Máte pravdu s přístupem k systému souborů a internetu, zejména proto, že domovská složka je ve výchozím nastavení mapována s oprávněním k zápisu. To znamená, že si to může zahrát s vašimi dokumenty také například přidávání maker do dokumentů Open Office, mazání souborů mp3 nebo odesílání zajímavých souborů někomu na internetu.
A ano, může zapisovat do vašeho profilu Firefoxu a instalovat doplněk .
Připojení k internetu znamená, že může načítat příkazy ze serveru C&C proměnit váš počítač v dron.
Myslím, že některému malwaru se nepodaří najít tato umístění mimo standardní složky systému Windows. Ostatní ale prostě prohledají všechny disky na zajímavá místa.
Teoreticky ano.
Nejprve trocha pozadí o víně. Wine poskytuje spustitelný zavaděč pro spouštění spustitelných souborů systému Windows. Volitelně je také nainstalován nebo použit obslužný program binfmt, který je zde popsán, což je způsob, jak linuxové jádro odvodí, jaký zavaděč má spustit - například někde vestavěný do jádra je obslužný program binfmt pro soubory ELF pro Linux. Volání funkcí z těchto spustitelných souborů pak běhové prostředí Wine přeloží na jejich ekvivalentní systémová volání Linux. Wine FAQ se zabývá otázkou vína jako emulátoru.
Takže zpět k vaší otázce – mohl by malware Windows infikovat linuxový box? Řekl jsem teoreticky ano – zde jsou různé hrozby, kterým čelíte:
- Chyby v obslužných programech formátu. Pokud speciálně vytvořený spustitelný soubor způsobí, že Wine nesprávně načte soubor PE, můžete jej snadno zneužít.
- Chyby v překladu funkcí Wine. Je to stejné jako říkat „chyby v API Windows“, chcete-li – pokud jsou některé funkce přeložené ve Wine náchylné k přetečení vyrovnávací paměti atd., pak je lze zneužít.
- Skutečnost, že volání funkcí jsou přeložena. Tato skutečnost sama o sobě znamená, že může dojít ke škodlivé činnosti.
- Nastavení a omezení instalace Wine. Jaké souborové systémy jste zmapovali? Může spustitelný soubor uniknout tomuto „chrootu“?
Je zde jedna klíčová podmínka – být si vědom nebo plánovat infikování Wine. Pokud je malware napsán s očekáváním, že může být spuštěn na Wine, může začít používat specifické exploity Wine, případně zjistit, že Z:je namapováno na / a provést příslušné akce. Dřívější body v mém seznamu výše jsou nejméně pravděpodobné, ale také nejvíce škodlivé, pokud se vyskytnou.
Většina malwaru však není napsána pro Wine. Wine si můžete představit jako samostatný cíl sestavení, téměř protože způsob, jakým implementuje Windows API, se liší od toho, jak Windows implementuje API. Většina malwaru je zaměřena přímo na Windows, takže bych očekával, že k poškození dojde pouze při instalaci „Windows“. Některý malware se skutečně nemusí spustit tam, kde vývojáři Wine předpokládají striktní použití funkce API a kde Windows umožňuje něco jiného.
Abych to zkrátil, Wine značně zvyšuje vaši útočnou plochu tím, že vám umožňuje spouštět libovolné programy Windows. Pro Wine platí stejná obecná pravidla jako pro jakýkoli software:
- Potřebujete to? Pokud ne, neinstalujte jej.
- Je aktuální? Pokud ne, aktualizujte jej.
- Dávejte pozor, co s ním provozujete. Nenahrazuje opatrnost při stahování, přístupu a spouštění.
Už je to dlouho, co jsem udělal C strukturované výjimky (specifické pro MS, ale emulované na Wine), ale syntaxe se tomu blíží. Někdo, kdo to používá, by si mohl užít spoustu zábavy, i když Z není namapováno.
bool isLinux = 0;
__try {
asm {
mov AL, 172
int 80h
}
isLinux = 1;
} __except {}
if (isLinux)
asm {
/* Linux shellcode here */
}