FILEUTILS TROJAN ANALİZİ (fileutils-1.0.6.patch.tar.gz)

Son günlerde bazı forum sayfalarında Fedora-Redhat işletim sistemine ilişkin
fileutils (mkdir/ls) araçlarındaki güvenlik açığını (gerçeği yansıtmıyor)
kapatan dosya konuşulmaya başlandı. İşin gerçeği bu dosya trojanlıdır.

Fileutils araçlarında açık var denerekten kullanıcılar kandırılıp bu yama(!)
sistemlere yüklenmesi sağlanılmaya çalışılmış.
Bu trojanlı dosya 'fileutils-1.0.6.patch.tar.gz" (959 KB) dır.
Bu dosya 3 kısımdan oluşmaktadır(fileutils-patch.bin / inst.c / Makefile).
[root@adios-bootcd fileutils-1.0.6.patch]$ ls -la
-rw-r--r-- 1 adios users 990084 Oct 24 05:06 fileutils-patch.bin
-rw-r--r-- 1 adios users 14297 Oct 24 02:02 inst.c
-rw-r--r-- 1 adios users 32 Oct 23 10:59 Makefile

Tehlikeli olan ve sistemde kullanıcı açıp, sisteme ait bazı bilgileri e-posta ile bir adrese yollayan
dosya 'inst.c' isimli dosyadır. Bu dosya "Generic Script Compiler[shc]" ile oluşturulmuştur.
Böylece kullanıcıların gozunden dosyanın asıl işlevi saklanılmaya çalışılmış.
Dosya derlenip(make komutu ile) çalıştırıldığında(./inst) ekrana yanıltıcı mesajlar gelmektedir.
Eğer uygulama root olarak değil de normal kullanıcı olarak çalıştırılırsa, patch(!) root olarak
eklenmeli ibaresi belirmekte.
Aşağıda uygulama çalıştırıldığında ekrana yansıyanlar görülmektedir.

[]$ make
cc inst.c -o inst

[]$./inst
This patch must be applied as "root", and you are: "adios"

[]# ./inst
Identifying the system. This may take up to 2 minutes. Please wait ...
System looks OK. Proceeding to next step.

Patching "ls": ###########
Patching "mkdir": ###########

System updated and secured successfuly. You may erase these files.

Yukarıdaki uyarı sistemin başarılı şekilde güncellendiği belirtiliyor. Aslında sistemde
yöneticinin isteği dışında bazı işlemler gerçekleşti.
Peki nedir bu istek dışı(!) gerçekleşen olaylar?
Yukarıdaki işlemler sonucu sisteme root hakkıyla bir kullanıcı açıldı. Sisteme eklenen
kullanıcı adı bash dir. Eklenen bash kullanıcısına ilişkin password yok.
Böylece sisteme dışarıdan(ssh ile) rahatlıkla bağlanılabilmektedir.

Diğer gerçekleşen olay ise sisteme ilişkin bazı bilgilerin e-posta ile gönderilmesi.
Bu bilgiler arasında sistemdeki ağ arayüzleri, sisteme ait IP adresi/adresleri gibi bilgiler bulunmaktadır.
Gönderilen e-postanın konusu `inca o rota` olarak aktarılıyor.
Aşağıda, yaptığım inceleme sonucunda elde ettiğim e-posta çıktısı görülüyor(uygulama sisteme kurulurken):

Date: Wed, 3 Nov 2004 16:54:52 -0500 (EST)
From: root@SISTEM (root)
To: root@addlebrain.com
Subject: Inca o roata

Inca un root frate belea:
eth0 Link encap:Ethernet HWaddr 00:30:4F:20:68:46
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:1368 (1.3 KiB)
Interrupt:9 Base address:0x5000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:37391 errors:0 dropped:0 overruns:0 frame:0
TX packets:37391 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1526707 (1.4 MiB) TX bytes:1526707 (1.4 MiB)

Linux SISTEM KERNEL Aug 9 00:39:37 CEST 2004 i686 GNU/Linux 16:54:52 up 1:11, 0 users, load average: 0.19, 0.21, 0.09

user bash stii tu

tacetting[at]olympos.org