Вопрос или проблема
После установки Ubuntu у меня появился подозрительный процесс после выполнения этой команды:
ps auxww | grep \\[ | awk '{print $2}' | xargs -I % sh -c 'echo PID: %; sha1sum /proc/%/exe' 2> /dev/null
Из этой статьи
https://blog.apnic.net/2020/04/27/detecting-linux-kernel-process-masquerading-with-command-line-forensics/
Хэш, который я получил: 42e94914c7800c7063c51d7a17aec3a2069a3769 /proc/2531/exe
После поиска этого хэша на Virustotal, я получил следующий результат:
https://www.virustotal.com/gui/file/4f291296e89b784cd35479fca606f228126e3641f5bcaee68dee36583d7c9483/detection
Сказано, что этот файл распространяется совместно с Linux и Canonical.
Но в разделе “Поведение” указаны тактики и техники Mitre ATT&CK.
https://www.virustotal.com/gui/file/4f291296e89b784cd35479fca606f228126e3641f5bcaee68dee36583d7c9483/behavior
Может кто-то помочь? Это замаскированный процесс Linux или обычный?
Процесс с данным PID и соответствующим хэшем принадлежит процессу пакетного менеджера Canonical “apt” в Ubuntu. Это положительные признаки того, что процесс легитимный.
Тем не менее, я бы предпринял следующие шаги:
Подтвердите, что путь к файлу (/proc/2531/exe) соответствует ожидаемому местоположению легитимного процесса “apt” в Ubuntu. Сравните значение хэша, которое вы получили, с известными значениями хешей оригинального исполняемого файла “apt”.
Запустите антивирус или сканеры на наличие вредоносного ПО на вашем компьютере, чтобы просканировать файл и проверить наличие потенциальных угроз.
Однострочная команда из статьи ищет любой процесс на вашем компьютере, который имеет открывающую квадратную скобку ([) в имени процесса или аргументах. Это довольно наивная проверка, так как процесс может содержать почти любой символ по любой причине. Например, вы часто можете увидеть процессы SSHD, которые содержат [priv], которые также должны быть “обнаружены” этой командой.
Может ли злонамеренный процесс попытаться замаскироваться под поток ядра, назвав себя определенным образом? Конечно, но принцип Оккама применим. Злонамеренный процесс также может делать гораздо более зловещие вещи, чтобы полностью скрыть себя.
Ответ или решение
После установки Ubuntu у вас возникла ситуация с подозрительным процессом, который вы обнаружили с помощью команды, приведенной в статье по форензике Linux. Вы упомянули, что получили хеш-код 42e94914c7800c7063c51d7a17aec3a2069a3769 для процесса с PID 2531, который, на ваш взгляд, вызывает подозрение.
Анализ ситуации
-
Проверка легитимности процесса:
- Процесс с указанным вами PID и соответствующим хеш-кодом действительно относится к стандартному процессу управления пакетами в Ubuntu —
apt. Это положительный индикатор легитимности процесса.
- Процесс с указанным вами PID и соответствующим хеш-кодом действительно относится к стандартному процессу управления пакетами в Ubuntu —
-
Сравнение хеша:
- Рекомендуется дополнительно проверить, соответствует ли файл по пути
/proc/2531/exeожидаемому месту расположения оригинального исполняемого файлаapt. Вы можете сделать это, сравнив ваш хеш с известными хешами оригинального исполняемого файла, который можно найти в надежных источниках, таких как репозитории Ubuntu.
- Рекомендуется дополнительно проверить, соответствует ли файл по пути
-
Проверка целостности системы:
- Чтобы удостовериться в отсутствии вредоносных программ, рекомендуется запустить антивирусные программы или специальные сканеры на вашем компьютере. Это поможет выявить любые потенциальные угрозы, которые могут не иметь отношения к
apt.
- Чтобы удостовериться в отсутствии вредоносных программ, рекомендуется запустить антивирусные программы или специальные сканеры на вашем компьютере. Это поможет выявить любые потенциальные угрозы, которые могут не иметь отношения к
Общее замечание
Команда, которую вы использовали, ищет все процессы с открывающей квадратной скобкой ([) в их именах или аргументах. Следует отметить, что это довольно простая проверка, так как процесс может содержать практически любые символы по разным причинам. Например, часто можно увидеть процессы SSHD, которые содержат [priv] в названии, и такие процессы не являются подозрительными.
Заключение
На основе вышеизложенного, вероятность того, что процесс является маскирующимся или вредоносным, низка. Тем не менее, всегда полезно поддерживать уровень безопасности вашей системы на высшем уровне. Создание резервных копий, регулярное обновление системы и контроль списка запущенных процессов могут помочь в предотвращении возможных угроз в будущем. Если у вас есть сомнения, сообщество Ubuntu или другие форумы по безопасности могут предоставить дополнительные рекомендации и помощь.
Если есть дополнительные вопросы или нужна помощь с конкретными действиями по проверке, не стесняйтесь обратиться.