Rootkits - Rkunter - Falsos positivos?

Olá a todos. Estive me questionando esses dias se meu computador possui algum rootkit ou não, pois nunca havia verificado esse tipo de coisa. Resolvi esses dias verificar principalmente porque estava usando um derivado do Arch, o Arco linux, que como toda distro baseada em Arch não tem, pelo menos a princípio, como instalar via secure boot. Não aconteceu nada de estranho no meu sistema propriamente, a única coisa que não sei se é normal ou não foi ele ter começado a atualizar alguns repositórios na inicialização do sistema, mas eu desliguei o computador por não saber se era normal ou não(se alguém usa aí o Arco ou o Arch, por favor me diga)

Eu li que uma das funções do secure boot é proteger o sistema de rootkits, que podem, em piores casos, até infectar a placa mãe do computador.

Pesquisei algumas ferramentas de análise e encontrei o chkrootkit e o rkhunter. Fiz análises com ambos e algo me chamou a atenção: o rkhunter sempre tem resultados voláteis, ora diz que há um possível rootkit, ora diz que tem 2, 4, 7, 14. O resultado fica variando o tempo todo.

Fora isso há um outro problema, eu rodei no Ubuntu bugie e os suspeitos “rootkits” são sempre o bugie-panel, o nemo-desktop e o firefox(se ele estiver aberto). Vou postar aqui a análise e algumas screenshots.

Eu não sei como posso compartilhar o relatório do rkhunter com vocês.

Captura de tela de 2021-03-04 12-01-49

Alguém sabe se isso é falso positivo ou se é mesmo algo que eu deva me preocupar?

Desde já agradeço.

Não dá para saber, os processos parecem ter nomes de softwares legítimos, mas uma tática conhecida dos malwares são usar nome de softwares conhecidos. Isso é mais comum no Windows, com falsos calc.exe, explorer.exe, etc.

O Budgie é a interface e o Nemo é o gerenciador de arquivos.

Mas os processos estão na /usr, se você não usou root com algo suspeito, teoricamente são processos legítimos.

1 curtida

Fiz mais um scan com o rkhunter e os resultados foram:

Captura de tela de 2021-03-04 15-22-46

Dessa vez eu estava usando o firefox e o inkscape.

Dei uma olhada no Google sobres avisos e sem exceção, todos os casos que eu li eram falsos positivos (ou, para ser paranoico, o rootkit se disfarçou de um processo que plausivelmente usaria bastante esse recurso).

O Firefox usa memória compartilhada para se comunicar com os processos separados de cada aba, o servidor Apache para comunicar com processos separados de cada worker, o GIMP, o Inkscape e companhia se comunicam com processos que gerenciam plugins.

Ou seja, o módulo que causa esses avisos programa simplesmente aponta o dedo pra qualquer processo que se comunica com outro processo e diz “Isso é meio suspeito”.

3 curtidas

Eu fiz uns testes e removi o diretório do nemo-desktop e o gerenciador de arquivos continuou funcionando. O inkspace só aparece nesses alertas quando aberto. Também removi o diretório do budgie-panel, mas ele era o programa autêntico mesmo, então o painel de navegação sumiu.

Os ícones e o botão direito na área de trabalho continuaram funcionando?

Essa barra sumiu. Só sobrou o plank.

Após remover algumas coisas e manter o firefox fechado(e o inkscape também):

Captura de tela de 2021-03-04 21-05-41

Eu estou com problemas semelhantes. O rkhunter sinaliza esse mesmo local e mais uns outros, que são os seguintes:

Warning: The following suspicious (large) shared memory segments have been found:
Process: /usr/libexec/csd-background PID: 1095 Owner: jhony Size: 64MB (configured size allowed: 1,0MB)
Process: /usr/lib/policykit-1-gnome/polkit-gnome-authentication-agent-1 PID: 1337 Owner: jhony Size: 4,0MB (configured size allowed: 1,0MB)
Process: /usr/bin/nemo-desktop PID: 1345 Owner: jhony Size: 16MB (configured size allowed: 1,0MB)
Process: /usr/bin/cinnamon PID: 1295 Owner: jhony Size: 2,0MB (configured size allowed: 1,0MB)
Process: /usr/bin/xed PID: 3092 Owner: jhony Size: 16MB (configured size allowed: 1,0MB)
Process: /usr/bin/nemo PID: 1760 Owner: jhony Size: 16MB (configured size allowed: 1,0MB)
Process: /usr/bin/xreader PID: 1958 Owner: jhony Size: 1,0MB (configured size allowed: 1,0MB)

Warning: Suspicious file types found in /dev:
/dev/shm/wimtxwdm203r-215565142: data
/dev/shm/sem.WS_NBE145A3B: data
/dev/shm/wimtxWS_N7A1E44B1: data
/dev/shm/wiuser: very short file (no magic)
/dev/shm/sem.WS_N7DA0CBA2: data
/dev/shm/wiservice: very short file (no magic)
/dev/shm/wimtxWS_N16F4F95B: data
/dev/shm/wimtxWS_N1D1A924E: data

Warning: Hidden directory found: /etc/.java

Para mim o sinal de alerta mais doido é o que está em negrito. Porque existem muitos outros processos com esse caminho /usr/libexec/csd [outros nomes], mas o Rkhunter só aponta como suspeito o que ressaltei.

Outro muito doido é o /etc/.java, e eu tenho um programa da Receita Federal recém instalado no PC, instalei executando um binário via terminal. E TODOS os programas da Receita Federal tem linguagem JAVA na elaboração.

Não excluí nenhum dos arquivos passíveis de serem removidos por receio de danificar o sistema, e alguns outros da pasta /usr/… não consigo excluir, mas provavelmente porque estou verificando essas situações como usuário normal.