Journal Virus Mirai dans Ventoy

Posté par  . Licence CC By‑SA.
Étiquettes :
12
19
déc.
2020

Apparemment, le Trojan Mirai qui cible les systèmes Linux est présent dans plusieurs fichiers de Ventoy, une application qui permet de créer une clé USB pour démarrer plusieurs distributions Linux.
https://github.com/ventoy/Ventoy/issues/660

Tous les fichiers infectés ont été ajoutés au dépôt par l'auteur du projet "longpanda" et non par des contributeurs. En attendant sa réponse, je conseille d'utiliser plutôt la clé USB MultiSystem : http://liveusb.info/dotclear/

  • # supply chain attack

    Posté par  (site Web personnel) . Évalué à 6.

    Décidément https://en.wikipedia.org/wiki/SolarWinds#2020_supply_chain_attack

    Quelle garanties y a-t-il que le deuxième lien que tu proposes n'ait pas un problème similaire ?

    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # MediCat USB

    Posté par  . Évalué à 1.

    Je déconseille aussi d'utiliser MediCat USB qui se base sur Ventoy. Je n'arrive pas à trouver le site officiel de cette distribution, si quelqu'un sait où c'est…

  • # Ne semble pas nouveau

    Posté par  (site Web personnel) . Évalué à 6.

    Ça ne semble pas nouveau si on en croit https://github.com/ventoy/Ventoy/issues?q=is%3Aissue+virus

    Adhérer à l'April, ça vous tente ?

    • [^] # Re: Ne semble pas nouveau

      Posté par  . Évalué à 5.

      Intéressant. Et à chaque fois, la solution proposée est d'ajouter Ventoy dans une liste blanche. Ça c'est de la sécurité.

      • [^] # Re: Ne semble pas nouveau

        Posté par  . Évalué à 4.

        Ben je crois que son programme est flaggé automatiquement comme trojan car il intègre du code qui modifie le mbr, ce qui est finalement normal pour un outil de ce genre, mais que c'est commun à certains ransomwares/malwares.

        Du coup c'est compliqué, les antivirus flag un peu vite car ils n'ont aucun moyen de savoir si cette modif du mbr est quelque chose de justifié.

        • [^] # Re: Ne semble pas nouveau

          Posté par  . Évalué à 3.

          Non, ce n'est pas à cause d'une écriture dans le MBR.

          • [^] # Re: Ne semble pas nouveau

            Posté par  . Évalué à 5. Dernière modification le 19/12/20 à 17:13.

            Ça a à priori été le cas par le passé. Reste qu'il suffit qu'un malware ait un outil ou du code en commun (ils sont pas bêtes ils réutilisent eux aussi des libs existantes) pour être éventuellement flaggé.

  • # Faux positif ?

    Posté par  . Évalué à 8.

    C'est peut-être pertinent de s'interroger si ce ne serait pas un faux positif. Je sais que sous Linux on connait pas trop ca, mais sous Windows c'est assez courant qu'un programme soit détecté comme un virus juste parce qu'il contient du code qui manipule des choses souvent manipulés par les virus. Exemple au hasard: du code qui toucherai a l’amorçage du système comme par exemple un programme pour créer des clés USB…

    • [^] # Re: Faux positif ?

      Posté par  . Évalué à 0. Dernière modification le 19/12/20 à 14:40.

      Regarde la liste des fichiers vérolés : ils n'écrivent pas sur le secteur de démarrage.
      Ils sont différents des fichiers originaux officiels.
      Par exemple, xzcat.

    • [^] # Re: Faux positif ?

      Posté par  . Évalué à 2.

      C’est un virus belge?

      Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.

  • # et dans l'éventualité d'une véritable infection ?

    Posté par  . Évalué à 8.

    Supposons un instant que l'infection soit réelle,
    Comment vérifier la présence du cheval de Troie Mirai sur nos machines ?
    Je suppose que l'exécution en root/sudo du logiciel Ventoy aurait permis la contamination des fichiers du système, clamscan saurait-il les détecter ?
    Autre supposition, le code d'amorçage déposé sur les clefs USB (dans une petite partition formatée en FAT16) pourrait aussi être contaminé.

  • # J'ai fait le test, et pareil, virus

    Posté par  (site Web personnel) . Évalué à 9. Dernière modification le 19/12/20 à 15:17.

    J'ai suivi sa procédure pour générer xzcat

    wget https://www.uclibc.org/downloads/binaries/0.9.30.1/mini-native-x86_64.tar.bz2
    tar xjf mini-native-x86_64.tar.bz2
    cd mini-native-x86_64/home/
    wget https://busybox.net/downloads/busybox-1.32.0.tar.bz2
    tar xjf busybox-1.32.0.tar.bz2
    wget https://raw.githubusercontent.com/ventoy/Ventoy/master/BUSYBOX/x86_64_xzcat.config -O busybox-1.32.0/.config
    cd ../..
    sudo chroot mini-native-x86_64
    cd home/busybox-1.32.0
    make

    et ensuite j'ai uploadé le fichier généré busybox (qui est xzcat) sur virustotal et j'ai aussi https://www.virustotal.com/gui/file/cda64cc6c7344b6b7470de727c936479b08b313025faffdde6b9c620f0993f4a/detection

    S'il y a un problème, il y a une solution; s'il n'y a pas de solution, c'est qu'il n'y a pas de problème.

  • # Question bête

    Posté par  (site Web personnel) . Évalué à 5.

    Qu’est ce que c’est que ventoy ? La description à l’air d’indiquer que ça peut faire un travail que fait très bien dd. Pourquoi cet outil est-il donc utilisé ?

    « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

    • [^] # Re: Question bête

      Posté par  . Évalué à -2.

      Windows?

      Peur de la CLI?

      systemd!

    • [^] # Re: Question bête

      Posté par  (site Web personnel) . Évalué à 10. Dernière modification le 19/12/20 à 22:00.

      En gros, tu l'installes une fois pour toute sur une clé usb (ou un disque dur) et ensuite, tu peux l'utiliser comme clé usb normale, et y copier des isos comme de simples fichiers puis démarrer dessus. Tu peux ensuite faire des mises à jour sans formater et perdre ce qu'il y a sur la clé.

      Plus besoins de reformater la clé ou la reconfigurer pour démarrer sur une nouvelle iso, juste de rajouter une nouvelle iso avec les autres.

      Je n'ai pas regardé le fonctionnement, mais c'est une sorte de grub, qui cherche toutes les isos de la clé et les affiche dans un menu pour ensuite pouvoir démarrer dessus comme si tu avais créé une clé avec cette iso.

      Perso je l'ai adopté car j'en avais marre de "formater" ma clé à chaque fois que je voulais démarrer sur une iso différente.

      S'il y a un problème, il y a une solution; s'il n'y a pas de solution, c'est qu'il n'y a pas de problème.

      • [^] # Re: Question bête

        Posté par  . Évalué à 1.

        Tu as ça et ça ci tu ne veux plus formater ta clef USB, j’utilise le deuxième depuis de nombreuse année avec un SSD de 250 G tu peux en mettre des ISO. ;)

        Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.

        • [^] # Re: Question bête

          Posté par  (site Web personnel) . Évalué à 3.

          C'est pas le même prix non plus…

          • [^] # Re: Question bête

            Posté par  . Évalué à 1.

            Tu l’amortis très vite en l’utilisant souvent ce qui est mon cas, je comptais en acheter un deuxième au cas où le premier finirai par mourir de sa belle mort naturel. :)

            Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.

    • [^] # Re: Question bête

      Posté par  (site Web personnel) . Évalué à 8.

      Ça fait beaucoup plus que dd…

      Ça permet de :

      • d'avoir plein d'ISOs sur la même clé USB
      • de démarrer en mode BIOS ou UEFI avec la même clé USB
      • de gérer Secure Boot en utilisant une clé à intégrer dans l'UEFI
      • de mettre à jour l'outil lui-même sans reformater la clé USB

      Et il y a en projet/bêta en cours de démarrer sur une image de VM.

      Autrement, vu ce que ça fait, les chances que certains anti-virus fassent des faux-positifs ne m'étonnent guère.

    • [^] # Re: Question bête

      Posté par  (site Web personnel) . Évalué à 3. Dernière modification le 23/12/20 à 04:27.

      Il te permet de mettre des images ISO complètes sur un système de fichiers Exfat (créé par le script fourni), et de booter dessus, en te laissant l'espace restant disponible pour d'autres types de fichiers, le cas échéant.

      Il fait donc plus ou moins la même chose que E2B https://www.easy2boot.com/download/

      En utilisant des programmes qui existent déjà, il tente de permettre de créer la clé bootable universelle : UEFI, Legacy, sur GPT, sur ms-dos… et compatible avec le plus grand nombre de distributions possibles. https://ventoy.net

  • # Faux positif à 99.9999999999999% (à l'erreur d'arrondi prés)

    Posté par  . Évalué à 7.

    Voici l'analyse que j'ai faite en réponse à un bug ouvert sur uClibc.

    En résumé: c'est plus que probablement un faux positif.

    • [^] # Re: Faux positif à 99.9999999999999% (à l'erreur d'arrondi prés)

      Posté par  . Évalué à 1. Dernière modification le 22/12/20 à 11:29.

      je ne parierai pas trop là dessus :

      Some of the 10 antivirus who detect a malware are saying it's Mirai virus but it could be another malware that is detected as Mirai malware.
      The problem is that when you use ldconfig, your own software contains the same code after.

      en gros :
      - les dev de uclibc disent que leur outil est antérieur à mirai, mais peut-être que ça pourrait être un virus plus ancien qui n'avait pas été détecté jusque là.
      - une fois qu'on a compilé un truc avec ça, le binaire résultant contient le même code qui alerte les anti-virus.

      Alors peut-être que le faux-positif est propagé dans le binaire compilé avec uClibc, par un effet de bord, et qu'il n'y a rien à craindre, mais ça serait quand même intéressant de pousser l'audit.

      Sans blague, une bibliothèque C utilisée dans probablement un paquet de systèmes embarqués, si ce n'est pas une bonne cible pour une attaque de rootkit…

      • [^] # Re: Faux positif à 99.9999999999999% (à l'erreur d'arrondi prés)

        Posté par  (site Web personnel) . Évalué à 6.

        L'explication semble être un truc du genre:
        - Mirai utilise uclibc
        - Maintenant, tous les antivirus voient un bout de uclibc et se disent "oh mon dieu mais c'est Mirai!"

        Les "empreintes" utilisées par les antivirus ne ciblent pas toujours un morceau du code qui est effectivement propre au virus. Quand il s'agit d'un bout de code opensource qui est utilisé un peu partout, ben, ils détectent certes le virus, mais aussi plein d'autres trucs qui n'ont rien à voir.

        C'est un problème assez courant et la conclusion est que on ne peut pas compter sur les fournisseurs d'antivirus pour ce genre de choses (ce qui est dommage, parce que, comment dire, ça devrait être leur métier).

        A force d'avoir des faux positifs tout le temps, on finit par désactiver l'antivirus, et le jour ou y'a un vrai rootkit, on est pas protégé.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.