sd-pam op Ubuntu Gnome en StripedFly
Beetje raar dat ik op de frontpage van security.nl nog niets over StripedFly gelezen heb.
En nu kom ik op mijn Ubuntu klapdoosje tegen onder het root process gdm-session-worker [pam/gdm-password] \_ (sd-pam) als mijn user tegen als ik ps axufw|grep pam doe waar alle terminal commandos onder draaien blijkbaar.
Iedere commando gaat via die sd-pam.
Maar ergens is dit dacht ik normaal gedrag toch?
Ik word er wel een beetje paranoia van nu met dat StripedFly. Wat denken jullie hiervan?
Wat sd-pam precies is in dat geheel wist ik ook niet, maar ik zie het op mijn Debian-machine ook. Een internetzoekopdracht op "sd-pam" leert dat meer mensen vragen wat het is en ook antwoorden krijgen. Het is een proces van systemd dat de afsluiting van pam-sessies regelt, kennelijk.
StripedFly gebruikt kennelijk dezelfde procesnaam sd-pam om niet op te vallen. Dat betekent niet dat als je sd-pam ziet je besmet bent, want elk systeem met systemd erop zal zo'n proces hebben.
Voor zover ik de StripedFly-beschrijvingen begrijp vindt de eerste besmetting op een Windows-machine plaats, en hij zit verstopt in een cryptocurrency miner die de gebruiker zelf installeert. Van daaruit worden via een exploit in SMBv1 Linux-machines besmet. Wil jouw Linux-machine besmet zijn dan moet je dus a) een Windows-machine in je netwerk hebben, b) daarop de bewuste cryptocurrency-miner hebben geïnstalleerd, en c) op je Linux-machine toegang tot mappen geven aan die Windows-machine via het SMBv1-protocol, met Samba op Linux dus. Als dat niet alle drie voor jou opgaat hoef je je denk ik nergens zorgen over te maken.
Dat is een beetje kort door de bocht... Je moet in een netwerk gezeten hebben waar een Windows computer zat die besmet is. Dus als je je laptop meegenomen hebt naar je bandenboer, de autogarage, je opa/oma, dat openbaar netwerk wat dezelfde naam had als thuis bij installatie van app-xyz enz..
Je verbaast je hoeveel mensen nog een lynksys SSID in hun lijst heeft staan van bekende netwerken. Of de 'open' SSID van hun supermarkt of groothandel... Allemaal perfecte manieren om je systeem te besmetten. Mensen denken dat ze op HUN netwerk veilig zijn... en dat is ook wel relatief zo, maar mensen weten niet dat ze 'thuis' zomaar op iemand anders hun netwerk kunnen komen.
Wat sd-pam precies is in dat geheel wist ik ook niet, maar ik zie het op mijn Debian-machine ook. Een internetzoekopdracht op "sd-pam" leert dat meer mensen vragen wat het is en ook antwoorden krijgen. Het is een proces van systemd dat de afsluiting van pam-sessies regelt, kennelijk.
StripedFly gebruikt kennelijk dezelfde procesnaam sd-pam om niet op te vallen. Dat betekent niet dat als je sd-pam ziet je besmet bent, want elk systeem met systemd erop zal zo'n proces hebben.
Voor zover ik de StripedFly-beschrijvingen begrijp vindt de eerste besmetting op een Windows-machine plaats, en hij zit verstopt in een cryptocurrency miner die de gebruiker zelf installeert. Van daaruit worden via een exploit in SMBv1 Linux-machines besmet. Wil jouw Linux-machine besmet zijn dan moet je dus a) een Windows-machine in je netwerk hebben, b) daarop de bewuste cryptocurrency-miner hebben geïnstalleerd, en c) op je Linux-machine toegang tot mappen geven aan die Windows-machine via het SMBv1-protocol, met Samba op Linux dus. Als dat niet alle drie voor jou opgaat hoef je je denk ik nergens zorgen over te maken.
Je hebt last van paranoia maar bent of wordt er paranoïde van.
Je hebt last van paranoia maar bent of wordt er paranoïde van.
Niks mis met die vraag. Vooral omdat het een eerlijke en verstandige is. De gevaarlijkste IT'er is iemand die de indruk wekt dat hij alles weet, namelijk, want dat is enkel technisch al heel lang eenvoudig onmogelijk.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.