forum.opennet.ru

Составление сообщения

Исходное сообщение

"Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."
Отправлено Аноним, 11-Июн-22 20:35

> Классический способ по мотивам RootkitRevealer Руссиновича: пишем приложение, которое
> получает список загруженных библиотек. На Си. Собираем в двух вариантах: обычная
> линковка и статическая без внешних библиотек вообще (т.е. и без загрузчика).
> Получаем два списка. Сравниваем. Имеем ввиду, что ядерные руткиты так не
> детектируются.
Еще можно врубить мозг - и черт с ним с русиновичем - у нас тут линукс же. Читаем ман на execve и кто такой env по факту. Пишем тупую как дрова программу печатающую свой env, который структурно что-то типа argv[] по смыслу. Т.е. просто регион в памяти, его печать не требует сисколов вообще, перехватывать так то нечего. И вот это очень на руку.
А в чем пойнт? Даже если руткитчик попортит вывод ps и проч, если он глобально себя всем впихивает - пропатчить кус памяти с env, да еще после запуска программы, когда левая либа нам уже вгрузилась, но мы еще не получили инициативу (довольно узкое окно возможностей) не то чтобы невозможно, но технически довольно неудобно, не совсем очевидно и есть шанс что руткитчик про это тупо забыл или в силу возни забил. Конечно это не панацея, но чем более неожиданный фокус мы сделаем, тем менее вероятно что у руткита там "все схвачено".

Исходное сообщение
"Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." Отправлено Аноним, 11-Июн-22 20:35
> Классический способ по мотивам RootkitRevealer Руссиновича: пишем приложение, которое > получает список загруженных библиотек. На Си. Собираем в двух вариантах: обычная > линковка и статическая без внешних библиотек вообще (т.е. и без загрузчика). > Получаем два списка. Сравниваем. Имеем ввиду, что ядерные руткиты так не > детектируются. Еще можно врубить мозг - и черт с ним с русиновичем - у нас тут линукс же. Читаем ман на execve и кто такой env по факту. Пишем тупую как дрова программу печатающую свой env, который структурно что-то типа argv[] по смыслу. Т.е. просто регион в памяти, его печать не требует сисколов вообще, перехватывать так то нечего. И вот это очень на руку. А в чем пойнт? Даже если руткитчик попортит вывод ps и проч, если он глобально себя всем впихивает - пропатчить кус памяти с env, да еще после запуска программы, когда левая либа нам уже вгрузилась, но мы еще не получили инициативу (довольно узкое окно возможностей) не то чтобы невозможно, но технически довольно неудобно, не совсем очевидно и есть шанс что руткитчик про это тупо забыл или в силу возни забил. Конечно это не панацея, но чем более неожиданный фокус мы сделаем, тем менее вероятно что у руткита там "все схвачено".

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> Классический способ по мотивам RootkitRevealer Руссиновича: пишем приложение, которое >> получает список загруженных библиотек. На Си. Собираем в двух вариантах: обычная >> линковка и статическая без внешних библиотек вообще (т.е. и без загрузчика). >> Получаем два списка. Сравниваем. Имеем ввиду, что ядерные руткиты так не >> детектируются. > Еще можно врубить мозг - и черт с ним с русиновичем - > у нас тут линукс же. Читаем ман на execve и кто > такой env по факту. Пишем тупую как дрова программу печатающую свой > env, который структурно что-то типа argv[] по смыслу. Т.е. просто регион > в памяти, его печать не требует сисколов вообще, перехватывать так то > нечего. И вот это очень на руку. > А в чем пойнт? Даже если руткитчик попортит вывод ps и проч, > если он глобально себя всем впихивает - пропатчить кус памяти с > env, да еще после запуска программы, когда левая либа нам уже > вгрузилась, но мы еще не получили инициативу (довольно узкое окно возможностей) > не то чтобы невозможно, но технически довольно неудобно, не совсем очевидно > и есть шанс что руткитчик про это тупо забыл или в > силу возни забил. Конечно это не панацея, но чем более неожиданный > фокус мы сделаем, тем менее вероятно что у руткита там "все > схвачено".
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру