現在、HSBC、Lloyds Bank、Amazonなどから送信された電子メールを偽装してウイルス/トロイの木馬を送信するキャンペーンがあります。
トロイの木馬/ウイルスはアプリケーション/zip添付ファイルとして送信されます。
私はこのようなzipファイルを保存し、私が所有しているext4ファイルシステムの700権限ディレクトリに解凍しました。
clamscan
、およびを使用してavgscan
スキャンするためにavast
zipファイルを保存し、その内容を「ウイルス」ディレクトリに抽出しました。
File: /home/users/miller/virus
Size: 4096 Blocks: 8 IO Block: 4096 directory
Device: 809h/2057d Inode: 14155801 Links: 2
Access: (0700/drwx------) Uid: ( 1001/ miller) Gid: ( 1000/ users)
Access: 2013-10-03 12:57:47.484923866 +0200
Modify: 2013-10-03 12:57:46.684879168 +0200
Change: 2013-10-03 12:57:46.684879168 +0200
Birth: -
期待どおりにファイル名を変更または削除できます。ファイルの権限は600で、私の所有です。
$ stat virus.exe
File: virus.exe
Size: 61440 Blocks: 120 IO Block: 4096 regular file
Device: 809h/2057d Inode: 14155809 Links: 1
Access: (0600/-rw-------) Uid: ( 1001/ miller) Gid: ( 1000/ users)
Access: 2013-10-03 12:46:37.194541504 +0200
Modify: 2013-10-01 22:01:44.000000000 +0200
Change: 2013-10-03 13:19:09.263393591 +0200
Birth: -`
ただし、ファイルを読み取ったりコピーしたりしようとすると失敗します。
$ file virus.exe
virus.exe: writable, regular file, no read permission`
cp virus.exe copy.exe
cp: cannot open virus.exe for reading: Operation not permitted`
lsattr virus.exe
lsattr: Operation not permitted While reading flags on virus.exe`
ルートで試しても失敗します。
もしそうなら、「rw権限」があってもファイルを読み取ることができないようにするにはどうavgscan
すればclamscan
いいですかavast
。
*補正** (以前のコメントは間違ったzipファイルを参照していました)
付録:clamscan
保存された添付ファイルを実行しても、ウイルス/トロイの木馬/マルウェアは検出されません。それはおそらく、内部実行可能ファイルが「読み取れない」状態なのかもしれません。
clamscanvirus.zipvirus.zip: 確認
同様に、マルウェアavgscan
もavast
検出できません。
これは、抽出されたexeファイルを読み取る能力の重要性を強調し、clamscan
マルウェアを検出できないことを示しています。
zipファイルの元の名前はORDER-N:N-1414559-3015133.zip
、実行可能ファイルの元の名前はですOrder details.exe
。
*重要な追加情報*
要約すると、ユーザーミラーがzipファイルを解凍すると、exeファイルが生成されます。
60 -rw------- 1 miller users 61440 2013-10-01 22:01 Order details.exe
しかし、これはユーザーミラーやrootが読み取ることができません。
しかし、rootがzipファイルを解凍すると、rootはexeファイルを読み取ることができます。
0 -rw-r--r-- 1 root root 61440 2013-10-01 22:01 Order details.exe
ファイルコマンドは次のように表示されます。
[15:57] koala:{virus/}# file Order\ details.exe
Order details.exe: PE32 executable (GUI) Intel 80386, for MS Windows
それでは、一般ユーザーとrootがユーザーが解凍したファイルを読み取らないようにする設定は何ですか?
ルート解凍後のファイル:
$ lsattr Order\ details.exe
-------------e-- Order details.exe
マニュアルページでは、以下についてchattr
説明します。
The 'e' attribute indicates that the file is using extents for mapping
the blocks on disk. It may not be removed using chattr(1).
したがって、ext2/3/4ファイルシステムにはcatch22の状況があります。ファイルの読みやすさが不足しています。できない変更が必要です。回避策は、「e」属性を持つ解凍されたファイルが生成されないように、rootとしてzipアーカイブを解凍することです。 Linuxの解凍バージョンは属性スイッチを無視しないためです。
ユーザーがXFSファイルシステムにzipファイルを抽出すると、XFSはプロパティ設定メカニズムをサポートしていないため読み取ることができます。
avgscan
exeファイルで実行すると、次のようになります。
$ avgscan Order\ details.exe
AVG command line Anti-Virus scanner
Copyright (c) 2013 AVG Technologies CZ
Virus database version: 3222/6719
Virus database release date: Thu, 03 Oct 2013 06:11:00 +0200
Order details.exe Found Luhe.Fiha.A
Files scanned : 1(1)
Infections found : 1(1)
したがって、物語の教訓は次のようになります。信じられない avgscan
、avast
またはclamscan
常にzipファイルでマルウェアを見つけます。常に解凍された実行可能ファイルをチェックしてください!
答え1
私が知っている限り、間違いのないコマンドは次のとおりです。
lsattr virus.exe
lsattr: Operation not permitted While reading flags on virus.exe
これは、デフォルトでは、デフォルトのファイルシステムがEXT2/3/4ではないことを意味します。一般的な権限が時々要因ではない可能性があり、ファイル属性もサポートされない可能性があることを考慮してください。
はい
以下のようにNFSマウント共有があります。
$ pwd
/home/sam
私がlsattr
これに反対する場合:
$ lsattr /home/sam/ 2>&1 | head -3
lsattr: Inappropriate ioctl for device While reading flags on /home/sam/dead.letter
lsattr: Inappropriate ioctl for device While reading flags on /home/sam/bashrc
lsattr: Inappropriate ioctl for device While reading flags on /home/sam/phillip_phillips_home.mp3
私の考えでは、ファイルシステムがユーザーのアクセスを拒否しているようです。