts. Les scripts sont des fichiers texte qui contiennent un jeu de commandes (par exemple pour lancer des utilitaires système), de variables et diverses instructions. Le script ne s'exécute pas tout seul, en fait, le script est un jeu d'instructions qui doit être traité par un interpréteur. Au démarrage d'un script, c'est l'interpréteur qui se lance et exécute les commandes contenues dans le script, car elles doivent fonctionner dans un système particulier.

Linux est l'univers des utilitaires et des scripts qui les lancent. Ainsi, les cybercriminels ont maîtrisé les scripts pour les utiliser à leurs fins, ce qui a compliqué la vie des antivirus.

Les analystes de Doctor Web ont examiné un Trojan multi-composants capable de contaminer les appareils ayant diverses architectures matérielles et tournant sous Linux.

Linux.LuaBot représente un ensemble de 31 scripts Lua et de deux modules supplémentaires exerçant chacun leur propre fonction. Le Trojan est capable de contaminer les appareils ayant les architectures Intel x 86 (et Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SH4, SPARC, M68k. Il peut donc toucher également une large gamme de routeurs, consoles TV, stockages réseau, caméras IP et autres périphériques " intelligents ".

http://news.drweb.fr/show/?i=11304

Les mêmes scripts fonctionnent sur un routeur et sur un PC ordinaire.

Quel est le problème qui se pose pour les antivirus avec les scripts ?

Le script est un ensemble d’utilitaires externes qui existent déjà dans le système. Ainsi, si un programme malveillant crée un canal de communication avec son serveur C&C et qu'il chiffre des fichiers, ceci n'est pas fait par ce programme mais par les utilitaires standard. Bien évidemment, il est possible de déterminer le vrai coupable. Surtout si on détecte le malware lorsqu'il est déjà en cours d’exécution, d’après l'analyse de son comportement. Mais cette méthode reste problématique pour les utilisateurs car une partie de leurs fichiers aura sans doute déjà été chiffrée pendant le laps de temps pris par l'analyse. L'utilisation des signatures pour détecter les scripts n'a pas de sens : le script est un fichier texte qui peut être facilement modifié. Dans ce cas, la signature correspondante devient rapidement inutile.

C'est pourquoi, pour détecter les scripts malveillants, on utilise l'analyse de scripts. Il s'agit de mettre en marche un interpréteur et d'exécuter le script pour observer des particularités pouvant ressembler au comportement de malwares. On peut établir une analogie avec l'analyse du courrier à la recherche de spam. Certaines caractéristiques forment une image complète qui peut permettre de classer un script comme malveillant et un message comme spam. Sauf que laisser passer des scripts malveillants peut s’avérer plus problématique que laisser passer des spams.

Dr.Web recommande :

Un simple outil de protection peut être doté de fonctions étonnantes.

Par exemple, le langage Lua (scripts Lua) est utilisé dans le Centre de gestion Dr.Web qui est une solution d’administration centralisée. Mais nous l’utilisons à de bonnes fins.

Evaluez les publications et recevez des Dr.Webonus ! (1 voix = 1 Dr.Webonus)

Authentifiez-vous et recevez 10 Dr.Webonus pour un lien vers une publication du projet dans un réseau social.

[Twitter]

En raison de limitations techniques liées aux réseaux sociaux Vk et Facebook, nous ne pouvons malheureusement pas vous offrir de DrWebonus. Mais vous pouvez partager gratuitement le lien vers cette publication.

Nous apprécions vos commentaires

10 Dr.Webonus pour un commentaire publié le jour de la sortie d’une news ou 1 Dr.Webonus un autre jour. Les commentaires sont automatiquement publiés et modérés après. Règles de commentaires de news sur le site de Doctor Web.

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs