Security Professionals - ipfw add deny all from eindgebruikers to any

sd-pam op Ubuntu Gnome en StripedFly

29-10-2023, 18:35 door Anoniem, 6 reacties
Hallo security ninjas,

Beetje raar dat ik op de frontpage van security.nl nog niets over StripedFly gelezen heb.

En nu kom ik op mijn Ubuntu klapdoosje tegen onder het root process gdm-session-worker [pam/gdm-password] \_ (sd-pam) als mijn user tegen als ik ps axufw|grep pam doe waar alle terminal commandos onder draaien blijkbaar.

Iedere commando gaat via die sd-pam.

Maar ergens is dit dacht ik normaal gedrag toch?

Ik word er wel een beetje paranoia van nu met dat StripedFly. Wat denken jullie hiervan?
Reacties (6)
29-10-2023, 21:43 door Anoniem
Ja, sd-pam is normaal. PAM staat voor "pluggable authentication modules". Zie `man 7 pam' voor een uitleg van wat dat is.

Wat sd-pam precies is in dat geheel wist ik ook niet, maar ik zie het op mijn Debian-machine ook. Een internetzoekopdracht op "sd-pam" leert dat meer mensen vragen wat het is en ook antwoorden krijgen. Het is een proces van systemd dat de afsluiting van pam-sessies regelt, kennelijk.

StripedFly gebruikt kennelijk dezelfde procesnaam sd-pam om niet op te vallen. Dat betekent niet dat als je sd-pam ziet je besmet bent, want elk systeem met systemd erop zal zo'n proces hebben.

Voor zover ik de StripedFly-beschrijvingen begrijp vindt de eerste besmetting op een Windows-machine plaats, en hij zit verstopt in een cryptocurrency miner die de gebruiker zelf installeert. Van daaruit worden via een exploit in SMBv1 Linux-machines besmet. Wil jouw Linux-machine besmet zijn dan moet je dus a) een Windows-machine in je netwerk hebben, b) daarop de bewuste cryptocurrency-miner hebben geïnstalleerd, en c) op je Linux-machine toegang tot mappen geven aan die Windows-machine via het SMBv1-protocol, met Samba op Linux dus. Als dat niet alle drie voor jou opgaat hoef je je denk ik nergens zorgen over te maken.
30-10-2023, 09:08 door Anoniem
Door Anoniem:Voor zover ik de StripedFly-beschrijvingen begrijp vindt de eerste besmetting op een Windows-machine plaats, en hij zit verstopt in een cryptocurrency miner die de gebruiker zelf installeert. Van daaruit worden via een exploit in SMBv1 Linux-machines besmet. Wil jouw Linux-machine besmet zijn dan moet je dus a) een Windows-machine in je netwerk hebben, b) daarop de bewuste cryptocurrency-miner hebben geïnstalleerd, en c) op je Linux-machine toegang tot mappen geven aan die Windows-machine via het SMBv1-protocol, met Samba op Linux dus. Als dat niet alle drie voor jou opgaat hoef je je denk ik nergens zorgen over te maken.

Dat is een beetje kort door de bocht... Je moet in een netwerk gezeten hebben waar een Windows computer zat die besmet is. Dus als je je laptop meegenomen hebt naar je bandenboer, de autogarage, je opa/oma, dat openbaar netwerk wat dezelfde naam had als thuis bij installatie van app-xyz enz..

Je verbaast je hoeveel mensen nog een lynksys SSID in hun lijst heeft staan van bekende netwerken. Of de 'open' SSID van hun supermarkt of groothandel... Allemaal perfecte manieren om je systeem te besmetten. Mensen denken dat ze op HUN netwerk veilig zijn... en dat is ook wel relatief zo, maar mensen weten niet dat ze 'thuis' zomaar op iemand anders hun netwerk kunnen komen.
30-10-2023, 17:39 door Anoniem
Door Anoniem: Ja, sd-pam is normaal. PAM staat voor "pluggable authentication modules". Zie `man 7 pam' voor een uitleg van wat dat is.

Wat sd-pam precies is in dat geheel wist ik ook niet, maar ik zie het op mijn Debian-machine ook. Een internetzoekopdracht op "sd-pam" leert dat meer mensen vragen wat het is en ook antwoorden krijgen. Het is een proces van systemd dat de afsluiting van pam-sessies regelt, kennelijk.

StripedFly gebruikt kennelijk dezelfde procesnaam sd-pam om niet op te vallen. Dat betekent niet dat als je sd-pam ziet je besmet bent, want elk systeem met systemd erop zal zo'n proces hebben.

Voor zover ik de StripedFly-beschrijvingen begrijp vindt de eerste besmetting op een Windows-machine plaats, en hij zit verstopt in een cryptocurrency miner die de gebruiker zelf installeert. Van daaruit worden via een exploit in SMBv1 Linux-machines besmet. Wil jouw Linux-machine besmet zijn dan moet je dus a) een Windows-machine in je netwerk hebben, b) daarop de bewuste cryptocurrency-miner hebben geïnstalleerd, en c) op je Linux-machine toegang tot mappen geven aan die Windows-machine via het SMBv1-protocol, met Samba op Linux dus. Als dat niet alle drie voor jou opgaat hoef je je denk ik nergens zorgen over te maken.
Daarom maak geen enkele koppelingen met windows, grote kans dat je dan ook nog eens microsoft licenties moet betalen.
30-10-2023, 19:53 door Xavier Ohole
Door Anoniem: Ik word er wel een beetje paranoia van nu met dat StripedFly. Wat denken jullie hiervan?

Je hebt last van paranoia maar bent of wordt er paranoïde van.
31-10-2023, 21:25 door Anoniem
Door Xavier Ohole:
Door Anoniem: Ik word er wel een beetje paranoia van nu met dat StripedFly. Wat denken jullie hiervan?

Je hebt last van paranoia maar bent of wordt er paranoïde van.

Niks mis met die vraag. Vooral omdat het een eerlijke en verstandige is. De gevaarlijkste IT'er is iemand die de indruk wekt dat hij alles weet, namelijk, want dat is enkel technisch al heel lang eenvoudig onmogelijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.