Hlavní navigace

Názor ke zprávičce Microsoft Defender ATP pro Linux předběžná verze od ventYl - TL;DR: nie kazdy malware je virus; nie kazdy...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 30. 3. 2020 14:18

    ventYl

    TL;DR: nie kazdy malware je virus; nie kazdy antivirak je ucinny proti kazdemu druhu malware

    to ale doslo k tomu, ze mame popletenu terminologiu pani. rozne druhy malware (co je vseobecny pojem zhromazdujuci vsetky druhy skodliveho kodu) sa siria roznym sposobom. tym sa odlisuju cervy od trojskoych konov a virusov.

    principialny rozdiel je asi taky, ze cerv sa siri vyuzivanim zranitelnosti v aplikaciach, ci uz lokalnych, alebo po sieti. sem patria veci ako makro "virusy", ktore sami seba pridavaju do dokumentov, internetove cervy, ktore sa siria trebars pomocou bugu v nejakom sietovom demone. cisto na ucely sirenia nie je nutne, aby disponoval moznostou infekcie lokalnych binariek.

    trojsky kon je umyselne pribaleny k nejakej (hoc aj zdanlivo) uzitocnej aplikacii, takze v zasade nemusi mat implementovany ziaden mechanizmus dalsieho sirenia, pretoze spustenie povodnej binarky moze jeho ucelu stacit sam o sebe.

    virus sa siri tak, ze sam seba kopiruje do dalsich spustitelnych suborov, ktore sa snad jedneho casu dostanu na inu masinu, alebo inu instalaciu. pre virus je nevyhnutne, aby bol schopny zapisovat do binariek, co na riadne zinstalovanom linuxe znamena, ze musi mat roota.

    a nejde samozrejme iba o terminologiu. rozne typy malware vyzaduju rozne sposoby detekcie. napr. antivirus je dost bezzuby pri detekcii internetovych cervov, ktore sa siria chybami v sietovych sluzbach. na to je potrebny IDS na firewalle / na API kernelu.

    trojske kone moze ist detekovat signaturami az po tom, co sa zisti, ze nejaky trojsky kon existuje, alebo sa zisti zavadne chovanie.

    virusy tym, ze musia svoju kopiu niest v binarke, ktora sa nejako dostane na system, su zistitelne antivirusom na zaklade vzoriek, alebo samplovania behu aplikacie. neviem ako dnes, ale onehda sa samploval nejaky pociatocny beh, pretoze virus sa casto hookol niekam blizko startu aplikacie, takze nemalo zmysel behavioralne skenovat cely proces (je to casovo narocne a pre infekcny kod je dost problem najst spolahlive a nenapadne miesto infekcie dalej pocas behu aplikacie). to je zaroven dovod, preco je antivirak dost bezzuby voci infekcii z internetu.

    az potom sa dostavame k tomu, co taky malware robi, teda aky je jeho payload. moze byt rozny, od cmuchacov roznych hesiel cez instalatory rootkitov az po botnety schopne univerzalneho pouzitia.

    samozrejme, nie je to vsetko ciernobiele, pretoze rozne druhy malware mozu byt schopne roznorakeho sirenia, uplne bezna pre Windows bude asi kombinacia cerva s virusom. takisto antivirusy uz dost dlho nefunguju cisto na skenovani vzoriek a samplovani pociatku behu aplikacie, ale integruju v sebe rozne schopne IDS systemy a robia (snad) sken na urovni systemoveho API, takze je sanca, ze zachytia aj nieco, co je viac nez virus a trojsky kon.

    obavam sa ale, ze tato sranda nebude komplexny antivirak s IDS. zrejme si to len cez fanotify nechava posielat zoznam suborov, ktore boli zmenene a tie skenuje vzorkami / heuristickou analyzou v sandboxe. na vytvorenie aplikacneho sandboxu prava roota netreba, takze funkcnost tejto srandy je zavisla od toho, ze system nebol kompromitovany rootkitom. utok prichadzajuci zo siete voci beziacemu servisu si to pravdepodobne tiez nevsimne a asi nebude schopne totalne zabranit spusteniu takeho suboru, aj keby sa stiahol (nenapada mi, ako). urobit nieco take pre Linux je asi netrivialne vzhladom k roznorakosti kernelov. Asi jedina moznost je pouzitie security API a implementovanie to okolo grsec a spol. pripadne jeho uplna nahrada.

    30. 3. 2020, 14:18 editováno autorem komentáře