Linux ext-4で「ファイル読み取り権限なし」を使用してマルウェアファイルを読み取ることができるようにするにはどうすればよいですか?

Linux ext-4で「ファイル読み取り権限なし」を使用してマルウェアファイルを読み取ることができるようにするにはどうすればよいですか?

現在、HSBC、Lloyds Bank、Amazonなどから送信された電子メールを偽装してウイルス/トロイの木馬を送信するキャンペーンがあります。

トロイの木馬/ウイルスはアプリケーション/zip添付ファイルとして送信されます。

私はこのようなzipファイルを保存し、私が所有しているext4ファイルシステムの700権限ディレクトリに解凍しました。

clamscan、およびを使用してavgscanスキャンするためにavastzipファイルを保存し、その内容を「ウイルス」ディレクトリに抽出しました。

File: /home/users/miller/virus
Size: 4096            Blocks: 8          IO Block: 4096   directory
Device: 809h/2057d      Inode: 14155801    Links: 2
Access: (0700/drwx------)  Uid: ( 1001/  miller)   Gid: ( 1000/   users)
Access: 2013-10-03 12:57:47.484923866 +0200
Modify: 2013-10-03 12:57:46.684879168 +0200
Change: 2013-10-03 12:57:46.684879168 +0200
Birth: -

期待どおりにファイル名を変更または削除できます。ファイルの権限は600で、私の所有です。

$ stat virus.exe
File: virus.exe
Size: 61440           Blocks: 120        IO Block: 4096   regular file
Device: 809h/2057d      Inode: 14155809    Links: 1
Access: (0600/-rw-------)  Uid: ( 1001/  miller)   Gid: ( 1000/   users)
Access: 2013-10-03 12:46:37.194541504 +0200
Modify: 2013-10-01 22:01:44.000000000 +0200
Change: 2013-10-03 13:19:09.263393591 +0200
Birth: -`

ただし、ファイルを読み取ったりコピーしたりしようとすると失敗します。

$ file virus.exe
virus.exe: writable, regular file, no read permission`

cp virus.exe copy.exe
cp: cannot open virus.exe for reading: Operation not permitted`

lsattr virus.exe 
lsattr: Operation not permitted While reading flags on virus.exe`

ルートで試しても失敗します。

もしそうなら、「rw権限」があってもファイルを読み取ることができないようにするにはどうavgscanすればclamscanいいですかavast


*補正** (以前のコメントは間違ったzipファイルを参照していました)

付録:clamscan保存された添付ファイルを実行しても、ウイルス/トロイの木馬/マルウェアは検出されません。それはおそらく、内部実行可能ファイルが「読み取れない」状態なのかもしれません。

clamscanvirus.zipvirus.zip: 確認

同様に、マルウェアavgscanavast検出できません。

これは、抽出されたexeファイルを読み取る能力の重要性を強調し、clamscanマルウェアを検出できないことを示しています。

zipファイルの元の名前はORDER-N:N-1414559-3015133.zip、実行可能ファイルの元の名前はですOrder details.exe


*重要な追加情報*

要約すると、ユーザーミラーがzipファイルを解凍すると、exeファイルが生成されます。

60 -rw-------   1 miller users 61440 2013-10-01 22:01 Order details.exe

しかし、これはユーザーミラーやrootが読み取ることができません。

しかし、rootがzipファイルを解凍すると、rootはexeファイルを読み取ることができます。

0 -rw-r--r--  1 root root 61440 2013-10-01 22:01 Order details.exe

ファイルコマンドは次のように表示されます。

[15:57] koala:{virus/}# file Order\ details.exe 
Order details.exe: PE32 executable (GUI) Intel 80386, for MS Windows

それでは、一般ユーザーとrootがユーザーが解凍したファイルを読み取らないようにする設定は何ですか?

ルート解凍後のファイル:

$ lsattr Order\ details.exe 
-------------e-- Order details.exe

マニュアルページでは、以下についてchattr説明します。

The 'e' attribute indicates that the file is using extents for  mapping
the blocks on disk.  It may not be removed using chattr(1).

したがって、ext2/3/4ファイルシステムにはcatch22の状況があります。ファイルの読みやすさが不足しています。できない変更が必要です。回避策は、「e」属性を持つ解凍されたファイルが生成されないように、rootとしてzipアーカイブを解凍することです。 Linuxの解凍バージョンは属性スイッチを無視しないためです。

ユーザーがXFSファイルシステムにzipファイルを抽出すると、XFSはプロパティ設定メカニズムをサポートしていないため読み取ることができます。

avgscanexeファイルで実行すると、次のようになります。

$ avgscan Order\ details.exe 
AVG command line Anti-Virus scanner
Copyright (c) 2013 AVG Technologies CZ

Virus database version: 3222/6719
Virus database release date: Thu, 03 Oct 2013 06:11:00 +0200

Order details.exe  Found Luhe.Fiha.A

Files scanned     :  1(1)
Infections found  :  1(1)

したがって、物語の教訓は次のようになります。信じられない avgscanavastまたはclamscan常にzipファイルでマルウェアを見つけます。常に解凍された実行可能ファイルをチェックしてください!

答え1

私が知っている限り、間違いのないコマンドは次のとおりです。

lsattr virus.exe 
lsattr: Operation not permitted While reading flags on virus.exe

これは、デフォルトでは、デフォルトのファイルシステムがEXT2/3/4ではないことを意味します。一般的な権限が時々要因ではない可能性があり、ファイル属性もサポートされない可能性があることを考慮してください。

はい

以下のようにNFSマウント共有があります。

$ pwd
/home/sam

私がlsattrこれに反対する場合:

$ lsattr /home/sam/ 2>&1 | head -3
lsattr: Inappropriate ioctl for device While reading flags on /home/sam/dead.letter
lsattr: Inappropriate ioctl for device While reading flags on /home/sam/bashrc
lsattr: Inappropriate ioctl for device While reading flags on /home/sam/phillip_phillips_home.mp3

私の考えでは、ファイルシステムがユーザーのアクセスを拒否しているようです。

関連情報