Linux-backdoor gemaakt in Mozilla-programmeertaal Rust
Onderzoekers hebben een backdoor voor Linux ontdekt die in de door Mozilla Research ontwikkelde programmeertaal Rust is gemaakt. Het gaat om een irc-backdoor waarbij aanvallers besmette systemen via het internet relay chat (irc) protocol besturen, zo meldt het Russische anti-virusbedrijf Doctor Web.
De backdoor blijkt slechts vier commando's uit te kunnen voeren, namelijk met een specifiek irc-kanaal verbinding maken, informatie over het besmette systeem terugsturen, zichzelf van het systeem verwijderen en gegevens over actieve applicaties terugsturen. In het verleden zijn er al vaker irc-backdoors voor Linux gevonden. Opvallend aan deze variant is dat die in Rust is gemaakt.
Deze door Mozilla Research ontwikkelde programmeertaal werd zes jaar geleden al gelanceerd, maar de eerste stabiele versie kwam vorig jaar mei uit. Op Stack Overflow, een populaire website voor programmeurs, werd Rust tot de "meest geliefde" programmeertaal van 2016 uitgeroepen. Hoe de nu ontdekte Linux-backdoor zich verspreidt en hoeveel machines ermee besmet zijn laat Doctor Web niet weten. We hebben het anti-virusbedrijf dan ook om opheldering gevraagd, maar nog geen reactie ontvangen.
Of gaan we dat ook doen bij C en alle andere talen ?
Dat is niet de eerste keer dat een antivirusbedrijf iets roept over zogenaamde Linux malware, maar als men toelichting vraagt geeft men niet thuis. Ik denk dat antivirusbedrijven doelbewust bezig zijn om angst te zaaien bij Linux-gebruikers, om zo ook op dit platform voet aan de grond te krijgen.
Linux op de desktop is nog steeds marginaal, maar verder is het overal om je heen. En daar ziet men blijkbaar een markt.
Maar eerst bewijzen/aantonen dat dit bestaat graag, voordat men maar iets in de rondte roept...
Gelukkig zit de backdoor niet in de taal zelf ingebakken maar heeft iemand de taal gebruikt om een backdoor te maken.
Dat is niet de eerste keer dat een antivirusbedrijf iets roept over zogenaamde Linux malware, maar als men toelichting vraagt geeft men niet thuis...
Maar eerst bewijzen/aantonen dat dit bestaat graag, voordat men maar iets in de rondte roept...
Nee, dr. web lijkt nooit iets zomaar te roepen.
In het signaleren van malware zijn ze in het verleden ook al wel goed gebleken (o.a. FlashBack malware voor OS X in 2012).
Voor verder uitgeplozen toelichtingen, daar moet je niet voor bij dr. web zijn.
En ik heb het idee dat je ook niet voor av producten bij ze moet zijn.
Ga er maar vanuit dat het klopt en het is wachten of een andere av vendor dit oppikt om er inhoudelijk over te schrijven.
Maar ook dan nog worden vaak de meest interessante benodigde details weggelaten.
Dat de bot in Rust is geschreven is niet zo vreemd. Er zijn meerdere bestaande IRC client libraries en clients in die taal. Ik ben er verder niet ingedoken, maar waarschijnlijk kost het weinig tot heel weinig moeite om een bot in elkaar te knutselen.
Vanuit het standpunt van een AV researcher is het interessant omdat die zijn detectie engine moet aanpassen om de Rust taal te ondersteunen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
