Journal Virus Mirai dans Ventoy

Posté par DeVeDe le 19 décembre 2020 à 13:35. Licence CC By‑SA.

Étiquettes :

déc.

2020

Apparemment, le Trojan Mirai qui cible les systèmes Linux est présent dans plusieurs fichiers de Ventoy, une application qui permet de créer une clé USB pour démarrer plusieurs distributions Linux.
https://github.com/ventoy/Ventoy/issues/660

Tous les fichiers infectés ont été ajoutés au dépôt par l'auteur du projet "longpanda" et non par des contributeurs. En attendant sa réponse, je conseille d'utiliser plutôt la clé USB MultiSystem : http://liveusb.info/dotclear/

# supply chain attack

Posté par Krunch (site web personnel) le 19 décembre 2020 à 13:50. Évalué à 6.

Décidément https://en.wikipedia.org/wiki/SolarWinds#2020_supply_chain_attack

Quelle garanties y a-t-il que le deuxième lien que tu proposes n'ait pas un problème similaire ?

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
- [^] # Re: supply chain attack
  
  Posté par DeVeDe le 19 décembre 2020 à 13:58. Évalué à -1. Dernière modification le 19 décembre 2020 à 14:02.
  
  L'auteur de MultiSystem est en France, il est connu et reconnu, ses coordonnées sont publiques. Pas comme longpanda.
  Le code de Multisystem ne fait aucune alerte.
  - [^] # Re: supply chain attack
    
    Posté par Krunch (site web personnel) le 19 décembre 2020 à 16:32. Évalué à 10.
    
    Il y a plein de résidents français dont les coordonnées sont publiques à qui je ferais pas confiance :)
    Si c'est la seule défense, ça me semble un peu léger.
    
    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
    - [^] # Re: supply chain attack
      
      Posté par DeVeDe le 19 décembre 2020 à 18:23. Évalué à 0. Dernière modification le 19 décembre 2020 à 18:25.
      
      Les informations données sur http://liveusb.info/dotclear/index.php?pages/ml et lors d'une discussion avec François FABRE me mettent plus en confiance qu'un dépôt Git où il n'y a qu'un pseudo. Idem pour le fait qu'il exerce son activité en France car je doute fort qu'il s'amuse à diffuser volontairement des virus, les lois françaises l'interdisant. Je ne connais pas les lois en Chine et j'ai donc moins confiance car il me serait plus difficile d'y signaler une activité illégale de ce type.
      
      longpanda a bien réagit en donnant en réponse au rapport de bug des éléments transparents sur les outils utilisés pour la compilation. C'est encourageant.
      
      Par contre, la question sur la présence éventuelle de Mirai reste ouverte et un rapport sur une version antérieure de Ventoy2Disk.exe n'est pas plus rassurant sur l'utilisation de Ventoy.
      https://www.virustotal.com/gui/file/231711f3b7c6adc5567b154dcc480c204cd8116808bbe10512729d0be68b57f0/detection
      - [^] # Re: supply chain attack
        
        Posté par Krunch (site web personnel) le 21 décembre 2020 à 19:07. Évalué à 6.
        
        Perso je fais encore moins confiance à un antivirus qui détecte un virus de 2016 dans un binaire qui a été compilé en 2009.
        
        https://bugs.busybox.net/show_bug.cgi?id=13396#c2
        https://linuxfr.org/users/devede/journaux/virus-mirai-dans-ventoy#comment-1834966
        
        pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# MediCat USB

Posté par DeVeDe le 19 décembre 2020 à 13:56. Évalué à 1.

Je déconseille aussi d'utiliser MediCat USB qui se base sur Ventoy. Je n'arrive pas à trouver le site officiel de cette distribution, si quelqu'un sait où c'est…
# Ne semble pas nouveau

Posté par Pol' uX (site web personnel) le 19 décembre 2020 à 14:08. Évalué à 6.

Ça ne semble pas nouveau si on en croit https://github.com/ventoy/Ventoy/issues?q=is%3Aissue+virus

Adhérer à l'April, ça vous tente ?
- [^] # Re: Ne semble pas nouveau
  
  Posté par DeVeDe le 19 décembre 2020 à 14:13. Évalué à 5.
  
  Intéressant. Et à chaque fois, la solution proposée est d'ajouter Ventoy dans une liste blanche. Ça c'est de la sécurité.
  - [^] # Re: Ne semble pas nouveau
    
    Posté par Psychofox (Mastodon) le 19 décembre 2020 à 16:19. Évalué à 4.
    
    Ben je crois que son programme est flaggé automatiquement comme trojan car il intègre du code qui modifie le mbr, ce qui est finalement normal pour un outil de ce genre, mais que c'est commun à certains ransomwares/malwares.
    
    Du coup c'est compliqué, les antivirus flag un peu vite car ils n'ont aucun moyen de savoir si cette modif du mbr est quelque chose de justifié.
    - [^] # Re: Ne semble pas nouveau
      
      Posté par DeVeDe le 19 décembre 2020 à 16:46. Évalué à 3.
      
      Non, ce n'est pas à cause d'une écriture dans le MBR.
      - [^] # Re: Ne semble pas nouveau
        
        Posté par Psychofox (Mastodon) le 19 décembre 2020 à 17:11. Évalué à 5. Dernière modification le 19 décembre 2020 à 17:13.
        
        Ça a à priori été le cas par le passé. Reste qu'il suffit qu'un malware ait un outil ou du code en commun (ils sont pas bêtes ils réutilisent eux aussi des libs existantes) pour être éventuellement flaggé.
# Faux positif ?

Posté par kalimba le 19 décembre 2020 à 14:23. Évalué à 8.

C'est peut-être pertinent de s'interroger si ce ne serait pas un faux positif. Je sais que sous Linux on connait pas trop ca, mais sous Windows c'est assez courant qu'un programme soit détecté comme un virus juste parce qu'il contient du code qui manipule des choses souvent manipulés par les virus. Exemple au hasard: du code qui toucherai a l’amorçage du système comme par exemple un programme pour créer des clés USB…
- [^] # Re: Faux positif ?
  
  Posté par DeVeDe le 19 décembre 2020 à 14:39. Évalué à 0. Dernière modification le 19 décembre 2020 à 14:40.
  
  Regarde la liste des fichiers vérolés : ils n'écrivent pas sur le secteur de démarrage.
  Ils sont différents des fichiers originaux officiels.
  Par exemple, xzcat.
- [^] # Re: Faux positif ?
  
  Posté par hitmanu le 19 décembre 2020 à 15:08. Évalué à 2.
  
  C’est un virus belge?
  
  Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.
# et dans l'éventualité d'une véritable infection ?

Posté par hgwells le 19 décembre 2020 à 14:58. Évalué à 8.

Supposons un instant que l'infection soit réelle,
Comment vérifier la présence du cheval de Troie Mirai sur nos machines ?
Je suppose que l'exécution en root/sudo du logiciel Ventoy aurait permis la contamination des fichiers du système, clamscan saurait-il les détecter ?
Autre supposition, le code d'amorçage déposé sur les clefs USB (dans une petite partition formatée en FAT16) pourrait aussi être contaminé.
# J'ai fait le test, et pareil, virus

Posté par Olivier Esver (site web personnel) le 19 décembre 2020 à 15:15. Évalué à 9. Dernière modification le 19 décembre 2020 à 15:17.

J'ai suivi sa procédure pour générer xzcat

wget https://www.uclibc.org/downloads/binaries/0.9.30.1/mini-native-x86_64.tar.bz2
tar xjf mini-native-x86_64.tar.bz2
cd mini-native-x86_64/home/
wget https://busybox.net/downloads/busybox-1.32.0.tar.bz2
tar xjf busybox-1.32.0.tar.bz2
wget https://raw.githubusercontent.com/ventoy/Ventoy/master/BUSYBOX/x86_64_xzcat.config -O busybox-1.32.0/.config
cd ../..
sudo chroot mini-native-x86_64
cd home/busybox-1.32.0
make

et ensuite j'ai uploadé le fichier généré busybox (qui est xzcat) sur virustotal et j'ai aussi https://www.virustotal.com/gui/file/cda64cc6c7344b6b7470de727c936479b08b313025faffdde6b9c620f0993f4a/detection

S'il y a un problème, il y a une solution; s'il n'y a pas de solution, c'est qu'il n'y a pas de problème.
- [^] # Re: J'ai fait le test, et pareil, virus
  
  Posté par DeVeDe le 19 décembre 2020 à 15:24. Évalué à 1.
  
  Ça viendrait peut-être de mini-native-x86 (en tout cas pour xzcat) : https://www.virustotal.com/gui/file/e3686c960bd29a830c81a5c0396638b73bb7949b3f707fe029d4fbbff9ebe1d4/detection
- [^] # Re: J'ai fait le test, et pareil, virus
  
  Posté par ®om (site web personnel) le 20 décembre 2020 à 08:34. Évalué à 10. Dernière modification le 20 décembre 2020 à 08:36.
  Les anti-virus signalent parfois des faux-positifs.
  
  J'ai eu le problème sur scrcpy: https://github.com/Genymobile/scrcpy/issues/1102#issuecomment-576558473
  
  Il s'avère que:
```
#include <stdio.h>
int main(void) {
    printf("hello world!\n");
    return 0;
}
```
  compilé avec
```
i686-w64-mingw32-gcc a.c
```
  génère un exécutable qui est détecté par un virus par beaucoup d'anti-virus.
  
  blog.rom1v.com
  - [^] # Re: J'ai fait le test, et pareil, virus
    
    Posté par Axioplase ıɥs∀ (site web personnel) le 21 décembre 2020 à 14:31. Évalué à 7.
    
    Peut-être que ton compilateur crée un binaire infecté :)
# Question bête

Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) le 19 décembre 2020 à 20:28. Évalué à 5.

Qu’est ce que c’est que ventoy ? La description à l’air d’indiquer que ça peut faire un travail que fait très bien dd. Pourquoi cet outil est-il donc utilisé ?

« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
- [^] # Re: Question bête
  
  Posté par xrogaan le 19 décembre 2020 à 20:56. Évalué à -2.
  
  Windows?
  
  Peur de la CLI?
  
  ~~systemd!~~
- [^] # Re: Question bête
  
  Posté par Olivier Esver (site web personnel) le 19 décembre 2020 à 21:58. Évalué à 10. Dernière modification le 19 décembre 2020 à 22:00.
  
  En gros, tu l'installes une fois pour toute sur une clé usb (ou un disque dur) et ensuite, tu peux l'utiliser comme clé usb normale, et y copier des isos comme de simples fichiers puis démarrer dessus. Tu peux ensuite faire des mises à jour sans formater et perdre ce qu'il y a sur la clé.
  
  Plus besoins de reformater la clé ou la reconfigurer pour démarrer sur une nouvelle iso, juste de rajouter une nouvelle iso avec les autres.
  
  Je n'ai pas regardé le fonctionnement, mais c'est une sorte de grub, qui cherche toutes les isos de la clé et les affiche dans un menu pour ensuite pouvoir démarrer dessus comme si tu avais créé une clé avec cette iso.
  
  Perso je l'ai adopté car j'en avais marre de "formater" ma clé à chaque fois que je voulais démarrer sur une iso différente.
  
  S'il y a un problème, il y a une solution; s'il n'y a pas de solution, c'est qu'il n'y a pas de problème.
  - [^] # Re: Question bête
    
    Posté par hitmanu le 20 décembre 2020 à 13:17. Évalué à 1.
    
    Tu as ça et ça ci tu ne veux plus formater ta clef USB, j’utilise le deuxième depuis de nombreuse année avec un SSD de 250 G tu peux en mettre des ISO. ;)
    
    Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.
    - [^] # Re: Question bête
      
      Posté par Christophe "CHiPs" PETIT (site web personnel) le 20 décembre 2020 à 17:42. Évalué à 3.
      
      C'est pas le même prix non plus…
      - [^] # Re: Question bête
        
        Posté par hitmanu le 20 décembre 2020 à 20:39. Évalué à 1.
        
        Tu l’amortis très vite en l’utilisant souvent ce qui est mon cas, je comptais en acheter un deuxième au cas où le premier finirai par mourir de sa belle mort naturel. :)
        
        Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.
- [^] # Re: Question bête
  
  Posté par Christophe "CHiPs" PETIT (site web personnel) le 20 décembre 2020 à 17:41. Évalué à 8.
  Ça fait beaucoup plus que dd…
  
  Ça permet de :
  - d'avoir plein d'ISOs sur la même clé USB
  - de démarrer en mode BIOS ou UEFI avec la même clé USB
  - de gérer Secure Boot en utilisant une clé à intégrer dans l'UEFI
  - de mettre à jour l'outil lui-même sans reformater la clé USB
  Et il y a en projet/bêta en cours de démarrer sur une image de VM.
  
  Autrement, vu ce que ça fait, les chances que certains anti-virus fassent des faux-positifs ne m'étonnent guère.
- [^] # Re: Question bête
  
  Posté par Melodie (site web personnel) le 23 décembre 2020 à 04:27. Évalué à 3. Dernière modification le 23 décembre 2020 à 04:27.
  
  Il te permet de mettre des images ISO complètes sur un système de fichiers Exfat (créé par le script fourni), et de booter dessus, en te laissant l'espace restant disponible pour d'autres types de fichiers, le cas échéant.
  
  Il fait donc plus ou moins la même chose que E2B https://www.easy2boot.com/download/
  
  En utilisant des programmes qui existent déjà, il tente de permettre de créer la clé bootable universelle : UEFI, Legacy, sur GPT, sur ms-dos… et compatible avec le plus grand nombre de distributions possibles. https://ventoy.net
# Faux positif à 99.9999999999999% (à l'erreur d'arrondi prés)

Posté par ymorin le 21 décembre 2020 à 09:05. Évalué à 7.

Voici l'analyse que j'ai faite en réponse à un bug ouvert sur uClibc.

En résumé: c'est plus que probablement un faux positif.
- [^] # Re: Faux positif à 99.9999999999999% (à l'erreur d'arrondi prés)
  
  Posté par zurvan le 22 décembre 2020 à 11:28. Évalué à 1. Dernière modification le 22 décembre 2020 à 11:29.
  
  je ne parierai pas trop là dessus :
  
  Some of the 10 antivirus who detect a malware are saying it's Mirai virus but it could be another malware that is detected as Mirai malware.
  The problem is that when you use ldconfig, your own software contains the same code after.
  
  en gros :
  - les dev de uclibc disent que leur outil est antérieur à mirai, mais peut-être que ça pourrait être un virus plus ancien qui n'avait pas été détecté jusque là.
  - une fois qu'on a compilé un truc avec ça, le binaire résultant contient le même code qui alerte les anti-virus.
  
  Alors peut-être que le faux-positif est propagé dans le binaire compilé avec uClibc, par un effet de bord, et qu'il n'y a rien à craindre, mais ça serait quand même intéressant de pousser l'audit.
  
  Sans blague, une bibliothèque C utilisée dans probablement un paquet de systèmes embarqués, si ce n'est pas une bonne cible pour une attaque de rootkit…
  
  « Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher
  - [^] # Re: Faux positif à 99.9999999999999% (à l'erreur d'arrondi prés)
    
    Posté par pulkomandy (site web personnel, Mastodon) le 22 décembre 2020 à 15:17. Évalué à 6.
    
    L'explication semble être un truc du genre:
    - Mirai utilise uclibc
    - Maintenant, tous les antivirus voient un bout de uclibc et se disent "oh mon dieu mais c'est Mirai!"
    
    Les "empreintes" utilisées par les antivirus ne ciblent pas toujours un morceau du code qui est effectivement propre au virus. Quand il s'agit d'un bout de code opensource qui est utilisé un peu partout, ben, ils détectent certes le virus, mais aussi plein d'autres trucs qui n'ont rien à voir.
    
    C'est un problème assez courant et la conclusion est que on ne peut pas compter sur les fournisseurs d'antivirus pour ce genre de choses (ce qui est dommage, parce que, comment dire, ça devrait être leur métier).
    
    A force d'avoir des faux positifs tout le temps, on finit par désactiver l'antivirus, et le jour ou y'a un vrai rootkit, on est pas protégé.
    - [^] # Re: Faux positif à 99.9999999999999% (à l'erreur d'arrondi prés)
      
      Posté par zurvan le 22 décembre 2020 à 17:41. Évalué à 5.
      
      Mirai utilise uclibc
      
      oui, c'est pas bête comme explication ! C'est une piste à étudier, mais cela vaut le coup d'investiguer pour vérifier si le binaire mini-native n'a pas été infecté par autre chose. Il y a apparemment des sources pour mirai sur github, faudrait le recompiler et voir ce que donnent les antivirus…
      
      D'après les sources d'ailleurs cela utilise effectivement uclibc : https://github.com/ruCyberPoison/-Mirai-Iot-BotNet/blob/master/TUTORIAL.txt
      
      « Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.