Как проверить, заражена ли моя система трояном «Turla»?

6

Как многие слышали / читали новости, недавно был обнаружен модуль спонсорского троянского вредоносного ПО с именем «Turla» , который заражает хосты Linux: (Новости от ArsTechnica ) ( ​​Новости от OMG-Ubuntu ) ( Технический отчет от Касперского )

В статье ArsTechnica упоминается, что:

  

Администраторы, которые хотят проверять системы, зараженные Turla Linux, могут проверять исходящий трафик на подключения к news-bbc.podzone [.] org или 80.248.65.183 ... Админы могут также создавать подпись с помощью инструмента YARA, который обнаруживает строки «TREX_PID =% u» и «Remote VS is empty!»

Это краткое объяснение не помогает мне понять, как я должен проверить, заражена ли моя система или нет!

Так может кто-нибудь дать ясное пошаговое объяснение?

ОБНОВЛЕНИЕ: Хотя, по-видимому, нет абсолютного метода для обнаружения заражения, но ясное и пошаговое объяснение с использованием удобных инструментов для мониторинга сети для обнаружения соединений с вышеупомянутыми адресами (например, vnstat, netstat, ...) и шаги, использующие удобные инструменты для блокировки соединения с вышеупомянутыми адресами (например, ufw, iptables, ...), очень ценятся и ЖЕЛАЮТСЯ!

    
задан Seyed Mohammad 11.12.2014 в 08:34
источник

2 ответа

6

Я только что написал вчера на Turla в security.stackexchange.com , охватывая как версии Windows, так и Linux. Здесь вы можете найти .

Хорошие новости , читая его, вы можете получить лучшее представление о том, что может иметь семья Turla.
Плохая новость . Хотя варианты Linux из Система Turla, как известно, существует, мы еще не видели в дикой природе ». - Лаборатория Касперского

Это означает, что единственный сделанный до сих пор анализ был из вредоносного ПО, захваченного в honeypot, и что он очень трудно обнаружить. Если вас это интересует, я выделил некоторые из методов анти-обнаружения, которые, как известно, используются в моей записи.

Думаю, вы обнаружите, что на данный момент вы не можете сделать гораздо больше, кроме того, что вы уже нашли в этой статье.     

ответ дан cremefraiche 11.12.2014 в 08:44
0

Использование iptables :

sudo su
iptables -A OUTPUT -s  80.248.65.183  -j DROP
iptables -A INPUT  -s  80.248.65.183  -j DROP

Обязательно проверьте, чтобы эти строки загружались после перезагрузки (например, в crontab использовать @reboot ).

    
ответ дан user721536 04.08.2017 в 15:52