APT-groep gebruikt .desktop-bestanden voor infecteren van Linux-systemen
Securitybedrijven waarschuwen voor een advanced persistent threat (APT)-groep die .desktop-bestanden verstuurt om Linux-systemen mee te infecteren. Een tactiek die al een aantal jaren bekend is. Bij de aanval ontvangt het doelwit een e-mail met als bijlage een zip-bestand. Het zip-bestand bevat een bestand dat op een pdf-bestand lijkt, maar in werkelijkheid een .desktop-bestand is. Het bestand heeft een pdf-icoon en eindigt op .pdf.desktop.
Een .desktop-bestand is een configuratiebestand dat in Linux-desktopomgevingen wordt gebruikt om applicatie shortcuts en launchers mee te definiëren. Het bevat ook een "Exec field" waarmee commando's kunnen worden uitgevoerd. Wanneer de gebruiker het malafide .desktop-bestand opent wordt er een bash commando dat in het Exec field staat uitgevoerd, dat in de achtergrond een payload downloadt. Deze payload downloadt een pdf-document van het internet en laat dit als afleidingsmanoeuvre aan de gebruiker zien, terwijl er in de achtergrond een malafide ELF executable wordt gedownload en uitgevoerd.
Het ELF-bestand is malware waarmee de aanvallers allerlei data van het systeem kunnen stelen. Daarnaast worden aanpassingen uitgevoerd zodat de malware bij elke systeemstart wordt geladen, zo laten securitybedrijven Cyfirma en CloudSEK weten. Volgens de securitybedrijven zijn de aanvallen gericht tegen Indiase overheidsinstanties en het werk van een groep aanvallers genaamd APT36. Het zou om een vanuit Pakistan opererende groep gaan die sinds 2013 actief is.
Organisaties worden onder andere aangeraden hun personeel cybersecurity awareness training te geven, met een nadruk op phishing-indicatoren en risicovolle Linux-bestandstypes. Daarnaast wordt het uitschakelen van .desktop-bestanden van onbetrouwbare bronnen aangeraden.
Update
Googles online virusscandienst VirusTotal waarschuwde een aantal maanden geleden voor een nieuwe aanvalsgolf waarbij .desktop-bestanden werden gebruikt.Reacties (17)
Gisteren, 10:22 door
Anoniem
"Wanneer de gebruiker het malafide .desktop-bestand opent wordt er een bash commando dat in het Exec field staat uitgevoerd, dat in de achtergrond een payload downloadt."
Hoe werkt dit dan? Wanneer ik een desktop bestand open, dan opent het gewoon in een text editor op zijn best. Het zijn config files, die niet executable zijn, en al zouden ze executable zijn dan doen ze niets.
Of zijn het bash scripts met de desktop extensie?
Hoe werkt dit dan? Wanneer ik een desktop bestand open, dan opent het gewoon in een text editor op zijn best. Het zijn config files, die niet executable zijn, en al zouden ze executable zijn dan doen ze niets.
Of zijn het bash scripts met de desktop extensie?
Gisteren, 10:22 door
Anoniem
Om een Linux systeem te infecteren heb je toch echt een local privilege escalation kwetsbaarheid nodig en dat is niet aan de orde. Data van "het systeem stelen" is ook niet aan de orde als gewone gebruiker. Gebruikers kunnen natuurlijk wel altijd hun eigen desktop vernachelen. Vrij dom als je een onbekende zipfile gaat uitpakken en gedownloade bestanden gaat executeren!
Het is ook vrij eenvoudig af te fakkelen door je $HOME (en /tmp) met noexec flag te mounten.
Het is al met al ook helemaal geen Linuxprobleem. Dit soort acties zijn in principe op elke systeem uit te proberen maar blijkbaar wordt de Linux desktop toch meer gebruikt dan men denkt.
Het is ook vrij eenvoudig af te fakkelen door je $HOME (en /tmp) met noexec flag te mounten.
Het is al met al ook helemaal geen Linuxprobleem. Dit soort acties zijn in principe op elke systeem uit te proberen maar blijkbaar wordt de Linux desktop toch meer gebruikt dan men denkt.
Gisteren, 10:37 door
Anoniem
Het is blijkbaar weer komkommertijd. Alleen toestaan: .desktop file in /usr/share/applications and icon file in /usr/share/icons/
Gisteren, 10:51 door
Anoniem
Door Anoniem: Om een Linux systeem te infecteren heb je toch echt een local privilege escalation kwetsbaarheid nodig en dat is niet aan de orde. Data van "het systeem stelen" is ook niet aan de orde als gewone gebruiker. Gebruikers kunnen natuurlijk wel altijd hun eigen desktop vernachelen. Vrij dom als je een onbekende zipfile gaat uitpakken en gedownloade bestanden gaat executeren!
Het is ook vrij eenvoudig af te fakkelen door je $HOME (en /tmp) met noexec flag te mounten.
Het is al met al ook helemaal geen Linuxprobleem. Dit soort acties zijn in principe op elke systeem uit te proberen maar blijkbaar wordt de Linux desktop toch meer gebruikt dan men denkt.
Het is ook vrij eenvoudig af te fakkelen door je $HOME (en /tmp) met noexec flag te mounten.
Het is al met al ook helemaal geen Linuxprobleem. Dit soort acties zijn in principe op elke systeem uit te proberen maar blijkbaar wordt de Linux desktop toch meer gebruikt dan men denkt.
Ja om een heel systeem te comprimiteren misschien maar 't ironische is dat in een desktop omgeving eigenlijk alle interessante doelwitten zich binnen de gebruikersomgeving bevinden en er daarnaast redelijk weinig te halen valt.
Ben het wel met je eens dat het gebruikers domheid is en dit verder totaal niet nieuwswaardig is.
Gisteren, 11:16 door
Anoniem
Door Anoniem:
Ja om een heel systeem te comprimiteren misschien maar 't ironische is dat in een desktop omgeving eigenlijk alle interessante doelwitten zich binnen de gebruikersomgeving bevinden en er daarnaast redelijk weinig te halen valt.
Ben het wel met je eens dat het gebruikers domheid is en dit verder totaal niet nieuwswaardig is.
Gebruikers zelf toestaan eigen gedownloade programma's en in een menu te configureren zou ik niet toestaan als beheerder.Door Anoniem: Om een Linux systeem te infecteren heb je toch echt een local privilege escalation kwetsbaarheid nodig en dat is niet aan de orde. Data van "het systeem stelen" is ook niet aan de orde als gewone gebruiker. Gebruikers kunnen natuurlijk wel altijd hun eigen desktop vernachelen. Vrij dom als je een onbekende zipfile gaat uitpakken en gedownloade bestanden gaat executeren!
Het is ook vrij eenvoudig af te fakkelen door je $HOME (en /tmp) met noexec flag te mounten.
Het is al met al ook helemaal geen Linuxprobleem. Dit soort acties zijn in principe op elke systeem uit te proberen maar blijkbaar wordt de Linux desktop toch meer gebruikt dan men denkt.
Het is ook vrij eenvoudig af te fakkelen door je $HOME (en /tmp) met noexec flag te mounten.
Het is al met al ook helemaal geen Linuxprobleem. Dit soort acties zijn in principe op elke systeem uit te proberen maar blijkbaar wordt de Linux desktop toch meer gebruikt dan men denkt.
Ja om een heel systeem te comprimiteren misschien maar 't ironische is dat in een desktop omgeving eigenlijk alle interessante doelwitten zich binnen de gebruikersomgeving bevinden en er daarnaast redelijk weinig te halen valt.
Ben het wel met je eens dat het gebruikers domheid is en dit verder totaal niet nieuwswaardig is.
Als een gebruiker er wel op staat kan hij kiezen uit $HOME schoonmaken of zelf filebackup terugzetten.
Gisteren, 11:20 door
Anoniem
APT-groep gebruikt .desktop-bestanden voor infecteren van Linux-systemen
Ik heb al zoveel pogingen tot phishing en oplichting overleefd (omdat ik die voortijdig eruit had ge-phished), dus deze maakt ook geen kans bij mij. Maar in ieder geval bedankt redactie voor de waarschuwing!
Gisteren, 11:34 door
Named
Door Anoniem: Om een Linux systeem te infecteren heb je toch echt een local privilege escalation kwetsbaarheid nodig en dat is niet aan de orde. Data van "het systeem stelen" is ook niet aan de orde als gewone gebruiker. Gebruikers kunnen natuurlijk wel altijd hun eigen desktop vernachelen. Vrij dom als je een onbekende zipfile gaat uitpakken en gedownloade bestanden gaat executeren!
Het is ook vrij eenvoudig af te fakkelen door je $HOME (en /tmp) met noexec flag te mounten.
Het is al met al ook helemaal geen Linuxprobleem. Dit soort acties zijn in principe op elke systeem uit te proberen maar blijkbaar wordt de Linux desktop toch meer gebruikt dan men denkt.
Volgens mij kan dit nog steeds werken zelfs als je noexec gebruikt? Je kan gewoon een bash script injecteren en die kan dan draaien zonder executable. Het is niet alsof je persistency nodig hebt als je doelwit al binnen handbereik is of zo...Het is ook vrij eenvoudig af te fakkelen door je $HOME (en /tmp) met noexec flag te mounten.
Het is al met al ook helemaal geen Linuxprobleem. Dit soort acties zijn in principe op elke systeem uit te proberen maar blijkbaar wordt de Linux desktop toch meer gebruikt dan men denkt.
En naar mijn weten ligt juist alle interessante data in je home directory. Je browser cookies/wachtwoorden, app tokens en wallets zijn super interessant voor criminelen, en met een beetje pech is dat allemaal in je "/home/gebruiker/.config/" of iets dergelijks opgeslagen...
Gisteren, 12:33 door
Anoniem
Door Named:
En naar mijn weten ligt juist alle interessante data in je home directory. Je browser cookies/wachtwoorden, app tokens en wallets zijn super interessant voor criminelen, en met een beetje pech is dat allemaal in je "/home/gebruiker/.config/" of iets dergelijks opgeslagen...
Door Anoniem: Om een Linux systeem te infecteren heb je toch echt een local privilege escalation kwetsbaarheid nodig en dat is niet aan de orde. Data van "het systeem stelen" is ook niet aan de orde als gewone gebruiker. Gebruikers kunnen natuurlijk wel altijd hun eigen desktop vernachelen. Vrij dom als je een onbekende zipfile gaat uitpakken en gedownloade bestanden gaat executeren!
Het is ook vrij eenvoudig af te fakkelen door je $HOME (en /tmp) met noexec flag te mounten.
Het is al met al ook helemaal geen Linuxprobleem. Dit soort acties zijn in principe op elke systeem uit te proberen maar blijkbaar wordt de Linux desktop toch meer gebruikt dan men denkt.
Volgens mij kan dit nog steeds werken zelfs als je noexec gebruikt? Je kan gewoon een bash script injecteren en die kan dan draaien zonder executable. Het is niet alsof je persistency nodig hebt als je doelwit al binnen handbereik is of zo...Het is ook vrij eenvoudig af te fakkelen door je $HOME (en /tmp) met noexec flag te mounten.
Het is al met al ook helemaal geen Linuxprobleem. Dit soort acties zijn in principe op elke systeem uit te proberen maar blijkbaar wordt de Linux desktop toch meer gebruikt dan men denkt.
En naar mijn weten ligt juist alle interessante data in je home directory. Je browser cookies/wachtwoorden, app tokens en wallets zijn super interessant voor criminelen, en met een beetje pech is dat allemaal in je "/home/gebruiker/.config/" of iets dergelijks opgeslagen...
Juist. Artikel stelt dat ook. "Bash commando wordt uitgevoerd". Interpreter, dus noexec wordt hem (daar) niet. Echter ELF executable wordt gedownload en daar werkt noexec dan weer wel. Oude truuk, erg doorzichtbaar en breekbaar.
Gisteren, 13:13 door
Anoniem
Recommendations and Mitigation Strategies volgens de security firm:
1. Email Security Enhancements
Deploy advanced email security solutions capable of detecting spear-phishing emails that contain .desktop, .sh, .elf, and compressed archive attachments.
Disable automatic execution of email attachments and apply sandbox-based detonation of suspicious files prior to delivery.
Enable URL filtering to block connections to newly registered or malicious domains (e.g., securestore[.]cv, modgovindia[.]space).
2. User Awareness and Training
Conduct regular cybersecurity awareness training, with emphasis on phishing indicators and high-risk Linux-specific file types.
Promote caution when handling unsolicited attachments, particularly .desktop files disguised as official documents, or unknown Google Drive links.
3. Host and Operating System Hardening
Restrict execution of files from world-writable directories, such as /tmp, using filesystem mount options (noexec, nodev).
Disable execution of .desktop files from untrusted sources and enforce strict application authorization controls.
Apply least privilege principles in BOSS Linux deployments, with stringent controls over the use of utilities, such as curl, xxd, chmod, and nohup.
4. Endpoint and Network Monitoring
Implement Linux-capable Endpoint Detection and Response (EDR) solutions to monitor for execution of unknown ELF payloads, lateral movement, and C2 beaconing activity.
Monitor DNS and outbound traffic for attempted connections to suspicious or recently registered APT36-associated domains.
Use network segmentation to contain any potential compromise and limit lateral movement within critical infrastructure.
5. Threat Intelligence Integration
Integrate CYFIRMA-provided Indicators of Compromise (IOCs) and YARA signatures into SIEM and IDS/IPS platforms to facilitate early detection.
Conduct initiative-taking threat hunting based on known APT36 tactics, techniques, and procedures (TTPs) mapped to MITRE ATT&CK (e.g., T1204, T1059, T1105).
6. Patch and Vulnerability Management
Ensure BOSS Linux systems and commonly leveraged software (e.g., curl, LibreOffice) are patched promptly to mitigate exploitation of known vulnerabilities.
7. Behavior-Based Controls
Deploy detection rules to identify suspicious command sequences (e.g., curl | xxd | chmod | nohup) executed through .desktop files or shell scripts.
Block execution of binaries downloaded via scripts unless verified and digitally signed by the organization.
1. Email Security Enhancements
Deploy advanced email security solutions capable of detecting spear-phishing emails that contain .desktop, .sh, .elf, and compressed archive attachments.
Disable automatic execution of email attachments and apply sandbox-based detonation of suspicious files prior to delivery.
Enable URL filtering to block connections to newly registered or malicious domains (e.g., securestore[.]cv, modgovindia[.]space).
2. User Awareness and Training
Conduct regular cybersecurity awareness training, with emphasis on phishing indicators and high-risk Linux-specific file types.
Promote caution when handling unsolicited attachments, particularly .desktop files disguised as official documents, or unknown Google Drive links.
3. Host and Operating System Hardening
Restrict execution of files from world-writable directories, such as /tmp, using filesystem mount options (noexec, nodev).
Disable execution of .desktop files from untrusted sources and enforce strict application authorization controls.
Apply least privilege principles in BOSS Linux deployments, with stringent controls over the use of utilities, such as curl, xxd, chmod, and nohup.
4. Endpoint and Network Monitoring
Implement Linux-capable Endpoint Detection and Response (EDR) solutions to monitor for execution of unknown ELF payloads, lateral movement, and C2 beaconing activity.
Monitor DNS and outbound traffic for attempted connections to suspicious or recently registered APT36-associated domains.
Use network segmentation to contain any potential compromise and limit lateral movement within critical infrastructure.
5. Threat Intelligence Integration
Integrate CYFIRMA-provided Indicators of Compromise (IOCs) and YARA signatures into SIEM and IDS/IPS platforms to facilitate early detection.
Conduct initiative-taking threat hunting based on known APT36 tactics, techniques, and procedures (TTPs) mapped to MITRE ATT&CK (e.g., T1204, T1059, T1105).
6. Patch and Vulnerability Management
Ensure BOSS Linux systems and commonly leveraged software (e.g., curl, LibreOffice) are patched promptly to mitigate exploitation of known vulnerabilities.
7. Behavior-Based Controls
Deploy detection rules to identify suspicious command sequences (e.g., curl | xxd | chmod | nohup) executed through .desktop files or shell scripts.
Block execution of binaries downloaded via scripts unless verified and digitally signed by the organization.
Gisteren, 13:37 door
Anoniem
Door Anoniem:
Juist. Artikel stelt dat ook. "Bash commando wordt uitgevoerd". Interpreter, dus noexec wordt hem (daar) niet. Echter ELF executable wordt gedownload en daar werkt noexec dan weer wel. Oude truuk, erg doorzichtbaar en breekbaar.
bash voert alleen maar commando's uit waar je toch al toegang tot had :) In een locked down desktop zullen veel utilities zoals curl en xxd niet toegankelijk zijn en waarschijnlijk een terminal met python en bash ook niet. Er wordt ook nog veel geexperimenteerd met applicaties in eigen containers https://fedoraproject.org/coreos/Door Named:
En naar mijn weten ligt juist alle interessante data in je home directory. Je browser cookies/wachtwoorden, app tokens en wallets zijn super interessant voor criminelen, en met een beetje pech is dat allemaal in je "/home/gebruiker/.config/" of iets dergelijks opgeslagen...
Door Anoniem: Om een Linux systeem te infecteren heb je toch echt een local privilege escalation kwetsbaarheid nodig en dat is niet aan de orde. Data van "het systeem stelen" is ook niet aan de orde als gewone gebruiker. Gebruikers kunnen natuurlijk wel altijd hun eigen desktop vernachelen. Vrij dom als je een onbekende zipfile gaat uitpakken en gedownloade bestanden gaat executeren!
Het is ook vrij eenvoudig af te fakkelen door je $HOME (en /tmp) met noexec flag te mounten.
Het is al met al ook helemaal geen Linuxprobleem. Dit soort acties zijn in principe op elke systeem uit te proberen maar blijkbaar wordt de Linux desktop toch meer gebruikt dan men denkt.
Volgens mij kan dit nog steeds werken zelfs als je noexec gebruikt? Je kan gewoon een bash script injecteren en die kan dan draaien zonder executable. Het is niet alsof je persistency nodig hebt als je doelwit al binnen handbereik is of zo...Het is ook vrij eenvoudig af te fakkelen door je $HOME (en /tmp) met noexec flag te mounten.
Het is al met al ook helemaal geen Linuxprobleem. Dit soort acties zijn in principe op elke systeem uit te proberen maar blijkbaar wordt de Linux desktop toch meer gebruikt dan men denkt.
En naar mijn weten ligt juist alle interessante data in je home directory. Je browser cookies/wachtwoorden, app tokens en wallets zijn super interessant voor criminelen, en met een beetje pech is dat allemaal in je "/home/gebruiker/.config/" of iets dergelijks opgeslagen...
Juist. Artikel stelt dat ook. "Bash commando wordt uitgevoerd". Interpreter, dus noexec wordt hem (daar) niet. Echter ELF executable wordt gedownload en daar werkt noexec dan weer wel. Oude truuk, erg doorzichtbaar en breekbaar.
Gisteren, 14:15 door
Anoniem
Door Anoniem: Het is blijkbaar weer komkommertijd. Alleen toestaan: .desktop file in /usr/share/applications and icon file in /usr/share/icons/
Zo'n rigide maatregel is best kut als je een bepaalde bestandsassociatie van een bestandstype voor je eigen account onklaar wil maken. Of je moet als root met die .desktop bestanden in die mappen aanpassen. Maar dan pas je eigenlijk een bestand aan die bij een package hoort die onder beheer is van je package manager. Dat gaat die ook niet leuk vinden bij het updaten van die package. En je raakt alle accounts van het systeem ermee.
Kortom: Sta andere .desktop bestanden gewoon toe.
Gisteren, 15:11 door
Anoniem
Door Anoniem:
Of je moet als root met die .desktop bestanden in die mappen aanpassen. Maar dan pas je eigenlijk een bestand aan die bij een package hoort die onder beheer is van je package manager. Dat gaat die ook niet leuk vinden bij het updaten van die package. En je raakt alle accounts van het systeem ermee.
Kortom: Sta andere .desktop bestanden gewoon toe.
Jij hebt het over bestandsassociatie. Dan gaat het over mimeapps.list en niet over .desktop filesDoor Anoniem: Het is blijkbaar weer komkommertijd. Alleen toestaan: .desktop file in /usr/share/applications and icon file in /usr/share/icons/
Zo'n rigide maatregel is best kut als je een bepaalde bestandsassociatie van een bestandstype voor je eigen account onklaar wil maken. Of je moet als root met die .desktop bestanden in die mappen aanpassen. Maar dan pas je eigenlijk een bestand aan die bij een package hoort die onder beheer is van je package manager. Dat gaat die ook niet leuk vinden bij het updaten van die package. En je raakt alle accounts van het systeem ermee.
Kortom: Sta andere .desktop bestanden gewoon toe.
In het algemeen of de packagemanager veranderingen niet leuk gaat vinden hangt af van of er een .d directory beschikbaar is. Zie https://www.redhat.com/en/blog/etc-configuration-directories
Gisteren, 16:00 door
Anoniem
Door Anoniem:
Doe eens grep -R MimeType /usr/share/applications en probeer mij maar eens ongelijk te geven.Door Anoniem:
Of je moet als root met die .desktop bestanden in die mappen aanpassen. Maar dan pas je eigenlijk een bestand aan die bij een package hoort die onder beheer is van je package manager. Dat gaat die ook niet leuk vinden bij het updaten van die package. En je raakt alle accounts van het systeem ermee.
Kortom: Sta andere .desktop bestanden gewoon toe.
Jij hebt het over bestandsassociatie. Dan gaat het over mimeapps.list en niet over .desktop filesDoor Anoniem: Het is blijkbaar weer komkommertijd. Alleen toestaan: .desktop file in /usr/share/applications and icon file in /usr/share/icons/
Zo'n rigide maatregel is best kut als je een bepaalde bestandsassociatie van een bestandstype voor je eigen account onklaar wil maken. Of je moet als root met die .desktop bestanden in die mappen aanpassen. Maar dan pas je eigenlijk een bestand aan die bij een package hoort die onder beheer is van je package manager. Dat gaat die ook niet leuk vinden bij het updaten van die package. En je raakt alle accounts van het systeem ermee.
Kortom: Sta andere .desktop bestanden gewoon toe.
In het algemeen of de packagemanager veranderingen niet leuk gaat vinden hangt af van of er een .d directory beschikbaar is. Zie https://www.redhat.com/en/blog/etc-configuration-directories
Je linkt naar configuratie bestanden in /etc. Daar hebben we het helemaal niet over.
Doe eens sudo dpkg -S /usr/share/applications/*.desktop
Gisteren, 16:31 door
Anoniem
Linux of een grafische omgeving als Gnome, KDE, Plasma, XFCE, LXDE, LXQt, Mate, Lomiri?
Dat is nogal een verschilletje namelijk..
Elke omgeving die geen desktop manager heeft zou dan al niet vatbar zijn? Als in 99% van alle servers? en dat is dan weer 99% van alle linux omgevingen...
Maar moet wel zeggen dat dit in categorie windows-probleem valt... .exe hernoemen als .pdf enzo..
Dat is nogal een verschilletje namelijk..
Elke omgeving die geen desktop manager heeft zou dan al niet vatbar zijn? Als in 99% van alle servers? en dat is dan weer 99% van alle linux omgevingen...
Maar moet wel zeggen dat dit in categorie windows-probleem valt... .exe hernoemen als .pdf enzo..
Gisteren, 17:29 door
Anoniem
Door Anoniem: Linux of een grafische omgeving als Gnome, KDE, Plasma, XFCE, LXDE, LXQt, Mate, Lomiri?
Dat is nogal een verschilletje namelijk..
Elke omgeving die geen desktop manager heeft zou dan al niet vatbar zijn? Als in 99% van alle servers? en dat is dan weer 99% van alle linux omgevingen...
Maar moet wel zeggen dat dit in categorie windows-probleem valt... .exe hernoemen als .pdf enzo..
Heeft niks met vatbaarheid te maken. Er wordt niks hernoemt. Stelling is dat je geen domme dingen moet doen, zoals een onbekende zip uitpakken etc, Geldt voor elk OSDat is nogal een verschilletje namelijk..
Elke omgeving die geen desktop manager heeft zou dan al niet vatbar zijn? Als in 99% van alle servers? en dat is dan weer 99% van alle linux omgevingen...
Maar moet wel zeggen dat dit in categorie windows-probleem valt... .exe hernoemen als .pdf enzo..
Gisteren, 17:55 door
Anoniem
Door Anoniem: Om een Linux systeem te infecteren heb je toch echt een local privilege escalation kwetsbaarheid nodig en dat is niet aan de orde. Data van "het systeem stelen" is ook niet aan de orde als gewone gebruiker. Gebruikers kunnen natuurlijk wel altijd hun eigen desktop vernachelen. Vrij dom als je een onbekende zipfile gaat uitpakken en gedownloade bestanden gaat executeren!
Kan die jaren 80 beheerders mentaliteit " fuck de gebruiker alleen mijn systeemfiles zijn belangrijk" eens naar het sterfhuis ?
Knoop in je oren : ALLEEN data is belangrijk . Dat systeem is er voor niks anders dan die beschikbaar te houden en te verwerken .
Het "systeem" is te volledig te herstellen in minuten .
Het is ook vrij eenvoudig af te fakkelen door je $HOME (en /tmp) met noexec flag te mounten.
bash $HOME/nasty.sh
Maar als linux expert , DOE het eens, en kijk eens hoe bruikbaar de desktop nog is.
Het hele feit _dat_ dit een exploit is gericht op een gebruikte desktop omgeving betekent dat een functionele desktop blijkbaar nodig is voor de slachtoffers .
Voor een headless datacenter server zal deze aanval niet zinvol zijn.
Het is al met al ook helemaal geen Linuxprobleem. Dit soort acties zijn in principe op elke systeem uit te proberen maar blijkbaar wordt de Linux desktop toch meer gebruikt dan men denkt.
Hetzelfde kunstje op Windows is altijd wel de schuld van Windows .
Gisteren, 18:06 door
Anoniem
Door Named:
En naar mijn weten ligt juist alle interessante data in je home directory. Je browser cookies/wachtwoorden, app tokens en wallets zijn super interessant voor criminelen, en met een beetje pech is dat allemaal in je "/home/gebruiker/.config/" of iets dergelijks opgeslagen...
Door Anoniem: Om een Linux systeem te infecteren heb je toch echt een local privilege escalation kwetsbaarheid nodig en dat is niet aan de orde. Data van "het systeem stelen" is ook niet aan de orde als gewone gebruiker. Gebruikers kunnen natuurlijk wel altijd hun eigen desktop vernachelen. Vrij dom als je een onbekende zipfile gaat uitpakken en gedownloade bestanden gaat executeren!
Het is ook vrij eenvoudig af te fakkelen door je $HOME (en /tmp) met noexec flag te mounten.
Het is al met al ook helemaal geen Linuxprobleem. Dit soort acties zijn in principe op elke systeem uit te proberen maar blijkbaar wordt de Linux desktop toch meer gebruikt dan men denkt.
Volgens mij kan dit nog steeds werken zelfs als je noexec gebruikt? Je kan gewoon een bash script injecteren en die kan dan draaien zonder executable. Het is niet alsof je persistency nodig hebt als je doelwit al binnen handbereik is of zo...Het is ook vrij eenvoudig af te fakkelen door je $HOME (en /tmp) met noexec flag te mounten.
Het is al met al ook helemaal geen Linuxprobleem. Dit soort acties zijn in principe op elke systeem uit te proberen maar blijkbaar wordt de Linux desktop toch meer gebruikt dan men denkt.
En naar mijn weten ligt juist alle interessante data in je home directory. Je browser cookies/wachtwoorden, app tokens en wallets zijn super interessant voor criminelen, en met een beetje pech is dat allemaal in je "/home/gebruiker/.config/" of iets dergelijks opgeslagen...
Inderdaad.
En de rest van de gebruikersdata zal ook wel interessant zijn.
Linux desktops zijn nogal een niche - degenen die erop werken zijn , grosso modo, allemaal "power users" op de een of andere manier. De 'thuis internet hobbyist' met een Linux desktop bestaat maar is wel heel marginaal .
Ontwikkelaars van iets - code , research . Ongeveer alles wat ze werkelijk _moeten_ doen zal toch (ook) leven of bereikbaar zijn vanuit de homedirectory . Of het nu python, R , matlab ,SQL, C of Rust is .
Dat maakt al die 'locked down' commentaren zo onmogelijk. "kiosk mode' (alleen een browser, niks persistents), iets als een tablet , of een Chromebook bestaat .
En voor degenen die genoeg hebben aan die functionaliteit is dat een uitstekende oplossing waarin ontzettend veel van dit soort risico's omzeild zijn.
Maar juist voor degenen die een 'full function' desktop _nodig_ hebben is het vrijwel onmogelijk om die "veilig" en toch "functioneel" te houden.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ervaren Chief Information Security Officer (CISO)
Provincie Noord-Holland
Ben jij een ervaren CISO? En wil jij jouw kennis in een andere organisatie delen? Help ons dan onze informatieveiligheid verder te vergroten. Als CISO speel je een sleutelrol in het veilig houden van gegevens en systemen die essentieel zijn voor een leefbare, veilige en duurzame provincie.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?