Вопросы Теги

Как проверить, заражена ли моя система троянцем “Turla”?

Поскольку многие слышали/читали новости, модуль спонсируемого состоянием троянского вредоносного программного обеспечения под названием "Turla" был недавно обнаружен, который заражает хосты Linux: (Новости от ArsTechnica) (Новости от OMG-Ubuntu) (Технический отчет Kaspersky)

В статье ArsTechnica упоминается что:

Администраторы, которые хотят проверить на Turla-зараженные системы Linux, могут проверить исходящий трафик на соединения с новостями-bbc.podzone[.] org или 80.248.65.183... Администраторы могут также создать подпись с помощью инструмента под названием YARA, который обнаруживает строки "TREX_PID =, % u" и "Удаленный VS пусты!"

Это короткое объяснение действительно не помогает мне выяснить, как я должен проверить, заражена ли моя система или нет!

Таким образом, кто-то может дать четкое пошаговое объяснение?

ОБНОВЛЕНИЕ: Хотя, кажется, нет никакого абсолютного метода для обнаружения заражения, но четкое и пошаговое объяснение с помощью удобных инструментов для сети, контролирующей для обнаружения соединений с вышеупомянутыми адресами (например, vnstat, netstat...) и шаги с помощью удобных инструментов для блокирования соединения с и от вышеупомянутых адресов (например, ufw, iptables...), значительно ценится и ЖЕЛАЕМО!

6
задан 11 December 2014 в 03:09

2 ответа

Используя iptables: 

sudo su
iptables -A OUTPUT -s  80.248.65.183  -j DROP
iptables -A INPUT  -s  80.248.65.183  -j DROP

убедиться проверить эти строки загружаются после перезагрузки (например, в crontab использование @reboot).

0
ответ дан 23 November 2019 в 07:49

Я просто сделал рецензию на Turla вчера в security.stackexchange.com , покрыв и Windows и версии Linux. Можно найти его здесь .

Хорошие новости , путем чтения его можно получить лучшее представление о том, к чему семья Turla способна.
Плохие новости , "Хотя варианты Linux от платформы Turla, как было известно, существовали, мы еще не видели никого в дикой природе". - Лаборатория Касперского

, Который означает, что единственный анализ, сделанный до сих пор, был из вредоносного программного обеспечения, полученного в ловушке, и что это очень трудно для обнаружения. Если Вам интересно, я выделил некоторые методы антиобнаружения, которые это, как известно, использует в моей рецензии.

я думаю, что Вы найдете там, действительно не намного больше, можно сделать в данный момент помимо того, что Вы уже нашли в статье.

6
ответ дан 23 November 2019 в 07:49

Другие вопросы по тегам:

Похожие вопросы: