Como verificar se o meu sistema está infectado com o trojan “Turla”?

6

Como muitos já ouviram / leram as notícias, um módulo de trojan patrocinado pelo estado chamado "Turla" foi descoberto recentemente e infecta os hosts Linux: (News from ArsTechnica ) (Notícias do OMG-Ubuntu ) ( Relatório técnico da Kaspersky

No artigo da ArsTechnica, menciona-se que:

  

Os administradores que desejam verificar os sistemas Linux infectados com Turla podem verificar o tráfego de saída para conexões com news-bbc.podzone [.] org ou 80.248.65.183, ... Os administradores também podem criar uma assinatura usando uma ferramenta chamada YARA que detecta as strings "TREX_PID =% u" e "Remote VS está vazio!"

Esta breve explicação não me ajuda a descobrir como devo verificar se meu sistema está infectado ou não!

Então, alguém pode dar uma explicação passo-a-passo clara?

UPDATE: Embora pareça não haver um método absoluto para detectar a infecção, mas uma explicação clara e passo-a-passo usando ferramentas convenientes para monitoramento de rede para detectar conexões com os endereços acima mencionados (por exemplo, vnstat, netstat, ...) e passos usando ferramentas convenientes para bloquear a conexão de e para os endereços mencionados acima (por exemplo, ufw, iptables, ...) são muito apreciados e DESEJADOS!

    
por Seyed Mohammad 11.12.2014 / 08:34

2 respostas

6

Eu acabei de fazer um write-up no Turla ontem no security.stackexchange.com , cobrindo as versões Windows e Linux. Você pode encontrá-lo aqui .

Boas notícias , ao lê-lo, você pode ter uma idéia melhor do que a família Turla é capaz.
Más notícias , "Embora as variantes do Linux do Sabe-se que a estrutura de Turla existe, ainda não vimos nenhuma na natureza. " - Kaspersky Lab

Isso significa que a única análise feita até agora foi de malware capturado em um honeypot e que é muito difícil de detectar. Se você estiver interessado, eu destaquei alguns dos métodos de detecção que é conhecido por usar no meu artigo.

Eu acho que você vai achar que não há muito mais o que você pode fazer no momento além do que você já encontrou no artigo.

    
por cremefraiche 11.12.2014 / 08:44
0

Usando iptables :

sudo su
iptables -A OUTPUT -s  80.248.65.183  -j DROP
iptables -A INPUT  -s  80.248.65.183  -j DROP

Certifique-se de verificar se essas linhas estão carregadas após a reinicialização (por exemplo, em crontab use @reboot ).

    
por user721536 04.08.2017 / 15:52

Tags