[Linux] Masquer un programme malveillant

Salut à tous,

 

Ça fait un bout de temps que je ne vous ai pas écrit ...
Cela n'est pas vraiment une faute de temps, mais plutôt une espèce d’immense trou noir.
Une page blanche qui a commencé il y a quelques mois et qui ne s'arrête plus vraiment ...
Je vous le dis mes amis, c'est une période où j'ai besoin de me ressourcer, de prendre le temps !

Mais lorsque me vient une idée lumineuse, je n’hésite pas à vous en faire profiter.
C'est d'ailleurs le cas aujourd'hui !
Nous allons prendre le temps de parler des processus Linux ... et de comment cacher le processus d'un programme malveillant ....

 

Un processus qu'est-ce que c'est ?

Lorsque je lance une commande sous Linux (ou sous n'importe quel système) ...

 

 

Il se crée un processus ...
Dans la commande ci-dessus, je fais un "ping dyrk.org", un processus va se créer et je vais le récupérer ainsi :

Ci-dessus je vois que j'ai un processus de créer pour mon ping.
Il est possible de visualiser l'ensemble des processus avec des commandes comme

$ ps aux

ou encore

$ top

ou bien

$ htop

Bref les outils de visualisation des processus sont nombreux.

Ces outils permettent donc de visionner ce qui se passe sur une machine, et parfois de trouver des comportements anormaux ... des programmes qui ne devraient pas être là ...

Comme vous pouvez le constater je vois bien la ligne de commande exécutée ...

Comment modifier la ligne de commande d'un processus

Une commande toute simple vous permettra sournoisement de larguer plus d'un admin système sur deux ^^

exec -a "la ligne de commande que je veux afficher"      "script que je veux exécuter

"exec -a" permet de remplacer le premier argument d'une ligne de commande parce que vous voulez.

exec -a "word.exe" "telnet"

word.exe ( les linuxiens comprendront ;) ) est donc ce qui va s'afficher, l'utilisateur ne verra donc pas le "telnet"

 

 

Comment fonctionne les processus sous Linux

Chaque processus possède un Id, qui correspond à un chemin /proc/<processus id>

Par exemple, dans la capture d'écran un peu plus haut, vous pouvez voir le processus "JeSuisUnVirus" qui est "25598"

Donc si je me rends dans le dossier "/proc/25598"

 

Je constate un ensemble de dossiers et de fichiers.
Chacun contenant des informations sur le processus ...

La ligne de commande du processus :

Les variables d'environnements de là où est exécuté le processus

Bref tout un tas de trucs rigolos !

Comment démasquer une fausse commande ?

En une ligne de commande :

Pid=<id du processus>;cat /proc/$Pid/cmdline; echo ""; readlink -f /proc/$Pid/exe

Qu'est-ce que ça fait concrètement.
Cette ligne de commande va afficher la ligne de commande du processus (fausse ou non).
Elle va retourner également le binaire correspondant ...

 

Dans notre cas, on voit que le processus 27677 correspond à la commande "word.exe" mais ... en réalité c'est /usr/bin/telnet qui est exécuté !!!
Nous avons donc démasqué un processus déguisé !

 

Astuce

 

Vous pouvez même balancer des trucs sur la sortie standard d'un processus en particulier :

<Ligne de commande> > /proc/<id du processus>/fd/0

Conclusion

Il ne faut pas toujours croire dans ce que vous voyez ;)
La méfiance est de rigueur lorsque l'on administre une machine !
Un grand pouvoir implique de grandes responsabilités !

Partagez ce contenu

2 comments

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *