The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выявлен новый rootkit для Linux, подменяющий функции libc

07.09.2016 09:49

Компания Trend Micro выявила новое семейство руткитов, получивших название Umbreon в честь одноимённого покемона, который прячется в темноте. Следы разработки Umbreon прослеживаются с начала 2015 года, а сейчас руткит появился в свободной продаже на черном рынке. Umbreon может быть установлен атакующими на Linux-системы на базе архитектур x86, x86_64 и ARM, в том числе на встраиваемые платформы, такие как платы Raspberry Pi и беспроводные маршрутизаторы.

Umbreon относится к руткитам третьего кольца защиты, функционирующим только в пространстве пользователя. Для скрытия своего присутствия, вместо перехвата системных вызовов на уровне ядра, Umbreon осуществляет подмену функций стандартной библиотеки libc. Подмена функций осуществляется на этапе связывания, путём подстановки библиотеки /usr/share/libc.so.*.[i686|x86_64|v6l].ld-2.22.so, переопределяющей функции libc. Библиотека прописывается в конфигурационный файл "/etc/ld.so.*" (где "*" случайный набор букв, например, /etc/ld.so.thVkfEQ), который, в свою очередь, подменяет в загрузчике /lib/x86_64-linux-g строку "/etc/ld.so.preload", что приводит к автоматической загрузке вредоносной библиотеки при запуске любого исполняемого файла.

Руткит предоставляет обработчики для функций работы с файлами (open, opendir, read, write, chdir и т.п.), записи в лог (syslog, audit*), запуска исполняемых файлов (execve, execvp), аутентификации через PAM (pam_authenticate, pam_open_session), работы с базой пользователей (getpwnam, getpgid, getpwuid), работы с процессами (get_procname, kill), обработки сетевых соединений (socket, netstat) и т.д. Всего перехватывается более 100 функций.

Контролируя выполнение данных функций Umbreon тщательно вырезает из потока данных информацию о своих компонентах (например, не показывает свои файлы и скрывает процессы), а также обеспечивает скрытый вход (работает в том числе через SSH), путём перехвата функций PAM и добавления скрытого пользователя, присутствие которого в /etc/passwd вырезается из вывода при выполнении операций чтения. Следы вычищаются достаточно качественно, например, дополнительные настройки компоновщика вырезаются даже из вывода трассировки, т.е. не видны при использовании таких инструментов как strace. Так как Umbreon не в состоянии перехватить системный вызов ptrace(), чистка производится на этапе вывода результата, через перехват функций vprintf, __vfprintf_chk и fputs_unlocked.

В комплект также входит бэкдор Espereon, названный в честь покемона с большими ушами. Espereon обеспечивает обратное сетевое соединение к хосту атакующего при обнаружении в TCP-пакетах определённого ключа активации. Espereon постоянно слушает сетевой трафик на сетевом интерфейсе при помощи libpcap и скрывается под прикрытием Umbreon. Скрываются не только процессы и трафик, но и сетевая активность, благодаря перехвату функций got_packet и pcap_loop.

Для обнаружения и удаления руткита можно использовать инструменты анализа содержимого ФС, напрямую обращающиеся через системные вызовы, минуя функции libc. Также можно загрузиться c LiveCD, примонтировать дисковые разделы и оценить наличие подозрительных файлов /etc/ld.so.*, /usr/lib/libc.so.* и /usr/share/libc.so.*.

  1. Главная ссылка к новости (http://blog.trendmicro.com/tre...)
  2. OpenNews: Представлены работающие на GPU прототипы руткита и кейлоггера для Linux
  3. OpenNews: Для Linux выпущен руткит принципиально нового типа
  4. OpenNews: Новый rootkit для Linux, осуществляющий подстановку вредоносного кода в HTTP-трафик
  5. OpenNews: Для платформы Android продемонстрирован прототип руткита
  6. OpenNews: Новый способ внедрения rootkit в Linux ядро
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/45095-rootkit
Ключевые слова: rootkit
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (105) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 10:32, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Ну всё, теперь недостаточно иметь энтерпрайс линукс со свежими обновлениями. Доверия нет ни к чему: скачаешь вот так прекомпилированный Transmission и заразился. придётся отказаться от Closed Source совсем, и всё компилять!
     
     
  • 2.9, Омоним (?), 11:00, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +27 +/
    Даешь Gentoo в энтерпрайз!
     
  • 2.30, Michael Shigorin (ok), 12:57, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > и всё компилять!

    Главное -- не забывать откладывать в сторонку контрольные суммы.  Заранее.
    А то может ещё смешней получиться...

     
     
  • 3.46, ПавелС (ok), 14:03, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Допустим в Debian я воспользуюсь debsums. Но как узнать, что установлено левого?
     
     
  • 4.78, Аноним (-), 15:46, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://packages.debian.org/stable/cruft
     
  • 3.100, Vombat (?), 06:08, 08/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    CRUX в помощь
     
  • 2.35, KOT040188 (ok), 13:06, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Только исходники надо перечитывать, мало ли…
     
     
  • 3.67, Andrey Mitrofanov (?), 14:58, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +23 +/
    > Только исходники надо перечитывать, мало ли…

    Как _пере_читывать??! Я ещё до половины не дочитал, уже который год пошёл!?  >-P

     
     
  • 4.95, бедный буратино (ok), 23:23, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    тоже мне, проблема

    я вот перечитал ПСС. как теперь скомпилировать программу партии?

     
  • 3.117, Andrey Mitrofanov (?), 13:42, 09/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Только исходники надо перечитывать, мало ли…

    Никому верить нельзя, Debian-у https://www.trueelena.org/computers/articles/candy_from_strangers.html -- *можно*.

    ---И пр. "контразветчик должен..." https://otvet.mail.ru/answer/179135965

     
     
  • 4.118, Andrey Mitrofanov (?), 13:45, 09/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >контразвеТчик

    ах, я негодяй

     
     
  • 5.119, тоже Аноним (ok), 14:23, 09/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тогда уж "контРазвеТчик" - ошибки-то две...
     
  • 2.36, IZh. (?), 13:06, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +12 +/
    А доверенный компилятор у вас есть? ;-) А то у компилятора такой простор для встраивания руткитов в компилируемые проекты. ;-)
     
     
  • 3.38, Mihail Zenkov (ok), 13:19, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +9 +/
    И процессор к нему, а то нынче модно всякое непотребство прямо в процессор встраивать. А потом поди угадай, что он вместо твоего доверенного компилятор запустил/выполнил ;)

     
     
  • 4.40, IZh. (?), 13:32, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Именно. Доверенный процессор (без бэкдоров в виде недокументированных команд) и доверенный BIOS, который не станет загружать операционку под гипервизором, эмулируя полный доступ к железу. ;-) И доверенные девайсы (не от NSA), которые внезапно не попытаются через доступ к контроллеру памяти считать то, что им не полагается знать. :-)

    Trust no one. (C) Fox Mulder. ;-)

     
     
  • 5.43, Mihail Zenkov (ok), 13:44, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +16 +/
    Господа!
    Фирма "IZh & Zenkoff" готова предположить вам радикальное решение! Не доверяйте свои расчеты западным процессором и уж тем более китайским калькуляторам. Только отечественные счеты нашего производства (с костяшками из сибирского кедра), гарантируют вам прозрачность и стабильность всех ваших расчетов! Также наша фирма поддерживает идею Open-source hardwar и к каждому экземпляру прилагается полный чертеж изделия со всей необходимой пояснительной документацией.
     
     
  • 6.49, тоже Аноним (ok), 14:06, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так перестарались с секьюрностью, что получили никакую интеграцию.
     
  • 6.74, Аноним (-), 15:17, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +6 +/
    >  Только отечественные
    > счеты нашего производства (с костяшками из сибирского кедра), гарантируют вам прозрачность

    А можно костяшки и все остальное тоже прозрачным, для дополнительной прозрачности (а то мало ли какие там жучки с сибирского кедра останутся!)?


     
     
  • 7.87, тоже Аноним (ok), 18:39, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Недостаточно импортозаместительно.
    Нужно костяшки заменить на "Эльбрусы" - поддержать отечественные IT!
     
  • 6.85, Аноним (-), 18:13, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Счёты - это как айфон: гламурно и бестолково. Лучше Электронику МК-85 клонируйте!
     
  • 5.50, Анонимко (?), 14:06, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Радио-86КР к Вашим услугам! Собственная сборка и прошивка обеспечит гарантированное отсутствие бэкдоров! Софт тоже сами напишите. Зато надежно!
     
     
  • 6.51, Michael Shigorin (ok), 14:12, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > 86КР
     
     
  • 7.108, JL (?), 18:34, 08/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    86РК
     
  • 6.98, Аноним (-), 02:57, 08/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Спектрумы лучше.
     
  • 6.106, Ordu (ok), 14:50, 08/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.youtube.com/watch?v=z71h9XZbAWY
     

  • 1.2, Аноним (-), 10:36, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Существует программа patchelf, позволяющая запускать программы от новых систем в старых. Просто скачать glibc от EL7 и сделать LD_LIBRARY_PATH (и даже LD_PRELOAD) недостаточно - надо в самом бинарнике поменять путь к ld-linux.so.2. Что и делает эта программа.

    Похоже, руткит работает по тому же принципу

     
     
  • 2.24, Кирилл (??), 12:07, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее всего так, но возникает вопрос с его корректной установкой)))
    При установке обновлений и пакетов штатным apt, например, его подцепить невозможно, а в корпоративной среде на линуксах у пользователей нет прав выполнения от рута.
     
     
  • 3.31, Mihail Zenkov (ok), 12:59, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > При установке обновлений и пакетов штатным apt, например, его подцепить невозможно

    "невозможно" - слишком смелое утверждение. Точнее будет сказать: мало вероятно.

     

  • 1.3, Аноним (-), 10:38, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    Вот что значит тащить всякую дрянь в систему, вместо установки пакетов из доверенных источников.
     
     
  • 2.21, lucentcode (ok), 11:55, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Огласите список, please?
     
     
  • 3.27, Crazy Alex (ok), 12:47, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Debian main
     
  • 3.54, Аноним (-), 14:18, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Список дряни? Ну сам найдешь, не маленький.
     
  • 3.64, Аноним (-), 14:44, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +6 +/
    1. Skype
    2. Flash player
    3. Google Chrome
    4. Oracle JVM
     
     
  • 4.70, Аноним (-), 15:09, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    5. Steam (и игори)
     

  • 1.5, Аноним (-), 10:46, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >инструменты анализа содержимого ФС

    Огласите список плз?

     
     
  • 2.8, SysA (?), 10:58, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>инструменты анализа содержимого ФС
    > Огласите список плз?

    Прочитай оригинал статьи - там и примеры есть! :)

     
     
  • 3.18, Аноним (-), 11:44, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Прочитай оригинал статьи - там и примеры есть! :)

    Там проприетарщина. Хочется чего-то штатного, что есть в репозиториях. Помню была какая-то утилита для чтения файлов с ФС с разбором на уровне inode, которая обходила большинство ядерных руткитов.

     
     
  • 4.66, SysA (?), 14:56, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> Прочитай оригинал статьи - там и примеры есть! :)
    > Там проприетарщина. Хочется чего-то штатного, что есть в репозиториях. Помню была какая-то
    > утилита для чтения файлов с ФС с разбором на уровне inode,
    > которая обходила большинство ядерных руткитов.

    Я не имел ввиду путь скрипт-кидди (кстати, а почему ты собираешься верить сторонней "чистилке"?! :) - может она сама переносчик заразы??), а я намекал на это:

    "Removal Instructions
    Umbreon is a ring 3 (user level) rootkit, so it is possible to remove it... the easiest way is to boot the affected machine with Linux LiveCD and follow the steps:
    ..."

    И где тут "проприетарщина"?!..

    А если не доверяешь LiveCD - сделай свой! Какие проблемы?..

     
     
  • 5.76, Аноним (-), 15:24, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Я не имел ввиду путь скрипт-кидди

    А попытска чистки скомпрометированной системы значит не путь скрипт-кидди?


     
  • 2.47, Аноним (-), 14:05, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >>инструменты анализа содержимого ФС
    > Огласите список плз?

    Вы всерьез надеетесь на нормальный ответ?
    Тут не так давно один опеннетный специалист рассказывал про поиск руткитов пакетным менеджером, так что готовтье ведра для снятой с ушей лапшы )


     

  • 1.11, Аноним (-), 11:20, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Пользователи NixOS смотрят с недоумением.
     
     
  • 2.33, ТТТ (?), 13:03, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    2,5 человека?
     
     
  • 3.53, nop (?), 14:13, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Все население Лихтенштейна!
     
  • 2.55, Аноним (-), 14:20, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    NixOS - это где пакеты можно устанавливать в домашнюю директорию пользователя? ;)
     
  • 2.56, Аноним (-), 14:22, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А что там у них? libc.dll?
     
  • 2.59, rshadow (ok), 14:26, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пользователи BolgenOS тоже.
     
     
  • 3.71, Аноним (-), 15:10, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Пользователи BolgenOS тоже.

    Антивирус Попова защитит от любого руткита! Я гарантирую это!

     

  • 1.12, Kroz (ok), 11:20, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А как он размножается?
    Что должно случиться, чтобы он появился у меня на компьютере?
     
     
  • 2.17, Andrey Mitrofanov (?), 11:39, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А как он размножается?
    > Что должно случиться, чтобы он появился у меня на компьютере?

    Поняшка развеет Ваши сомнения: "--вирус это далеко не любая малварь. --Nobody cares :P" --http://www.opennet.me/openforum/vsluhforumID3/109009.html#96

    ---""Борман повторил свой жест. - Понятно, - кивнул Штирлиц, - вы тоже не знаете. А как вы думаете, где ежики размножаются быстрее, в России или в Германии?""

     
  • 2.19, Аноним (-), 11:45, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > А как он размножается?
    > Что должно случиться, чтобы он появился у меня на компьютере?

    Это руткит, он не размножается, а устанавливается после взлома.

     
  • 2.52, Нанобот (ok), 14:13, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >А как он размножается?

    вообще-то руткиты - не вирусы, они не размножаются. их устанавливают хакеры, получившие несанкционированый доступ

     

  • 1.15, iZEN (ok), 11:25, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Этот руткит может быть переписан для FreeBSD?
     
     
  • 2.26, Andrey Mitrofanov (?), 12:16, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +10 +/
    > Этот руткит может быть переписан для FreeBSD?

    Думаешь, он под GPL и прямо-таки надо именно переписывать?! Кругом враги!

     
     
  • 3.29, Mihail Zenkov (ok), 12:50, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Смешно.

    Но если серьезно - то да, скорее всего нужно добавлять поддержку BSD libc отдельно, ибо IIRC там какие-то особенности работы со строками.

     
     
  • 4.69, Andrey Mitrofanov (?), 15:07, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Смешно.

    Пасиб.

    > Но если серьезно - то да, скорее всего нужно добавлять поддержку BSD
    > libc отдельно, ибо IIRC там какие-то особенности работы со строками.

    1/ ещё момент: оно может быть "закрытое" =и б3дешники снова будут "переписывать"
    2/ и ещё: ещё "переписывать" != "портировать"
    3/ а, да! на джавву тож придётся переписывать :+D

     
     
  • 5.86, Аноним (-), 18:18, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чувак, тот, кто убедил тебя, что шутка повторённая дважды становится смешнее, очевидно был троллем. Не надо так.
     
     
  • 6.101, Andrey Mitrofanov (?), 09:56, 08/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Чувак, тот, кто убедил тебя, что шутка повторённая дважды становится смешнее, очевидно

    Следи за тредом, д-6-л. После слов "Но если серьезно" я уже разговаривал с человеком (он меня похвалил лучше всех |-P), а не глумился над твоим единокровным язеном. Но для него и тебя добавлю:

    0/ Зачем? Оно тебе надо?? Будешь искать рынка малвари для своего фетиша?!

    > был троллем. Не надо так.

     
  • 2.58, Аноним (-), 14:25, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Этот руткит может быть переписан для FreeBSD на Java.
     

  • 1.16, Mihail Zenkov (ok), 11:26, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    > Для обнаружения и удаления руткита можно использовать инструменты анализа содержимого ФС, напрямую обращающиеся через системные вызовы, минуя функции libc.

    Или держать в системе статически линкованый busybox.

     
     
  • 2.32, Michael Shigorin (ok), 13:00, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> Для обнаружения и удаления руткита можно использовать инструменты анализа
    >> содержимого ФС, напрямую обращающиеся через системные вызовы, минуя функции libc.
    > Или держать в системе статически линкованый busybox.

    Кстати, да.

    Как вариант, http://altlinux.org/rescue -- заодно там одна из наиболе ровных реализаций forensics mode среди аналогичных штуковин, ср. http://forensicswiki.org/wiki/Forensic_Live_CD_issues

    PS 2 asavah: понятия не имею, кто трёт Вашу чушь, но я бы тоже стёр (пп. 4, 6 правил).

     
  • 2.120, Аноним (-), 19:05, 12/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Или держать в системе статически линкованый busybox.

    Из него средство forensic хилое, да и пропатчить его можно.

     

  • 1.20, Аноним (-), 11:45, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Ну наконец хоть что-то интересное! А то достали уже пугать примитивнейшими троянами.
    Кстати, напомните, сколько лет назад предыдущий руткит появился?
     
     
  • 2.37, for mother russia (?), 13:09, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Скука :( Троян, перехвативший сотню функций в kernel32.dll, вызвал бы лишь жалость, а здесь приходится радоваться и таким вот "приветам" от любителей.
    И где пропадает Столлман, почему до сих пор нет движухи за Open Spyware?
     
     
  • 3.73, Andrey Mitrofanov (?), 15:17, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И где пропадает Столлман, почему до сих пор нет движухи за Open Spyware?

    Делом занят, ему не до Вашего вранья. Он переписывает unix-совместимую ОС, а не Windows-/MacOS-совместимую. https://www.quora.com/Richard-Stallman-says-Microsofts-Windows-OS-and-Apples-M

    //Это не вы дедушку с племяшом рядом http://www.opennet.me/openforum/vsluhforumID3/108941.html#219 путали?  Племяш, да, от АНБ патчи берёт.

     
  • 2.42, sage (??), 13:43, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Jynxkit с подобной функциональностью появился в 2011, потом был Jynx2, Azazel.
     

  • 1.25, iPony (?), 12:07, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Теперь, оставив открытый shh наружу, можно будет ловить покемонов
     
  • 1.34, freehck (ok), 13:03, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Хм. Автор руткита сидит на опеннете? "А я на чёрном рынке хорошенький руткит продаю, приходите посмотреть", - это, конечно, интересная новость. :)
     
     
  • 2.39, тоже Аноним (ok), 13:27, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Сидит на ОпенНете, а работает на ТрендМикро. Вот вы его и вычислили!
     

  • 1.41, нет (??), 13:42, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    То, что поколение покемонов прочитало про LD_PRELOAD, это радует но то, что результат часа работы любого linux программиста продаётся на чёрном рынке, дискредитирует сами эти рынки.
     
     
  • 2.82, angra (ok), 17:12, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +10 +/
    За час "любой linux программист" даже грамотное техническое задание не составит под эту задачу. Ты похоже не представляешь сколько надо времени, чтобы вдумчиво прочитать доку по всем функциям libc, проанализировать параметры и возращаемые значения, после чего составить список что, где и как надо заменить.
     
     
  • 3.97, любой линукс программист (?), 23:45, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • –5 +/
    лолчик, все функции либс при написании этого эксплойта никто не прочитал, инфа 100%. Подменяли от силы пять, и это это слегка перебор. Реализован хардкод прелоада.
     
     
  • 4.102, Очередной аноним (?), 11:24, 08/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > лолчик, все функции либс при написании этого эксплойта никто не прочитал, инфа 100%. Подменяли от силы пять, и это это слегка перебор. Реализован хардкод прелоада.

    ты похоже не читатель, ты писатель. Написано же "...Всего перехватывается более 100 функций. ...". И чтобы вычленить НУЖНЫЕ 100 функций (да даже упомянутые тобой пять), сначала надо перешерстить все остальные и понять что они делают. Ну тебе же эти пять функций не бог внушил, как моисею заповеди.

     
     
  • 5.103, нет (??), 11:34, 08/09/2016 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >> лолчик, все функции либс при написании этого эксплойта никто не прочитал, инфа 100%. Подменяли от силы пять, и это это слегка перебор. Реализован хардкод прелоада.
    > ты похоже не читатель, ты писатель. Написано же "...Всего перехватывается более 100
    > функций. ...". И чтобы вычленить НУЖНЫЕ 100 функций (да даже упомянутые
    > тобой пять), сначала надо перешерстить все остальные и понять что они
    > делают. Ну тебе же эти пять функций не бог внушил, как
    > моисею заповеди.

    не нужно 100 функций. Это для веса.

     
     
  • 6.104, arisu (ok), 12:02, 08/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    вау, вау, Иксперд, нидови нас своим МегаЗнанием!
     
  • 6.105, Mihail Zenkov (ok), 12:40, 08/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > не нужно 100 функций. Это для веса.

    Так напиши мене такой rootkit (прячущий процесс, файлы, файловые операции, сетевые операции и сетевую активность, корректно подменяющая вывод strace, работающий через ssh) за час. Час твоего времени я готов оплатить (по расценкам среднего linux программиста).

     
     
  • 7.107, angra (ok), 15:57, 08/09/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    У меня стойкое впечатление, что "нет" и "любой линукс программист" просто не поняли значение большей части этих страшных слов. Зато увидели знакомое слово LD_PRELOAD и решили, что вся работа руткита сводится к этому. Потому и считают, что за час можно справиться.
    Напоминает дикарей, сооружающих макет самолета из бамбука и уверенных, что этого достаточно.  
     
     
  • 8.122, Аноним (-), 19:12, 12/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Это реально либа которая работает через LD_PRELOAD По уровню технологий - бамбу... текст свёрнут, показать
     
     
  • 9.125, нет (??), 15:48, 13/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    да кто читать-то будет, про эту новость уже забыли Молодёжь, обиделись, заминус... текст свёрнут, показать
     
  • 3.121, Аноним (-), 19:10, 12/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > За час "любой linux программист" даже грамотное техническое задание не составит под
    > эту задачу.

    Не позорь собой линукс-программистов. Я библу под LD_PRELOAD перехватывающую open() и еще несколько интересных вещей написал за 2 часа.

     
     
  • 4.123, Mihail Zenkov (ok), 21:01, 12/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Я вот тоже за час наваял библиотеку i2c для uC - вывод на LCD работал нормально. А потом понадобилось еще свой slave дописать, да с нормальной обработкой ошибок и повторной передачей, дабы в условии сильных помех работало. И все это для жесткого realtime. В итоге неделю уже сижу. А в начале тоже казалось - на день работы.

     
  • 4.124, arisu (ok), 12:08, 13/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    а теперь ядро давай. за день справишься — с твоими‐то умениями!
     

  • 1.44, Анончег (?), 13:47, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Я правильно понимаю, что для внедрения данного руткита необходимо иметь права на запись в системные директории, такие как /etc, /lib и т.д.? Опять двадцать пять... Вы мне покажите лучше руткит, который сможет внедриться в систему от меня — простого пользователя.
     
     
  • 2.45, Michael Shigorin (ok), 13:50, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Вы мне покажите лучше руткит, который сможет внедриться в систему от меня
    > — простого пользователя.

    Это другая часть задачи -- эксплойт уязвимости класса хотя бы local root.

     
  • 2.77, Andrey Mitrofanov (?), 15:25, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > двадцать пять... Вы мне покажите лучше руткит, который сможет внедриться в
    > систему от меня — простого пользователя.

    Ни читать-то они не http://www.opennet.me/openforum/vsluhforumID3/109035.html#11 , ни фантазии у, ни инжеренного подхода... Пошукайте у ниХ в репах, поспрашиайте. Надо ж системно подходить: установка от пользователя уже есть -- дальше решайте свою "задачу"! >?<

     

  • 1.48, Нанобот (ok), 14:05, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    >Linux-системы на базе архитектур x86, x86_64 и ARM
    >Umbreon относится к руткитам третьего кольца защиты

    вопрос к знатокам: а на ARM вообще есть ring3?

     
     
  • 2.61, eganru (?), 14:30, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    в arm есть уровни привилегий: user, kernel, hypervisor.
     
  • 2.62, Аноним (-), 14:31, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ну это, скорее всего, образно сказано. Имеется ввиду ring с наименьшими привилегиями.
     
     
  • 3.63, eganru (?), 14:42, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    скорее не следовало вообще упоминать кольцо защиты. достаточно было упомянуть то, что подменяется glibc.
    кольца-то пресловутые это крайне завязанная на определенные реализации систем сущность.
     

  • 1.60, yaa (?), 14:26, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Я такую хрень видал на SS (SPARCstation), Solaris, где-то в 00-02...
    Ставилась по сетке через дыру в lp daemon (уже не помню, как он там звался).

    Ничего нового в подлунном мире...

     
  • 1.68, Mirraz (ok), 15:03, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Нужен рут, а его ещё получить надо. Беспокоиться не о чем.
     
     
  • 2.75, Аноним (-), 15:19, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Нужен рут, а его ещё получить надо. Беспокоиться не о чем.

    Следующая новость будет: "Обнаружена уязвимость в bash позволяющая поднять привилегии до root".

     

  • 1.79, arisu (ok), 16:18, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    опять новости про какую‐то проприетарщину! где ссылка на репозиторий? как собрать? куда патчи слать? тьфу.
     
  • 1.80, Случайный_гость (?), 16:35, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    "Umbreon может быть установлен..." - опять собирать вручную и устанавливать))), какая, опасная, малварь!!! )))))))))).
     
     
  • 2.111, Аноним (-), 01:57, 09/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если информация в Вашей системе будет представлять существенную ценность, то обязательно найдутся желающие взять труд по установке руткита в Вашу систему на себя ;-)
     

  • 1.88, XoRe (ok), 18:55, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > относится к руткитам третьего кольца защиты, функционирующим только в пространстве пользователя
    > Библиотека прописывается в конфигурационный файл "/etc/ld.so.*"

    Как он в /etc от юзера что-то запишет?

     
     
  • 2.89, Аноним84701 (?), 19:18, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> относится к руткитам третьего кольца защиты, функционирующим только в пространстве пользователя
    >> Библиотека прописывается в конфигурационный файл "/etc/ld.so.*"
    > Как он в /etc от юзера что-то запишет?

    http://www.catb.org/jargon/html/U/userland.html
    > userland: n.
    > Anywhere outside the kernel. “That code belongs in userland.”
    > This term has been in common use among Unix kernel hackers since at least 1985, and may have have
    > originated in that community. The earliest sighting was reported from the usenet group net.unix-wizards

    Ваш Кэп

     
  • 2.90, Анонимум (?), 19:29, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не путайте пространство пользователя с привелегиями пользователя.
     

  • 1.94, Аноним (-), 22:47, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Мда... помнится, когда-то я слепил флэшку с BartPE и развлекался прибиванием скринлокеров без использования антивируса. Почти всегда это был файл с именем из случайной строки, прописанный в appinitdll.
    Забавно теперь читать почти то же самое про линух.
     
  • 1.99, Аноним (99), 03:29, 08/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    "Также можно загрузиться c LiveCD, примонтировать дисковые разделы и оценить наличие подозрительных файлов /etc/ld.so.*, /usr/lib/libc.so.* и /usr/share/libc.so.*. "

    Поменяйте пожалуйста звездочки на что-то другое, можно как в оригинале, <random>, а то я уже обрадовался :)

    # ls -l /etc/ | grep so
    -rw-r--r-- 1 root root   252552 Sep  7 19:52 ld.so.cache
    -rw-r--r-- 1 root root       71 Sep 30  2015 ld.so.conf
    drwxr-xr-x 2 root root     4096 Aug  9 12:52 ld.so.conf.d

    # ls -l /usr/lib/ | grep libc.so*
    -rw-r--r--   1 root root      255 Aug  6 14:16 libc.so
    lrwxrwxrwx   1 root root       12 Aug  6 14:17 libc.so.6 -> libc-2.24.so

     
  • 1.109, Аноним (-), 23:54, 08/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Всё, теперь буду ходить в интернет только с плейстейшен. Там же нет руткитов? Ведь нету же? Как туда поставить руткит?
     
     
  • 2.112, anonymous (??), 10:38, 09/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Всё, теперь буду ходить в интернет только с плейстейшен. Там же нет
    > руткитов? Ведь нету же? Как туда поставить руткит?
     
     
  • 3.113, anonymous (??), 10:40, 09/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    DIR *dp;
    struct dirent *ep;

      dp = opendir ("/etc");
      if (dp != NULL)
        {
          while (ep = readdir (dp))
          {
    fputs_unlocked (ep->d_name, stdout);
    fputc('\n', stdout);
          }
            
          (void) closedir (dp);
        }
      else
        perror ("Couldn't open the directory");

        return 0;


     
  • 3.114, Andrey Mitrofanov (?), 10:43, 09/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Всё, теперь буду ходить в интернет только с плейстейшен. Там же нет

    Ходи с венды -- там и root-а нету!!

    >> руткитов? Ведь нету же? Как туда поставить руткит?

     

  • 1.115, Аноним (-), 11:03, 09/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    "Никому нельзя верить, врут все" - Хаус.
     
     
  • 2.116, Andrey Mitrofanov (?), 11:51, 09/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >врут все" - Хаус.

    Фу-фу. https://otvet.mail.ru/answer/179135965

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру