¿Se puede instalar software malicioso dentro de la partición de intercambio de Linux?

5

¿Es posible que se instale un virus de cualquier tipo dentro de la partición de intercambio de Linux? Si es así, ¿podría transferirse al sistema incluso después de formatear solo la partición de Linux y reinstalar el sistema operativo (sin formatear el área de intercambio)?

    
pregunta pgmank 23.12.2015 - 21:28
fuente

2 respuestas

2

Es posible, pero requiere una forma indirecta, y se necesitarían circunstancias excepcionales para hacerlo útil.

Cuando Linux arranca, trata el área de intercambio como espacio no asignado. No va a leer lo que ya estaba allí, solo lo que escribió. Entonces, si bien podría poner software malicioso allí, nunca se cargará en la memoria, y mucho menos se ejecutará.

La única excepción se está recuperando de la hibernación. Cuando se inicia el kernel de Linux, se le puede indicar que trate una partición de intercambio como una posible imagen de hibernación. Si la partición de intercambio tiene una firma válida (no criptográfica), entonces Linux carga los datos de la partición de intercambio en la memoria, incluidos los datos y el código del kernel. Esto podría incluir malware o, en general, una puerta trasera (por ejemplo, una imagen de proceso de un shell que se ejecuta como root y escucha en un puerto de red).

Como otros ya han comentado, la pregunta en este caso es: si el atacante pudiera escribir en la imagen de hibernación, ¿qué les impidió escribir en la partición raíz o en la partición de inicio? En la mayoría de las configuraciones, están en el mismo dispositivo físico, y solo pueden acceder a ellas directamente alguien que ya tiene control total (root) sobre el sistema en primer lugar.

En el escenario de reinstalación, donde un sistema comprometido fue eliminado al volver a instalarlo, el intercambio es un vector de reinfección potencial. Sin embargo, todos los instaladores que recuerdo han visto reformatear el área de intercambio durante la instalación, por lo que si realiza una instalación normal, esto no es un problema. (Puede que haya otras formas de que el malware persista, al infectar un componente de hardware que tiene su propia memoria flash, pero eso es otra pregunta .) Por otro lado, si recupera la partición del sistema de una partición completa copia de seguridad, entonces el malware podría quedarse atrás. Si tiene un procedimiento de recuperación del sistema, asegúrese de que más allá de la recuperación de los archivos y datos del sistema, incluya pasos para volver a instalar el cargador de arranque y reformatee el intercambio (es decir, ejecute mkswap ).

Otro escenario donde el intercambio podría ser un vector de infección es un ataque de la criada malvada . Una protección contra este ataque es firmar el gestor de arranque y el sistema (kernel y todos los archivos del sistema relevantes para la seguridad), con una cadena de verificación en el arranque que se inicia en el hardware (por ejemplo, en una PC, con un TPM ). Pero si el kernel y el gestor de arranque están configurados para admitir la hibernación, y la imagen de intercambio no está firmada, el intercambio se convierte en un posible vector de ataque. (Tenga en cuenta que la propiedad relevante es que está firmada , no cifrada , aunque incluso un cifrado no autenticado puede dificultar que el atacante inyecte malware que hace algo útil). Ser una mala configuración. Si desea integridad del sistema, debe asegurarse de haber protegido todos los componentes sensibles a la seguridad.

    
respondido por el Gilles 24.12.2015 - 12:50
fuente
4

Es difícil pensar en una forma de escribir en la partición de intercambio, ya que Linux no le permite escribir en ellos. El único escenario que se me ocurre donde esto puede ser posible es cuando el sistema sale del modo de suspensión o hibernación y la memoria se ha desplazado al archivo de intercambio. Antes de reiniciar Linux, el cargador de arranque o algún otro código de tiempo de inicio realiza modificaciones maliciosas en la partición de intercambio.

Ciertamente, cifrar su partición de intercambio, como se sugiere en un comentario de @ott, haría esto más difícil. Puede que no sea imposible, ya que el sistema operativo debe poder descifrar la partición de intercambio, pero probablemente será mucho más complejo.

A pesar de lo anterior, nunca he oído hablar de tal ataque. Sospecho que la razón es que, cuando esté en condiciones de modificar el gestor de arranque, ya ha apagado la computadora y no tiene ninguna razón para alterar los ataques sutiles como este.

    
respondido por el Neil Smithline 24.12.2015 - 03:29
fuente

Lea otras preguntas en las etiquetas