The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_PRELOAD для скрытия"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_PRELOAD для скрытия"  +/
Сообщение от opennews (ok), 10-Июн-22, 08:45 
Исследователи из компаний Intezer и BlackBerry обнаружили вредоносное ПО, получившее кодовое имя Simbiote и используемое для внедрения бэкдоров и rootkit-ов на скомпрометированные серверы, работающих под управлением Linux. Вредоносное ПО было выявлено на системах финансовых учреждений ряда стран Латинской Америки. Для установки Simbiote в систему атакующий должен иметь root-доступ, который может быть получен, например, в результате эксплуатации неисправленных уязвимостей или утечки учётных записей. Simbiote позволяет закрепить своё присутствие в системе после взлома для проведения дальнейших атак, скрытия активности других вредоносных приложений и организации перехвата конфиденциальных данных...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57328

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –23 +/
Сообщение от n00by (ok), 10-Июн-22, 08:45 
"Разделяемые библиотеки позволяют быстро исправлять ошибки" - говорили они, не шибко понимая, что говорят.
Ответить | Правка | Наверх | Cообщить модератору

4. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +19 +/
Сообщение от Анонимemail (4), 10-Июн-22, 08:50 
ну тут дело же в полученном изначально root-доступе, а не в самом механизме динамических библиотек
Ответить | Правка | Наверх | Cообщить модератору

6. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +4 +/
Сообщение от n00by (ok), 10-Июн-22, 08:55 
Дело в том, что я сейчас напишу "читайте Хоглунда", а эксперты по руткитам полезут в поисковик.
Ответить | Правка | Наверх | Cообщить модератору

56. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +7 +/
Сообщение от Аноним (56), 10-Июн-22, 12:41 
Я эксперт, только что вернулся из поисковика. При чём тут хоккей?!
Ответить | Правка | Наверх | Cообщить модератору

61. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +3 +/
Сообщение от n00by (ok), 10-Июн-22, 13:00 
Однофамилец того хоккеиста написал книжку про руткиты. Описал решаемые ими задачи и привёл примеры реализации. Переведена на русский язык. Вот здесь должно быть из неё код https://github.com/bowlofstew/rootkit.com/tree/master/hoglund
Ответить | Правка | Наверх | Cообщить модератору

100. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (-), 10-Июн-22, 17:54 
> https://github.com/bowlofstew/rootkit.com/tree/master/hoglund
> #include<windows.h>

В тему.

Ответить | Правка | Наверх | Cообщить модератору

102. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –1 +/
Сообщение от Аноним (-), 10-Июн-22, 18:38 
> #include "ntddk.h"

Это что, для маздая? Очень тематично пля, мне очень интересно как гадить в NTшный кернел, аж два раза.

Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

103. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +2 +/
Сообщение от Аноним (-), 10-Июн-22, 18:39 
p.s. я буду рефрешить коменты до ответа. Я буду рефрешить коменты до ответа. Я буду рефрешить коменты до ответа...
Ответить | Правка | Наверх | Cообщить модератору

127. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 09:52 
Ответа кому? Смысл вести с вами дискуссии? На что вы, господа безымянные теоретики, можете сослаться для придания хоть какого-то веса своему мнению? Работа Хоглунда - какая-никакая, но уже классика. Описывает на частных примерах общие принципы, показывает развитие - каким оно было там и каким оно грядёт здесь.
Ответить | Правка | Наверх | Cообщить модератору

131. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от InuYasha (??), 11-Июн-22, 10:22 
Может, это те ребята, которые пишут "Dow do I wrote root kit for Linux?" на StackOverflow.
Ответить | Правка | Наверх | Cообщить модератору

138. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 11:21 
Вы хотеть, пожалуйста, посетить эту ссылка https://github.com/search?q=linux+rootkit
Я нажать "мне повезёт" и найти https://github.com/milabs/awesome-linux-rootkits

user mode rootkits

    https://github.com/mempodippy/vlany

    Linux LD_PRELOAD rootkit (x86 and x86_64 architectures)

    https://github.com/unix-thrust/beurk

    BEURK is an userland preload rootkit for GNU/Linux, heavily focused around anti-debugging and anti-detection.

    https://github.com/chokepoint/azazel

    Azazel is a userland rootkit based off of the original LD_PRELOAD technique from Jynx rootkit.

    https://github.com/chokepoint/Jynx2

    JynxKit2 is an LD_PRELOAD userland rootkit based on the original JynxKit.

    https://github.com/chokepoint/jynxkit

    JynxKit is an LD_PRELOAD userland rootkit for Linux systems with reverse connection SSL backdoor

    https://github.com/NexusBots/Umbreon-Rootkit

    LD_PRELOAD based

    https://github.com/ChristianPapathanasiou/apache-rootkit

    A malicious Apache module with rootkit functionality

Ответить | Правка | Наверх | Cообщить модератору

168. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 19:46 
> Ответа кому? Смысл вести с вами дискуссии? На что вы, господа безымянные
> теоретики, можете сослаться для придания хоть какого-то веса своему мнению? Работа
> Хоглунда - какая-никакая, но уже классика. Описывает на частных примерах общие
> принципы, показывает развитие - каким оно было там и каким оно грядёт здесь.

Понимаешь, человек, от ТЕБЯ много СПАМА. Бесполезного и/или офтопичного. Ты спамер. Который развел меня на клик вообще совсем офтопичной репы "хоккеиста" в гитхабе. Это нехорошо с твоей стороны в топике про линукс и то что под него водится.

1) Видишь ли, общие принципы руткитов, дебага, takeovera'а системы и проч достаточно просты в понимании - как общая концепция. Это может понять неглупый школьник.
2) Те кто минимально интересоваося темой может усвоить 1) довольно быстро. С намного меньшим объемом мучений нежели одупление в код с "ntddk.h".
3) Линь все же не винда и изучать тему на примере маздая при интересе к линуксу не работает. Это разные системы, с разными кишками, а самое сложное таки в конкретике и деталях а не в общих концепциях.
4) Максимум что ты смог показать про Linux это LD_PRELOAD баяны. Я и без тебя пару либ под LD_PRELOAD накодил, что как бы намекает на "уровень" такого "руткита". Коенчно я до руткита не доделывал, просто поиздевался над программами себе по приколу посмотреть как они на неожиданные отлупы реагируют. Но это та же технология, что намекает на общий ее "уровень". Это выбор чайников и нубов, ну или вот казуально поразвлечься впарив софту странные отлупы.

TL;DR было бы намного круче если бы ты какие-то продвинутости под линух показать мог, а не под маздай в ветке по линуксу. Но ты этого кажется не могешь. А гарцевать ntddk в ветке про линь таки фэйл. С аудиторией не угадал.

Ответить | Правка | К родителю #127 | Наверх | Cообщить модератору

187. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –1 +/
Сообщение от n00by (ok), 12-Июн-22, 11:55 
>> Ответа кому? Смысл вести с вами дискуссии? На что вы, господа безымянные
>> теоретики, можете сослаться для придания хоть какого-то веса своему мнению? Работа
>> Хоглунда - какая-никакая, но уже классика. Описывает на частных примерах общие
>> принципы, показывает развитие - каким оно было там и каким оно грядёт здесь.
> Понимаешь, человек, от ТЕБЯ много СПАМА. Бесполезного и/или офтопичного. Ты спамер.

Я отвечаю на твои бессмысленные сообщения, поскольку мне с такими как ты придётся неоднократно сталкиваться. Ты отнял моё время, я его отбиваю - изучаю фанатиков.

> Который
> развел меня на клик вообще совсем офтопичной репы "хоккеиста" в гитхабе.
> Это нехорошо с твоей стороны в топике про линукс и то
> что под него водится.

Ты влез в тему, в которой смыслишь на уровне обывательской интерпретации пары популярных гипотез. Это нехорошо с твоей стороны в топике про руткиты.

> 1) Видишь ли, общие принципы руткитов, дебага, takeovera'а системы и проч достаточно
> просты в понимании - как общая концепция. Это может понять неглупый
> школьник.

Ты не смог.

> 2) Те кто минимально интересоваося темой может усвоить 1) довольно быстро. С
> намного меньшим объемом мучений нежели одупление в код с "ntddk.h".
> 3) Линь все же не винда и изучать тему на примере маздая
> при интересе к линуксу не работает. Это разные системы, с разными
> кишками, а самое сложное таки в конкретике и деталях а не
> в общих концепциях.

Дай ссылку на свои труды по теме или прекрати трындеть.

> 4) Максимум что ты смог показать про Linux это LD_PRELOAD баяны. Я
> и без тебя пару либ под LD_PRELOAD накодил, что как бы
> намекает на "уровень" такого "руткита". Коенчно я до руткита не доделывал,
> просто поиздевался над программами себе по приколу посмотреть как они на
> неожиданные отлупы реагируют. Но это та же технология, что намекает на
> общий ее "уровень". Это выбор чайников и нубов, ну или вот
> казуально поразвлечься впарив софту странные отлупы.

Ясно. Просьба выше аннулируется. В первой её части. Ты ламер. Тебе нет смысла объяснять, я просто для других напишу: LD_PRELOAD решает в данном случае задачу не только закрепления в системе. Вторая задача ясно и понятно изложена в тексте новости.

> TL;DR было бы намного круче если бы ты какие-то продвинутости под линух
> показать мог, а не под маздай в ветке по линуксу. Но
> ты этого кажется не могешь. А гарцевать ntddk в ветке про
> линь таки фэйл. С аудиторией не угадал.

Ты не аудитория, сколько не пытайся изобразить толпу. Такими попытками лишь демонстрируешь неуверенность в своём мнении.

Ответить | Правка | Наверх | Cообщить модератору

223. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от torvn77 (ok), 14-Июн-22, 02:01 
>я просто для других напишу: LD_PRELOAD решает в данном случае задачу не только закрепления в системе.  

Этот хак с LD_PRELOAD работает с правами обычного пользователя с правами которого запущен или root необходим в принципе?  

Если без рута ни как вообще, то твои опасения безпредметны, и судя по тому как твой оппонет делал такие вещи таки права рута необходимы, иначе бы сейчас тварился полный абзац с вирусами.

Ответить | Правка | Наверх | Cообщить модератору

225. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 14-Июн-22, 07:54 
>>я просто для других напишу: LD_PRELOAD решает в данном случае задачу не только закрепления в системе.
> Этот хак с LD_PRELOAD работает с правами обычного пользователя с правами которого
> запущен или root необходим в принципе?

Напоминаю Unix-way: каждая программа хорошо делает своё дело.
1. "эксплоит" - получает права;
2. руткит - закрепляется в системе, скрывает присутствие, осуществляет атаку "человек посередине" -  всё это решается одним махом - _документированным_ и предназначенным именно для этого способом, т.е. не хаком, как это было бы в случае инъекций кода в чужие адресные пространства.

> Если без рута ни как вообще, то твои опасения безпредметны, и судя
> по тому как твой оппонет делал такие вещи таки права рута
> необходимы, иначе бы сейчас тварился полный абзац с вирусами.

"Оппонент" пока что не нашёл ничего лучше чем убеждать меня, что мы с коллегой не написали 15 лет назад реализацию стандартной библиотеки Си++, которая позволяет собирать std::cout << "hello" в 25кб исполняемый файл без зависимостей от C runtime. То есть скатился до отрицания объективной реальности.

Не надо уподобляться ему - изучайте вопрос. Начать можно так:
1. вбиваем LD_PRELOAD в поисковик
2. тыкаем наобум ссылку на журнал Ксакеп https://xakep.ru/2020/12/29/ld_preload-rootkit/
3. читаем:

К при­меру, если нам нуж­но пред­загру­зить биб­лиоте­ку ld.so, то у нас будет два спо­соба:
    Ус­тановить перемен­ную сре­ды LD_PRELOAD с фай­лом биб­лиоте­ки.
    За­писать путь к биб­лиоте­ке в файл /etc/ld.so.preload.
В пер­вом слу­чае мы объ­явля­ем перемен­ную с биб­лиоте­кой для текуще­го поль­зовате­ля и его окру­жения. Во вто­ром же наша биб­лиоте­ка будет заг­ружена рань­ше осталь­ных для всех поль­зовате­лей сис­темы.

Далее перепроверяем. Есть документация https://man7.org/linux/man-pages/man8/ld.so.8.html

       LD_PRELOAD
              A list of additional, user-specified, ELF shared objects
              to be loaded before all others.  This feature can be used
              to selectively override functions in other shared objects.

Есть исходники...

Ответить | Правка | Наверх | Cообщить модератору

38. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –2 +/
Сообщение от Аноним (38), 10-Июн-22, 11:43 
А не наоборот? Впрочем в линуксе всё прекрасно: тут вам и разделяемые библиотеки, тут вам и пакетные менеджеры, тут вам и наркоманский FHS... Всё для человека, ага.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

46. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +5 +/
Сообщение от n00by (ok), 10-Июн-22, 12:02 
Unix way - одна программа (не обсуждается в ветке) хорошо получает рут доступ, другая программа (руткит, обсуждается здесь и сейчас) хорошо закрепляется, для чего скрывает своё присутствие. Вот что прекрасно. :)
Ответить | Правка | Наверх | Cообщить модератору

109. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 21:21 
> А не наоборот? Впрочем в линуксе всё прекрасно: тут вам и разделяемые
> библиотеки, тут вам и пакетные менеджеры, тут вам и наркоманский FHS...
> Всё для человека, ага.

Пакетный менеджер имеет свои плюсы. Допустим в zlib нашли баг. Я поставил патченый пакет. Все программы в моей системе автоматически исправлены. И если я не качал хлам как маздаец я могу быть в этом более-менее уверен (после рестарта затронутых программ).

А теперь удачи так в маздайке. Вы врядли знаете сколько программ приперло _свой_ zlib.dll или даже статически влинковало его унутрь. Нету в маздайке культуры реюза кода и тем более его оперативного патчинга.

Поэтому есть отличная от ноля вероятность что вас можно до сих пор огреть винтажным, общеизвестным багом, если какая-то программа в вашей системе процессила внешние файлы или сетевой траффик такой либой. И ничего с этим в маздайке особо сделать нельзя. А вон пропатчьте мультиплеер HMM III в виндохном бинаре, которому можно по сети взять и укатать, за то что ископаемый zlib статически слинковали, дескать. А в этом моем линухе VCMI так то пропатчится на раз в таком же случае...

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

125. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –2 +/
Сообщение от Аноним (-), 11-Июн-22, 01:56 
> Я поставил патченый пакет. Все программы в моей системе автоматически отвалились

Исправил, не благодари

Ответить | Правка | Наверх | Cообщить модератору

169. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 19:51 
>> Я поставил патченый пакет. Все программы в моей системе автоматически отвалились
> Исправил, не благодари

Нехрен арчем и гентой в проде пользоваться. В нормальных дистрах майнтайнеры вот реально только вулн запалчат - и все! Чему там вообще отваливаться? Предпосылок нет. Заодно так наверное чуть понятнее почему у вменяемых дистров вместо гонки за свежаком специфичные полися по типу того что между релизами как максимум минорные версии подтягивают, но никаких крупных инноваций. Вот как раз чтобы прод не разваливался как у арчегент.

Ответить | Правка | Наверх | Cообщить модератору

220. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (220), 13-Июн-22, 20:24 
Накушался я этой стабильности в свое время. Так, навскидку пример: дебиан то ли 5, то ли 6 версии. Аська у которой полсотни рабочих контактов, майлру эту самую аську покупает и что-то меняет в протоколе. Дебиановский pidgin, само собой, работать по нему перестает. Этим контактам по фигу, у них винда - обновили свои клиенты и дальше живут (у кого-то миранда, у кого-то &RQ, у кого и официальный). А в дебиане или ставь пакет от убунты (с непредсказуемыми глюками по итогу), или собирай свежак из сорцов, или жди следующую стабильную версию этого самого дебиан годик-другой. В итоге плюнул, поставил винду и забыл про все эти дела как страшный сон
Ответить | Правка | Наверх | Cообщить модератору

128. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (38), 11-Июн-22, 09:55 
> Допустим в zlib нашли баг. Я поставил патченый пакет. Все программы в моей системе автоматически исправлены.

Об этом должен беспокоиться разработчик конкретной программы, а не разработчик ОС или тем более пользователь. Не?

Ответить | Правка | К родителю #109 | Наверх | Cообщить модератору

141. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (141), 11-Июн-22, 12:03 
Единое окружение операционной системы собирает разработчик ОС, а не автор конкретной программы, автор программы не знает кто, где и как будет программу использовать.
Ответить | Правка | Наверх | Cообщить модератору

144. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +3 +/
Сообщение от Аноним (38), 11-Июн-22, 12:23 
Вот поэтому самая правильная схема -- "ОС отдельно, программы отдельно".
Ответить | Правка | Наверх | Cообщить модератору

152. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 16:14 
В этом месте возникает конфликт интересов. Есть специальный человек - майнтайнер (почему-то не любят переводить на русский) - собирает программу под конкретную ОС. Этот человек принимает решения по устройству ОС. При этом указанная схема - это компетенция архитектора, насколько я понимаю.
Ответить | Правка | Наверх | Cообщить модератору

157. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 17:33 
> ОС отдельно
> программы отдельно

Дистрибутив AltMinixZverBD отдельно

Ответить | Правка | К родителю #144 | Наверх | Cообщить модератору

172. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 20:07 
> Вот поэтому самая правильная схема -- "ОС отдельно, программы отдельно".

Не, спасибо, я видел как это в маздае работает. Крайним почему-то я оказываюсь, убивая в цать раз больше времени на поддержание программ и системы в секурном состоянии и имея нежилые траблы с пониманием все ли реально up to date или нет. Извините но такое управление софтом и системой называется словом "маздай".

Ответить | Правка | К родителю #144 | Наверх | Cообщить модератору

175. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (38), 11-Июн-22, 21:09 
Ну не знаю... По-моему ситуация когда пользовательские приложения делят либы с осью -- это маразм высшей категории. В идеале наверное должно быть разделение на собственно операционную систему, системные утилиты и на пользовательские приложения, а как оно там будет слинковано -- над этим уже можно думать. Ну и с точки зрения безопасности приложения (за которое должен отвечать его автор, а не разработчик ОС или мэинтейнер) мне кажется, что лучше это изначально решать с помощью механизмов изоляции, чем гнаться без конца за свежими версиями библиотек.
Ответить | Правка | Наверх | Cообщить модератору

181. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 12-Июн-22, 03:16 
> Ну не знаю... По-моему ситуация когда пользовательские приложения делят либы с осью
> -- это маразм высшей категории.

А по моему...
1) В моем случае деление на "систему" и "пользовательские приложения" условно. Есть репы. Из репов я набираю ту или иную систему под ту или иную задачу, компонуя пакеты так или иначе. Нормальный модульный подход. Очень круто, ежели научиться им пользоваться. Можно кастомные образа систем под специфичные задачи кроить быстро и без напряга. А, извините, с маздайкой это не получится по еще более 9000 причин. Потому и называется маздайкой в моем лексиконе.

2) Либы обеспечивают очень эффективный code reuse. А также эффективное расходование ресурсов. Если вы в винде запустите пять кутевых программ, вы поимеете пять жирных копий приватных версий кутя в памяти. У меня будет висеть ОДНА копия библы кутей НА ВСЮ ОРАВУ. И жрать RAM один раз на все 5 программ.

3) Заменив либу на фикшеную я уверен что починилось ВСЕ. Ежели отучаться качать всякий варез с левых сайтов как маздайщики, конечно. Я конечно иногда качаю сорсы с разных реп, однако билдуется оно таки именно с теми же системными либами как и софт из дистров, а если результат нравится то он и в пакет заворачивается для порадка и трекинга чем еще я в системе намусорил.

4) Персонально я в гробу видел всякие варезоподобные проприетарные блобы. Это просто никогда не будет запущено на моих системах "for security reasons". Я для себя решил вот так. И это хрен оспоришь.

5) Кроме всего прочего 4) делает меня архитектурно независимым. Я могу все мои воркфлоу на любой процессорной архитектуре, будь то ARM64 или RISCV они вполне могут стать моей следующей платформой. И на моем персональном уровне я буду очень рад отделаться от х86 с всеми их ME, PSP, BootGuard'ами и secureboot-ами где я с ножом к горлу "должен" доверять мерзкософту. Нихрена я им не должен. Особенно - доверять их проприетарной блоботе и ключам.

> В идеале наверное должно быть разделение на собственно операционную систему,
> системные утилиты и на пользовательские приложения,

У меня как-то сильно другие идеалы, мне наоборот унифицированная модульная архитектура где я сам для себя решу что система - здорово удобнее. А с чего вдруг какие-то левые хрены лучше меня будут знать что я системой считаю, а что нет?

> а как оно там будет слинковано -- над этим уже можно думать. Ну и с точки
> зрения безопасности приложения (за которое должен отвечать его автор,

А мне вот удобно что всесто этого отвечают майнтайнеры, и ВСЕ они придерживаются характерных, унифицированных, ПРЕДСКАЗУЕМЫХ полисей. Которые мне достаточно прочитать и понять 1 раз а не 9000 раз - для каждой из установленных программ.

> а не разработчик ОС или мэинтейнер) мне кажется, что лучше это изначально решать
> с помощью механизмов изоляции, чем гнаться без конца за свежими версиями библиотек.

А мне вот удобно когда предсказуемые унифицированные политики применяются КО ВСЕМУ. И столь же удобно когда все унифицировано рулится, могу поставить эти компоненты, а эти выпилить. Сам решив что для меня система, и что нужно, а что в пень. В винде же майки это вообще никогда нормально не умели. Поэтому там и инсталл компонентов винды горбатый, и с софтом так же, а на 500 машин в автоматическом режиме софт поставить - не то что совсем нельзя, но там такие грабли со всем этим... а на линухе это даже нуб однострочником сможет за полчаса оформить, даже голыми руками, хотя есть дюжина систем автоматизации развивающие идею.

Как-то так и понимаешь что мощная система для продвинутого технаря которому не пофиг на свою эффективность, а что инструмент офисных планктошек обклацывающих 200 файлов вручную.

Ответить | Правка | Наверх | Cообщить модератору

196. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (38), 12-Июн-22, 14:07 
> Заменив либу на фикшеную я уверен что починилось ВСЕ

А остальной код вы проверили, вдруг в других местах тоже есть уязвимости? Запуская чужую программу ни в чём нельзя быть уверенным.

Ответить | Правка | Наверх | Cообщить модератору

203. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +2 +/
Сообщение от Neon (??), 13-Июн-22, 03:42 
> Заменив либу на фикшеную я уверен что починилось ВСЕ.

Заменив либу на фикшеную, можно ВСЁ поломать.))) Классно поменяли.

Ответить | Правка | К родителю #181 | Наверх | Cообщить модератору

221. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (220), 13-Июн-22, 20:31 
> В идеале наверное должно быть разделение на собственно операционную систему, системные утилиты и на пользовательские приложения

Поздравляю, ты изобрел FreeBSD с ее делением на distributions и ports

Ответить | Правка | К родителю #175 | Наверх | Cообщить модератору

226. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 14-Июн-22, 08:10 
Спасибо, теперь я понял эти постоянные нападки на BSD. В GNU/Linux именно свобода, а не какие-то технические аспекты, запрещает линковаться статически.
Ответить | Правка | Наверх | Cообщить модератору

228. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 14-Июн-22, 17:26 
За что, среди прочего, фряху и люблю. Есть минимальный набор из загрузчика, ядра и всякой мелочевки вроде шелла и сишного компилятора - они фряху, собственно, и составляют и это добро разрабы фряхи пилят. А все остальное - порты, которые пилят авторы этого всего остального (для простоты к портам отношу не только сорцы, но и собранные из них пакеты). Ни тебе майнтайнеров, ни сотен сортов убунты, отличающихся только названиями и нескучными обоями, ни прочего ненужного вроде пафосных речей жирного нечесанного гуру. Да синтаксис pf, имхо, получше чем у iptables:)
Ответить | Правка | Наверх | Cообщить модератору

230. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 14-Июн-22, 17:55 
Что бы что-то перехватить в монолитном исполняемом файле, врезать инструкции перехода на свой код, в общем случае потребуется дизассемблер и гарантии, что модифицируемый код не исполняется. Т.е. девятый "Б" сходит со сцены. Гуру учит так не делать исходя из борьбы за всё хорошее против всего плохого. Ведь не просто Linux, а GNU/Linux. Этот момент я прохлопал, поскольку мало интересуюсь лицензиями.
Ответить | Правка | Наверх | Cообщить модератору

171. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 20:04 
> Об этом должен беспокоиться разработчик конкретной программы, а не разработчик ОС или
> тем более пользователь. Не?

Проблема в том что в результате
1) Все отдано на откуп легиону каких-то раздолбаев. Или не раздолбаев. Как повезет.
2) Никаких более-менее гарантированных однотипных политик реакции на вулны у Васянов нет. А у половины Васянов вообще не прописано как они на это реагируют - им просто пофиг.
3) Васян кстати ни разу не майнтайнер либы и только пользуется ей без заморочек. Поэтому за вулнами не следит.
4) Эффективного механизма пингануть всех "Васянов" пользовавшихся "zlib" с запросом это починить - в маздайке просто нет.

Итого: в линуксе содержать систему и софт в ней в надлежащем виде может быть в десятки раз проще. Я из винды на пингвины ушел, имел возможность сравнить как оно. И пакетный менеджер некисло меня разгружает от упомянутой рутины. Для меня это очень большой плюс Linux как системы. Все потуги майков, что vcpkg, что маздайстор решали что угодно кроме вот этого комплекса проблем. В осномном либо лок на свою экосистему, либо выцыганивание денег в пользу тех кому лично мне платить денег просто жалко, когда есть открыто, бесплатно и тупо лучше чем вон то.

Ответить | Правка | К родителю #128 | Наверх | Cообщить модератору

229. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 14-Июн-22, 17:35 
Ну так не пользуйся ненужным, в чем проблема-то? Если найдется уязвимость в каком-нибудь kernel32.dll - мелкомягкие ее сами закроют и в случае с динамической линковкой для тебя ничего не меняется.
Ответить | Правка | Наверх | Cообщить модератору

104. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (-), 10-Июн-22, 18:42 
> а не в самом механизме динамических библиотек

А еще злодей может имя файла использовать левое, название процесса непаливное назначать, и только подумайте - скачать и запустить файлы.

Если динамические либы плохи, тогда надо и наглухо readonly filesystem, а лучше и запуск программ для надежности запретить. Вдруг гамнюки что-то в RW подмонтировать смогут?!

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

12. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 10:21 
Жаль, что не получается составить список экспертов. Стесняются отметиться явно. С точки зрения руткита - отображение актуальной информации является нежелательным поведением. Он и исправляет "ошибку" документированным способом.

> Особенностью Simbiote является распространение в форме разделяемой библиотеки,
> которая подгружается во время запуска всех процессов при помощи механизма LD_PRELOAD
> и подменяет некоторые вызовы стандартной библиотеки.

Подгружается библиотека не сама собой, а (очень грубо) вот тут:


  /* Load all the libraries specified by DT_NEEDED entries.  If LD_PRELOAD
     specified some libraries to load, these are inserted before the actual
     dependencies in the executable's searchlist for symbol resolution.  */
  {
    RTLD_TIMING_VAR (start);
    rtld_timer_start (&start);
    _dl_map_object_deps (main_map, preloads, npreloads,
             state.mode == rtld_mode_trace, 0);
    rtld_timer_accum (&load_time, start);
  }

Из этого следуют интересные выводы:
1. обобщение "всех процессов" излишне пессимистично;
2. достаточно просто реализовать детектор руткита;
3. возможно построить систему так, что она окажется не подвержена атаке.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

19. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 11:02 
busybox
Ответить | Правка | Наверх | Cообщить модератору

26. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 11:27 
Ход мыслей правилен, но уровень абстракции не тот. См. ldd `which busybox`
Ответить | Правка | Наверх | Cообщить модератору

30. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +2 +/
Сообщение от Аноним (-), 10-Июн-22, 11:31 
Статически слинкован, например с каким-нибудь экзотическим libc, который в добавок не знает про всякие переменные окружения LD_*
Ответить | Правка | Наверх | Cообщить модератору

32. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от n00by (ok), 10-Июн-22, 11:36 
Да, это решение. Но фанаты не одобряют.
Ответить | Правка | Наверх | Cообщить модератору

36. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +2 +/
Сообщение от Аноним (-), 10-Июн-22, 11:41 
> Да, это решение.

Это решение только проблемы с LD_PRELOAD. А злоумышленник с рутом так и сидит в системе, по крайней мере до перезагрузк


Ответить | Правка | Наверх | Cообщить модератору

42. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 11:57 
>> Да, это решение.
> Это решение только проблемы с LD_PRELOAD.

Что и обсуждается в данной ветке.

Ответить | Правка | Наверх | Cообщить модератору

50. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 12:14 
В какой, в которой ключи ищут?

Ответить | Правка | Наверх | Cообщить модератору

53. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 12:22 
В ветке, которая началась с моего сообщения №1. Оно так понравилось экспертам. :)
Ответить | Правка | Наверх | Cообщить модератору

55. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 12:35 
Если обсуждают, что угодно, то изначальный тезис противоречивый, то есть троллинг.
Ответить | Правка | Наверх | Cообщить модератору

62. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –1 +/
Сообщение от n00by (ok), 10-Июн-22, 13:02 
Противоречий в тезисе нет. "Цитата" в кавычках верна, проблема с ошибками в библиотеках действительно так решается. И так действительно говорили. Обсуждают что угодно, поскольку не понимают предмет.
Ответить | Правка | Наверх | Cообщить модератору

70. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 13:30 
> "Цитата" в кавычках верна

Вопросов больше не имею

Ответить | Правка | Наверх | Cообщить модератору

72. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –1 +/
Сообщение от n00by (ok), 10-Июн-22, 13:38 
Вот и не надо зафлуживать ветку, если сказать по сути нечего. Затроллили его, бедненького, ага.
Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

20. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (20), 10-Июн-22, 11:04 
А если разрешать подгрузку только таких библиотек, у которых есть цифровая подпись?
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

21. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (-), 10-Июн-22, 11:09 
Что мешает подписать, если уже есть root-доступ?
Ответить | Правка | Наверх | Cообщить модератору

22. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +2 +/
Сообщение от n00by (ok), 10-Июн-22, 11:15 
Так подписи будет раздавать RHBM. ;)
Ответить | Правка | Наверх | Cообщить модератору

23. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (-), 10-Июн-22, 11:21 
> RHBM

Не знаю кто это, но проверять тоже он будет или система, в которой кто-то шарится с рут-доступом (добавил свой свой сертификат и подписал им же - "доверенно")?

Ответить | Правка | Наверх | Cообщить модератору

24. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 11:24 
Куда именно добавил?
Ответить | Правка | Наверх | Cообщить модератору

25. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 11:26 
В "систему, которая проверяет"
Ответить | Правка | Наверх | Cообщить модератору

27. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 11:28 
Куда именно в "систему, которая проверяет"?
Ответить | Правка | Наверх | Cообщить модератору

35. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 11:39 
Куда надо. Конкретика должна исходить от того, кто предложил способ защиты злоумышленника с рут-доступом.
Ответить | Правка | Наверх | Cообщить модератору

43. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 11:58 
Защищающийся должен защитить систему. Атакующему он ничего не должен.
Ответить | Правка | Наверх | Cообщить модератору

45. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 12:01 
Какой из пользователей с UID=0 защитник, какой - атакующий?
Ответить | Правка | Наверх | Cообщить модератору

47. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 12:04 
Ищите ключи.
Ответить | Правка | Наверх | Cообщить модератору

49. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 12:12 
> Ищите ключи.

К кому запрос, к пользователю - защитнику или атакующему, который "нашел ключ", чтобы получить рут-доступ?

Ты же понимаешь, что для "защиты" нужны внесистемные инструменты.

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

52. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 12:20 
Я понимаю, что ключ пока никто не нашёл. Совсем нет вариантов?
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

54. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 12:30 
> Я понимаю, что ключ пока никто не нашёл. Совсем нет вариантов?

Злоумышленник с рутом - это кто? Тот, кто не "нашел ключ"?
Пока нет конкретики, то "злоумышленник с рутом" ничем не отличается "защитника с рутом".
Чтобы их различать, надо выйти за пределы системы, например, в ring -1,-2, tmp и прочий вендорлок security system.


Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

63. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 13:08 
Вопрос в №21  "Что мешает подписать, если уже есть root-доступ?"

Предложен сценарий атаки "подписать, если уже есть root-доступ". Но ключи не нашли. Отсутствие ключей и мешает подписать.

Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

69. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 13:27 
Хочешь сказать, ключей в системе нет? Внесистемные инструменты?
Хотя, что мешает взломщику во взломанной системе взломать проверку ключей?
Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

74. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 13:41 
Социальная инженерия не работает. Не нашли ключи, не подписали, закрепиться предложенным способом не удалось, до свидания.
Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

77. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 14:05 
> Социальная инженерия не работает.

Еще один "верный" тезис.

> Не нашли ключи

Интересно, как в систему попали?

Защищающийся должен доказывать, что взломщик "не нашел ключей", а не наоборот: зашел через открытую форточку, а мог бы просто окно разбит и зайти.

Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

82. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 15:12 
>> Не нашли ключи
> Интересно, как в систему попали?

Кто? Вы? Нафантазировали, что куда-то попали. На этом фантазия закончилась.

> Защищающийся должен доказывать, что взломщик "не нашел ключей", а не наоборот: зашел
> через открытую форточку, а мог бы просто окно разбит и зайти.

Мне не надо ничего доказывать. Я знаю, почему вариантов, где хранятся ключи, предложено не будет. :)

Ответить | Правка | К родителю #77 | Наверх | Cообщить модератору

146. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (146), 11-Июн-22, 12:59 
> Я знаю, почему вариантов, где хранятся ключи, предложено не будет.

Потому что ты оффтопщик - админ подкроватного IIS-сервера, который сам не знает?

Ты давай конкретику, как ты защищаешь _скомпрометированную_ систему, которую лучше заморозить до абсолютного нуля и отдать в музей безопасникам.

Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

147. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 13:33 
>> Я знаю, почему вариантов, где хранятся ключи, предложено не будет.
> Потому что ты оффтопщик - админ подкроватного IIS-сервера, который сам не знает?

Нет, ты не угадал, у меня нет IIS-сервера под кроватью.

> Ты давай конкретику, как ты защищаешь _скомпрометированную_ систему, которую лучше заморозить
> до абсолютного нуля и отдать в музей безопасникам.

Сначала расскажи, почему ты не смог её сам найти.

Ответить | Правка | К родителю #146 | Наверх | Cообщить модератору

148. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 14:01 
Что мне находить? Отключение integrity, когда у меня есть рут? Прописывание в загрузчик своего исправленного ядра со своими модулями, ключами, своей командной строкой, когда у меня есть рут? Какой еще вариант комбинаторного взрыва нужен, когда у меня есть рут?

Ты давай конкретику, как ты защищаешь уже взломанную систему? Вся эта твоя защита должна работать до взлома.

Эта новость - просто реклама службы безопасности, какие они "хорошие" нашли LD_PRELOAD во взломанной системе.

Ответить | Правка | К родителю #147 | Наверх | Cообщить модератору

151. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 15:57 
> Что мне находить?

Теряешь контекст? Требовал конкретику. У меня она есть и давно в виде кода. К данному сценарию, кстати, подходит.

> Отключение integrity, когда у меня есть рут? Прописывание в
> загрузчик своего исправленного ядра со своими модулями, ключами, своей командной строкой,
> когда у меня есть рут? Какой еще вариант комбинаторного взрыва нужен,
> когда у меня есть рут?
> Ты давай конкретику, как ты защищаешь уже взломанную систему? Вся эта твоя
> защита должна работать до взлома.

Ещё раз - я тебе ничего не должен. Я вижу, что дискутировать на данную тему с тобой нет смысла, поскольку ты не умеешь сценарий атаки сформулировать.

> Эта новость - просто реклама службы безопасности, какие они "хорошие" нашли LD_PRELOAD
> во взломанной системе.

Крайне глубокая мысль. Стоило с неё сразу начать и на ней закончить.

Ответить | Правка | К родителю #148 | Наверх | Cообщить модератору

153. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 16:55 
> Теряешь контекст? Требовал конкретику

Это ты давно потерял контекст. Раздул "проблему LD_PRELOAD" до размеров слона.

Ты, давай, показывай конкретику - свой недоступный код, который защищает от пользователя root.
Подсказка, недавно в ядро добавили "механизм" ограничения пользователя root.

Ответить | Правка | К родителю #151 | Наверх | Cообщить модератору

158. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 18:50 
>> Теряешь контекст? Требовал конкретику
> Это ты давно потерял контекст. Раздул "проблему LD_PRELOAD" до размеров слона.

Ты не проблема вовсе. Если ты не готов к конструктивному диалогу по вопросу LD_PRELOAD, но тебя триггернуло исходное сообщение и не даёт спокойно жить, я вынесу из "общения" с тобой иную пользу. Мне так или иначе придётся сталкиваться с фанатиками, с этим надо что-то делать, вас надо уметь вовремя распознать.

> Ты, давай, показывай конкретику - свой недоступный код, который защищает от пользователя
> root.

Давать тебе будет жена. Достаточно доходчиво?

> Подсказка, недавно в ядро добавили "механизм" ограничения пользователя root.

Рад за тебя, ты опять умудрился приплести пользователя root к другой теме.

Ответить | Правка | К родителю #153 | Наверх | Cообщить модератору

161. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 19:03 
> Если ты не готов к конструктивному диалогу по вопросу LD_PRELOAD

Какой конструктив, если ты не даешь никакой конкретики. Вместо этого скачешь то на проверку целостности (запускаемых) файлов, то обвиняешь непонятно в чём разделяемые библиотеки во взломанной системе.

Присутствие в системе руткита - это уже отсутствие доверия к системе, включая проверку целостности файлов, так как руткит уже обошел эту проверку. И неважно как попал в систему руткут - сознательно  или бессознательно.

Ответить | Правка | К родителю #158 | Наверх | Cообщить модератору

163. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 19:15 
>> Если ты не готов к конструктивному диалогу по вопросу LD_PRELOAD
> Какой конструктив, если ты не даешь никакой конкретики.

Успокойся уже. Сделай 10 вдохов. Сделал? Теперь читай дальше.

В №21 ты собрался что-то там подписывать. Цитирую:

"Что мешает подписать, если уже есть root-доступ?"

При этом ты не дал никакой конкретики, а попытался переложить бремя доказательства невозможности сферической конной атаки на оппонента.

Если бы ты предположил что-то вроде "у тебя подписи хранятся вон там? значит я делаю так" - это уже сценарий, его можно обсуждать.

> Вместо этого скачешь то
> на проверку целостности (запускаемых) файлов, то обвиняешь непонятно в чём разделяемые
> библиотеки во взломанной системе.
> Присутствие в системе руткита - это уже отсутствие доверия к системе, включая
> проверку целостности файлов, так как руткит уже обошел эту проверку. И
> неважно как попал в систему руткут - сознательно  или бессознательно.

В прошлом сообщении вместо "руткит" было "рут". Но скачу я, ага. ;)

Ответить | Правка | К родителю #161 | Наверх | Cообщить модератору

167. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 19:37 
Руткит - это "кит", который работает как "рут". С точки зрения системы ничем не отличима от человека-пользователя "рут"
Ответить | Правка | К родителю #163 | Наверх | Cообщить модератору

188. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 12-Июн-22, 12:08 
Аноним - это "им" "я", которого "нет". С точки зрения системы у твоего мнения нет источника.
Ответить | Правка | К родителю #167 | Наверх | Cообщить модератору

105. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 18:43 
> Так подписи будет раздавать RHBM. ;)

Пока-что я сам себе подписи на кернельные модули раздаю. А в чем проблема так же с либами и бинарями сделать?

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

129. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 10:16 
Для Вас не вижу проблем, коль сходу предлагаете решение. Исходники открыты, можно дорабатывать. А вот этим, у кого вся свобода заключается в "лишь бы не как в венде" и трендовых сетах иконок, RH/IBM и будет подписывать.
Ответить | Правка | Наверх | Cообщить модератору

204. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Neon (??), 13-Июн-22, 03:45 
А кто будет проверять контролера ?
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

209. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 13-Июн-22, 08:32 
Сами подписывайте, если никому не доверяете. Исходники открыты, возможность есть.
Ответить | Правка | Наверх | Cообщить модератору

28. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +2 +/
Сообщение от Аноним (28), 10-Июн-22, 11:28 
Подписывают на отдельном хосте, не подключенном к сети с рутуемыми серверами.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

29. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от n00by (ok), 10-Июн-22, 11:29 
Да, это один из вариантов. Но надо понимать, что в прошлый раз в итоге развития идеи появился SecureBoot. :)
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

48. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (20), 10-Июн-22, 12:07 
А если прямо им и воспользоваться, не мудрствуя лукаво...
Ответить | Правка | Наверх | Cообщить модератору

107. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 21:02 
> А если прямо им и воспользоваться, не мудрствуя лукаво...

Полная версия идеи секурбута так то проверять ВСЕХ на цепочке

ROM->бут->кернел->программы/либы

ROM не меняемый (накристальный или в R/O флехе). Это делает его anchor'ом которому можно доверять, если он знает доверяемый ключ. Он проверяет загрузчик. А тот ядро. Для продолжения цепочки ядро может отказаться запускать неподписанные программы. А (подписаный) лоадер динамических либ мог бы проверять и подпись либы, не грузя ее если подписи нет.

Таки да, полная реализация сложновата и ВСЕ дырки законоаптить в системе где о таком СРАЗУ не думали все же не очень просто. Поэтому ИНОГДА секурбутчиков посещают приколы с обломами.

Ответить | Правка | Наверх | Cообщить модератору

137. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от InuYasha (??), 11-Июн-22, 10:51 
Предлагаешь отключить _dl_map_object_deps всем-всем-всем из юзерспейса?
(с сисколами и проганьем под линукс знаком не очень)
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

139. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 11:41 
Зачем сразу запрещать. Было интересно, сколько возникнет подобных вопросов ("что с этим делать") и вариантов решений. Например, можно переименовать LD_PRELOAD... или перевести на русский.)
Ответить | Правка | Наверх | Cообщить модератору

155. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (-), 11-Июн-22, 16:59 
> Например, можно переименовать LD_PRELOAD

Вот это уровень!

Ответить | Правка | Наверх | Cообщить модератору

160. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 19:02 
>> Например, можно переименовать LD_PRELOAD
> Вот это уровень!

А то. Сджипиэлил из #30:

"не знает про всякие переменные окружения LD_*"

;)

Ответить | Правка | Наверх | Cообщить модератору

164. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (-), 11-Июн-22, 19:19 
> "переименовать" = "не знать"

"Научный подход" security by obscurity в действии!

Ответить | Правка | Наверх | Cообщить модератору

166. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 19:25 
>> "переименовать" = "не знать"
> "Научный подход" security by obscurity в действии!

Ну да. Зеркало то работает. Вон как ты себя разоблачаешь. =)

Ответить | Правка | Наверх | Cообщить модератору

60. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –3 +/
Сообщение от Аристарх (??), 10-Июн-22, 12:54 
Строго говоря, замена одной неисправной библиотечки не является уязвимостью, ЕСЛИ систему не писал бы кретuн Трольвадс! Это нормальная, рабочая операция, где главная проблема - защита оригинальной либы и руками одобренная замена. Ну то есть если вирус полезет её заменять, ему даст отлуп защита файлов. И даже если через неё он проскочит и запросит замену, система обязана иметь отдельный, защищённый модуль, ПЕРСОНАЛЬНО и ИНТЕРАКТИВНО спрашивающий, можно ли заменить вот эту одну либу.
Да, звучит как-то параноидально, но только так можно держать систему стабильной.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

66. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +4 +/
Сообщение от n00by (ok), 10-Июн-22, 13:11 
Торвальдс написал ядро. Здесь обсуждается механизм в пространстве пользователя. Советую извиниться за слова в адрес Линуса.
Ответить | Правка | Наверх | Cообщить модератору

73. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 13:40 
> Здесь обсуждается механизм в пространстве пользователя.

Только в пространстве пользователя, любой пользователь полностью изолирован от внешнего мира. Даже для того чтобы вывести "привет, мир" нужно дергать сискол.

Ответить | Правка | Наверх | Cообщить модератору

75. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 13:47 
> Даже для того чтобы вывести "привет, мир" нужно дергать сискол.

Самое удивительное, что руткит при этом не подгузится.

Ответить | Правка | Наверх | Cообщить модератору

78. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –1 +/
Сообщение от Аноним (-), 10-Июн-22, 14:16 
> Самое удивительное, что руткит при этом не подгузится.

Как догадался, получил дамп выполненных в ring0 инструкций, проанализировал на вредоносность выполненные команды (полных по Тьюрингу)?

Ответить | Правка | Наверх | Cообщить модератору

81. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 15:11 
> я смотрю в сообщение №12 и вижу фигу.

Бывает. Продолжайте собирать пакетики.

Ответить | Правка | Наверх | Cообщить модератору

83. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (146), 10-Июн-22, 15:30 
> сообщение №12

И что там надо увидеть? То что, если поменять (логику) glibc, то glibc ведет себя по другому. Я уже предложил использовать другой libc (статически линковать), который понятия не имеет про LD_*.

Это решает только проблему с LD_PRELOAD. Это не решает проблему руткитов, когда уже есть рут-доступ.

Ответить | Правка | Наверх | Cообщить модератору

85. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 15:43 
> Это решает только проблему с LD_PRELOAD.
> Это не решает проблему руткитов, когда
> уже есть рут-доступ.

С какой конкретно целью Вы пытаетесь произвести подмену предмета обсуждения в ветке, где обсуждается эксплуатация механизма LD_PRELOAD?

Ответить | Правка | Наверх | Cообщить модератору

87. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 15:58 
Если есть рут доступ, можно подменить (вызовы) glibc своим "механизмом LD_PRELOAD" и другими "механизмами". Ты уже в скомпрометированной системе, это уже не твои "механизмы".
Ответить | Правка | Наверх | Cообщить модератору

92. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 16:16 
То есть цель озвучить не можете, но хотите пофлудить о сферическом коне в вакууме.

Аноним в №20 на чистой машине подписал исполняемые файлы. Ключ не нашли. Какие аргументы надо задать команде dd, что бы "подменить механизм"?

Ответить | Правка | Наверх | Cообщить модератору

94. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 16:33 
> Аноним в №20

Продолжай скакать с ветки на ветку, обвиняя "Вы пытаетесь произвести подмену предмета обсуждения"

> подписал исполняемые файлы на чистой машине.

Нет, он подписал на другой машине/системе - внесистемное решение. При этом ничего не сказано про чистоту этих систем. И да, "подпись - это не безопасность, а бюрократия", как уже было сказано в обсуждении другой новости. Подписать можно и руткит.

Ответить | Правка | Наверх | Cообщить модератору

130. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 10:20 
> Нет, он подписал на другой машине/системе - внесистемное решение.

Зер гуд, Вольдемар. Я, я, дас штиммт! Тебе полагается тёплый суп.

Ответить | Правка | Наверх | Cообщить модератору

110. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Michael Shigorinemail (ok), 10-Июн-22, 21:23 
> ПЕРСОНАЛЬНО и ИНТЕРАКТИВНО спрашивающий

Может, ещё книжку для укладки на энтер услужливо подсовывающий?

Торвальдс не обидится, поскольку не прочёт -- а вот Даннинг с Крюгером где-то ехидно ухмыляются...

Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

90. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (90), 10-Июн-22, 16:01 
Да, позволяют.

Это ты смотрю не шибко понимаешь что такое разделяемые библиотеки.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

93. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 16:20 
Чего мне понимать - в новости подробно описана "разделяемая библиотека":

скрывают связанную с бэкдором активность
исключают отдельные элементы в списке процессов
блокируют доступ к определённым файлам в /proc
скрывают файлы в каталогах
исключают вредоносную разделяемую библиотеку в выводе ldd
не показывают связанные с вредоносной активностью сетевые сокеты.

Видите такого суслика у себя? Нет. А он есть.

Ответить | Правка | Наверх | Cообщить модератору

101. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (-), 10-Июн-22, 18:35 
> "Разделяемые библиотеки позволяют быстро исправлять ошибки" - говорили они,

А таки позволяют. И еще обеспечивают code reuse. Мсье вероятно фанат игогошных бинарников с хелловорлдом весом 6 мегабайтов. Без динамических либ это получается как-то так.

p.s. а LF_PRELOAD таки довольно легко палится вещами типа "ps wwwaxe", так что руткит воображение не поражает.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

111. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Michael Shigorinemail (ok), 10-Июн-22, 21:24 
> p.s. а LF_PRELOAD таки довольно легко палится вещами типа "ps wwwaxe"

Некоторые, кстати, троянят procps, но не psmisc...

Ответить | Правка | Наверх | Cообщить модератору

142. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 12:14 
Это они не открыли Бритву Оккама - не надо прятать то, чего нет. Есть же ещё один хороший удобный механизм - DKMS.
Ответить | Правка | Наверх | Cообщить модератору

132. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от n00by (ok), 11-Июн-22, 10:26 
>> "Разделяемые библиотеки позволяют быстро исправлять ошибки" - говорили они,
> А таки позволяют. И еще обеспечивают code reuse. Мсье вероятно фанат игогошных
> бинарников с хелловорлдом весом 6 мегабайтов. Без динамических либ это получается
> как-то так.

Мсье, очевидно, теоретик. У меня на Си++ std::cout << "хелловорлд"; получался в 25 кб.

> p.s. а LF_PRELOAD таки довольно легко палится вещами типа "ps wwwaxe", так
> что руткит воображение не поражает.

Воображение поражает - что LF_PRELOAD это уровень ЧаВо на хеккерном форуме, оно работает, а эксперты зарывают голову в землю, подобно страусам.

Ответить | Правка | К родителю #101 | Наверх | Cообщить модератору

156. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 17:09 
> У меня на Си++ std::cout << "хелловорлд"; получался в 25 кб.

ldd покажешь?

Ответить | Правка | Наверх | Cообщить модератору

159. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 18:54 
Она не понимает PE/COFF.
Ответить | Правка | Наверх | Cообщить модератору

162. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 19:12 
> Она не понимает PE/COFF.

В тему.

Ответить | Правка | Наверх | Cообщить модератору

165. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 19:20 
>> Она не понимает PE/COFF.
> В тему.

Ещё бы. Ведь это _у_тебя_ исполняемый файл 6 гигабайт и масса руткитов закрепляется штатным методом, будто бы так и надо, поэтому я клятый виндузятник. =) Ты думаешь, что я в Линуксе так не смогу сделать? Потому что сам не можешь.

Ответить | Правка | Наверх | Cообщить модератору

170. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 20:01 
Ты не виляй хвостом, показывай импорты и экспорты или как у там у вас оффтопщиков это называется. Можешь даже скриншотом, если с утилитами командной строки не справишься.
Ответить | Правка | Наверх | Cообщить модератору

189. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 12-Июн-22, 12:12 
Зачем я буду что-то тебе показывать? У меня нет давно Венды как и того экзешника, искать компилятор долго и лениво. Там в импорте должно быть WriteConsoleW() плюс пара функций из ntdll, всё это возможно адаптировать на сисколы Линукса. Ты не веришь людям, поскольку судишь по себе.
Ответить | Правка | Наверх | Cообщить модератору

193. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (146), 12-Июн-22, 12:48 
> Там в импорте должно быть WriteConsoleW()

Может ты сперва напишешь "привет мир" используя именно `std::cout`, потом будешь рассказывать кто кому что должен и не должен? Для справки `std::cout` - это экземпляр виртуального класса `std::ostream`.

Я бы еще понял, если бы был `printf`, вызов которого некоторые компиляторы в последнее время научились оптимизировать до вызова `puts`.

Ответить | Правка | Наверх | Cообщить модератору

194. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 12-Июн-22, 13:17 
>> Там в импорте должно быть WriteConsoleW()
> Может ты сперва напишешь "привет мир" используя именно `std::cout`, потом будешь рассказывать
> кто кому что должен и не должен?

Может ты внимательно прочтёшь №132?

"У меня на Си++ std::cout << "хелловорлд"; получался в 25 кб."

> Для справки `std::cout` -
> это экземпляр виртуального класса `std::ostream`.

Я это знаю. Даже реализацию всех классов по иерархии немножко знаю - в том числе я её и писал.

> Я бы еще понял, если бы был `printf`, вызов которого некоторые компиляторы
> в последнее время научились оптимизировать до вызова `puts`.

Это называется не "понял", а "эффект Даннинга-Крюгера".

Ответить | Правка | Наверх | Cообщить модератору

195. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (146), 12-Июн-22, 13:37 
Типичный оффтопщик, который пришел в тему про linux, и понтуется, что читал оффтопных авторитетов и нам советует.

Пришел, набросил, и забыл свой наброс. и продолжает набрасывать.

Ответить | Правка | Наверх | Cообщить модератору

197. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 12-Июн-22, 14:42 
Рекомендую тебе вести себя крайне осторожно, особенно с оценками, пока ты не осознаешь происходящее. У тебя сейчас порван шаблон.
Ответить | Правка | Наверх | Cообщить модератору

198. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (146), 12-Июн-22, 15:41 
> эффект Даннинга-Крюгера
> Рекомендую тебе вести себя крайне осторожно, особенно с оценками

Оценщик об оценках. Держишь уровень.

Ответить | Правка | К родителю #197 | Наверх | Cообщить модератору

208. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 13-Июн-22, 08:21 
Напоминаю, в №101 ты описал свой маня-мирок, в котором "хелловорлд весит 6 мегабайтов".
В реальном мире такое - при использовании статического связывания со стандартной библиотекой Си++ - весит существенно меньше сотни килобайт. Если убрать от "Си" "плюсы", окажется ещё меньше.

Я тебе больше скажу: в твоём маня-мирке тормозят "жирные смузи-жавасткрипты", а на деле загрузка на каждый чих ненужной библиотеки за 20 лет разогрела Землю на один градус.

Ответить | Правка | К родителю #198 | Наверх | Cообщить модератору

210. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (146), 13-Июн-22, 09:09 
> В реальном мире такое - при использовании статического связывания со стандартной библиотекой Си++ - весит существенно меньше сотни килобайт.

Ты, давай, показывай свой "привет" с использованием `#include <iostream>`, который "существенно меньше сотни килобайт" без "разделяемых библиотек, которые позволяют быстро исправлять ошибки".

> в твоём маня-мирке

Оценщик об оценках

Ответить | Правка | К родителю #208 | Наверх | Cообщить модератору

212. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 13-Июн-22, 09:38 
>> В реальном мире такое - при использовании статического связывания со стандартной библиотекой Си++ - весит существенно меньше сотни килобайт.
> Ты, давай, показывай свой "привет" с использованием `#include <iostream>`, который "существенно
> меньше сотни килобайт" без "разделяемых библиотек, которые позволяют быстро исправлять
> ошибки".

Ты мог бы уже сам найти, если бы умел немножко покликать мышкой и читать исходники.

Но мне интересно, что ты сейчас скажешь вот на это https://code.google.com/archive/p/ontl/wikis/HelloWorld.wiki

1. Гугль побил форматирование?
2. Это не то!
3. Клятый виндузятник!
4. ...

>> в твоём маня-мирке
> Оценщик об оценках

"а нас то за шо?" (ц)

Ответить | Правка | К родителю #210 | Наверх | Cообщить модератору

213. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (146), 13-Июн-22, 10:40 
> со стандартной библиотекой Си++
> ontl

Это `std` или поделка "студента", который залез в `namespace std`?

> Клятый виндузятник!

Разве это не так? Ты не дал ни одного своего примера для linux.

Ответить | Правка | К родителю #212 | Наверх | Cообщить модератору

214. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 13-Июн-22, 11:20 
>> со стандартной библиотекой Си++
>> ontl
> Это `std` или поделка "студента", который залез в `namespace std`?

Почему ты решил, что я буду объяснять тебе, что такое стандартная библиотека Си++? Пока я вижу в "диалоге" фанатика, который не способен найти и прочесть исходники. У тебя нет даже имени.

>> Клятый виндузятник!
> Разве это не так? Ты не дал ни одного своего примера для
> linux.

Кому? И зачем? Ты там что-то хотел подписать, но сдулся и поэтому принялся тупо флудить.

Ответить | Правка | К родителю #213 | Наверх | Cообщить модератору

215. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (146), 13-Июн-22, 11:31 
> Почему ты решил, что я буду объяснять тебе, что такое стандартная библиотека Си++?

Потому что ты не знаешь, что такое "стандартная библиотека Си++".

Нельзя залезать в `namespace std` - это UB. Надеюсь автор ontl это знает. Также я не разобрал все ключи вызова cl, но `/GR-` нагуглил - это отключение rtti, это тоже мимо стандартной библиотеки с++, это не с++

Держишь уровень.

Ответить | Правка | К родителю #214 | Наверх | Cообщить модератору

216. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 13-Июн-22, 13:19 
>> Почему ты решил, что я буду объяснять тебе, что такое стандартная библиотека Си++?
> Потому что ты не знаешь, что такое "стандартная библиотека Си++".

Что бы я начал что-то тебе объяснять, тебе следует меня заинтересовать. Вот сейчас я читаю про тоталитарные секты, очень интересно наблюдать, как третий день неизвестно кто хочет доказать мне непонятно что.

Если бы ты представился как, например, Степанов, я бы твою оценку принял во внимание, а пока...

> Нельзя залезать в `namespace std` - это UB.

Пока ты не смог дать релевантную цитату стандарта и как либо связать данное заявление с вышеприведённым примером.

> Надеюсь автор ontl это
> знает. Также я не разобрал все ключи вызова cl, но `/GR-`
> нагуглил - это отключение rtti, это тоже мимо стандартной библиотеки с++,
> это не с++

Пока ты показал, что не готов говорить о conforming implementation. Если для тебя /GR- - критерий, значит у Микрософт нет стандартной библиотеки. Похоже, ты всеми силами пытаешься склеить шаблон, но от твоего мнения объективная возможность получить для std::cout <<"привет"; исполняемый файл в 25 кб не исчезнет.

> Держишь уровень.

Что бы тебя зеркалить, надобно в некоторой мере соответствовать.

Ответить | Правка | К родителю #215 | Наверх | Cообщить модератору

217. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Анонин (?), 13-Июн-22, 13:54 
https://eel.is/c++draft/namespace.std#1

> Unless otherwise specified, the behavior of a C++ program is undefined if it adds declarations or definitions to namespace std or to a namespace within namespace std.

На остальное, подтверждающее уровень, отвечать не буду

Ответить | Правка | К родителю #216 | Наверх | Cообщить модератору

219. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 13-Июн-22, 15:25 
> https://eel.is/c++draft/namespace.std#1
>> Unless otherwise specified, the behavior of a C++ program is undefined if it adds declarations or definitions to namespace std or to a namespace within namespace std.
> На остальное, подтверждающее уровень, отвечать не буду

Потому что ты за свои слова отвечать не способен в принципе, как уже было с "подпишу". На всякий случай понадеюсь, что у тебя от перевозбуждения на слово "секта" возникла когнитивная слепота, и повторю:

"Пока ты не смог ... и как либо связать данное заявление с вышеприведённым примером."

Ответить | Правка | К родителю #217 | Наверх | Cообщить модератору

231. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 15-Июн-22, 11:38 
Кстати, ты заметил, что ответил как Анонин - с "н" на конце? Мне интересно, это ты осознанно сделал, или "случайно" в процессе спора с объективной реальностью.
Ответить | Правка | К родителю #215 | Наверх | Cообщить модератору

2. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +5 +/
Сообщение от n00by (ok), 10-Июн-22, 08:47 
Вот это в мире ненавистной Венды называется "нубкит" (поскольку там перехват системных вызовов в пространстве пользователя требует модификацию кода, что является источником ошибок). А в Linux - вполне грамотное решение, соответствующее архитектуре ОС.
Ответить | Правка | Наверх | Cообщить модератору

31. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (28), 10-Июн-22, 11:34 
>подменяет некоторые вызовы стандартной библиотеки

А не системные вызовы.

Ответить | Правка | Наверх | Cообщить модератору

40. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +2 +/
Сообщение от n00by (ok), 10-Июн-22, 11:49 
Надысь тут один специалист по Венде спрашивал, что такое "подсистема Win32". Так вот, там системный вызов "открытие файла" делается не командой int 2Eh, как могло бы показаться из лингвистической кальки с syscall или sysenter, а по условной цепочке kernel32.dll -> ntdll.dll -> SSDT в ntoskrnl.exe (это очень похоже на WinE, если не считать ядро).

И перехватываться может в любом её месте. Если кто-то пропатчил SSDT - это уже не нубкит.

При этом kernel32.dll и ntdll.dll - это стандартные библиотеки.

Ответить | Правка | Наверх | Cообщить модератору

41. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +2 +/
Сообщение от Big Robert TheTables (?), 10-Июн-22, 11:57 
диэлэл-хайджакин это называется в венде.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

89. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –1 +/
Сообщение от Аноним (90), 10-Июн-22, 16:00 
А кого интересует мир венды в котором ничерта толком не работает. А дизайн с дефолтной темой вообще взрыв мозга. Белые рамки окон на белом фоне других окон. Это звиздец больным надо быть.

Про то что этим гауном зависающим всё при компиляции на всех ядрах вообще пользоваться нельзя.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

91. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 16:03 
Да что там окна, попробуйте хотя бы инъекцию dll по Рихтеру сделать, что бы скрыть заражение системы... а тут сразу красивый механизм, ОС для программистов же.
Ответить | Правка | Наверх | Cообщить модератору

116. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 23:06 
> Да что там окна, попробуйте хотя бы инъекцию dll по Рихтеру сделать,
> что бы скрыть заражение системы... а тут сразу красивый механизм, ОС
> для программистов же.

У винды есть и некий почти полный эквивалент LD_PRELOAD через реестр вроде. Хотя могу и прогнать, давно интересовался.

Ответить | Правка | Наверх | Cообщить модератору

133. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 10:34 
Там в реестре наверняка много всякого интересного, и даже тело трояна можно найти. Насколько понимаю, злоупотребление эквивалентом им немножко надоело: Starting in Windows 8, the AppInit_DLLs infrastructure is disabled when secure boot is enabled. https://docs.microsoft.com/en-us/windows/win32/dlls/secure-b...
Ответить | Правка | Наверх | Cообщить модератору

173. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 20:25 
> Там в реестре наверняка много всякого интересного, и даже тело трояна можно найти.

Ну вот сколько я себя помню, в винде всегда было более 9000 способов налететь на грабли. Для меня винды - слишком сложная, мутная, проприетарная и в целом недружественная система. Я не пользуюсь этим - и никогда не буду уже, имхо.

> https://docs.microsoft.com/en-us/windows/win32/dlls/secure-b...

У меня винды нет, мне честно говоря ортогонально. Но я не удивлюсь если окажется еще 20 способов приколоться, половина всеми забытые с времен какого-нибудь Win3.x небось.

Во всяком случае в свое время я смог в винде делать стелс-процессы которые тупо не видно в менеджере задач. Заметь, без руткитов - просто абибосом штатного лоадера странными извратами с форматом файлов и необычным запуском. Черт знает чем оно меня считало, вероятно или еще не запущенным или уже завершенным процессом, в то время как код по факту работает - только не приписан ни к чему, во всяком случае, в штатном таскменеджере его просто нет.

Поскольку я не малварщик я лишь развел пару знакомых админов которые долго чесали репу как это вообще в таком виде возможно. Линукс кстати подобными методами развести не удалось, хоть в процессе я и научился похожие "странные гибриды". Но там что бы я ни делал, задача всегда засчитывается и так чтобы ее совсем не было в типовых списках без вот именно хака - так вроде не бывает.

Ответить | Правка | Наверх | Cообщить модератору

190. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 12-Июн-22, 12:34 
> Во всяком случае в свое время я смог в винде делать стелс-процессы
> которые тупо не видно в менеджере задач. Заметь, без руткитов -
> просто абибосом штатного лоадера странными извратами с форматом файлов и необычным
> запуском. Черт знает чем оно меня считало, вероятно или еще не
> запущенным или уже завершенным процессом, в то время как код по
> факту работает - только не приписан ни к чему, во всяком
> случае, в штатном таскменеджере его просто нет.

Вот именно, что чёрт знает. Тут стоит читать не Хоглунда, а начинать с Рихтера, или кто там объясняет, что процесс - это такой объект ядра. Со всеми вытекающими.

Ответить | Правка | Наверх | Cообщить модератору

96. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +3 +/
Сообщение от Аноним (96), 10-Июн-22, 17:20 
Цвет рамок окон, конечно, имеет прямейшее отношение к дискуссии.
Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

122. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 00:58 
>  А дизайн с дефолтной темой вообще взрыв мозга. Белые рамки окон на белом фоне других окон. Это звиздец больным надо быть

Поставь себе третьегном, не мучайся

Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

227. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (227), 14-Июн-22, 17:03 
Так и не поймешь, трололо или фанбой из 90х
Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

3. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –3 +/
Сообщение от Аноним (3), 10-Июн-22, 08:48 
Дальше будет только хуже :(
Ответить | Правка | Наверх | Cообщить модератору

7. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +6 +/
Сообщение от Аноним (7), 10-Июн-22, 08:55 
А ссылка на исходники где?
Ответить | Правка | Наверх | Cообщить модератору

67. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +6 +/
Сообщение от Адмирал Майкл Роджерс (?), 10-Июн-22, 13:12 
Насколько я могу помнить, исходные коды подобного программного обеспечения, как правило, имеют гриф "Для служебного пользования" или более строгий.
Ответить | Правка | Наверх | Cообщить модератору

8. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +2 +/
Сообщение от Аноним (8), 10-Июн-22, 09:41 
когда мамкины хакепы полностью освоят ebpf, тогда линукс будет дырявее винды
Ответить | Правка | Наверх | Cообщить модератору

34. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +2 +/
Сообщение от Аноним (28), 10-Июн-22, 11:38 
Но для пользования eDPF у нормальных пацанов нужен root. А если есть root, то и eBPF не особо нужен. Можно и свой собственный модуль ядра подгрузить, как и раньше делалось.
Ответить | Правка | Наверх | Cообщить модератору

106. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 18:45 
Ага, только у приличных людей там ща подписи на модули навешены. И тебе еще ключ потребуется, мой или дистровский. Где ж ты его возьмешь, ксакеп?
Ответить | Правка | Наверх | Cообщить модератору

178. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (178), 11-Июн-22, 23:19 
Далеко у всех приличных людей? Подписывать модули это уже почти ракетная наука.
Ответить | Правка | Наверх | Cообщить модератору

182. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 12-Июн-22, 03:29 
> Далеко у всех приличных людей? Подписывать модули это уже почти ракетная наука.

Эта ракетная наука для стоковых модулей вообше билдсистемой кернела ворочается совсем без напрягов с моей стороны. А сторонние модули подписывать так то довольно исключительная ситуация, хорошо что она очень явно и отдельно делается, гарантирует что случайно черти-что врядли пролезет. А какой смысл в подписях если их лепить на любой мутный трэш? Ну вон майковскими ключами подписана часть малвари, а отзывать ключи не будем дескать - у легитимных юзеров загрузка системы сломается!!!111 Оно мне в таком виде надо? Пусть майки такую безопасТность своим виндохомчкам впаривают :)

Ответить | Правка | Наверх | Cообщить модератору

205. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Neon (??), 13-Июн-22, 03:48 
А кто будет проверять подписантам ? Или джентльменам принято верить на слово ?
Ответить | Правка | К родителю #106 | Наверх | Cообщить модератору

88. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (90), 10-Июн-22, 15:58 
Не будет. Дырявее и корявее венды уже не будет ничего.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

124. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +4 +/
Сообщение от Аноним (-), 11-Июн-22, 01:53 
Дырка номер 100500 в линупce, но плохая все равно винда. Чотаржу
Ответить | Правка | Наверх | Cообщить модератору

179. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –2 +/
Сообщение от Аноним (178), 11-Июн-22, 23:20 
Ты ещё далеко не все вендовые пересчитал.
Ответить | Правка | Наверх | Cообщить модератору

184. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от InuYasha (??), 12-Июн-22, 11:04 
В винде не дыры, а отверстия!
Ответить | Правка | Наверх | Cообщить модератору

9. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +2 +/
Сообщение от EuPhobos (ok), 10-Июн-22, 09:49 
Еще никогда <s>Штирлиц</s> товарищ майор не был так близко к провалу (с)
Ответить | Правка | Наверх | Cообщить модератору

11. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +3 +/
Сообщение от Аноним (11), 10-Июн-22, 10:20 
> Для установки Simbiote в систему атакующий должен иметь root-доступ

Офигенный вирус. Реквестирую сырцы под копилефт лицензией.

Ответить | Правка | Наверх | Cообщить модератору

17. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (38), 10-Июн-22, 10:40 
"... root-доступ, который может быть получен, например, в результате эксплуатации неисправленных уязвимостей или утечки учётных записей".
Ответить | Правка | Наверх | Cообщить модератору

71. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +4 +/
Сообщение от Аноним (71), 10-Июн-22, 13:36 
уже ничего особенного, дыры типа как в polkit
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

18. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (18), 10-Июн-22, 10:49 
>Simbiote также позволяет обойти некоторые анализаторы активности в файловой системе, так как кража конфиденциальных данных может осуществляться не на уровне открытия файлов, а через перехват операций чтения из этих файлов в легитимных приложениях (например, подмена библиотечных функций позволяет перехватить ввод пользователем пароля или загружаемые из файла данные с ключом доступа).

Оригинально.

Ответить | Правка | Наверх | Cообщить модератору

33. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +3 +/
Сообщение от Аноним (33), 10-Июн-22, 11:38 
> Вредоносное ПО было выявлено на системах финансовых учреждений ряда стран Латинской Америки.

Интересно, кто бы мог это написать и для чего ещё оно используется? 🤔

Ответить | Правка | Наверх | Cообщить модератору

37. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –1 +/
Сообщение от Аноним (28), 10-Июн-22, 11:42 
След русских хакеров :)
Ответить | Правка | Наверх | Cообщить модератору

44. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (-), 10-Июн-22, 11:58 
Нанятых бразильским центробанком по поручению спецслужб.
Ответить | Правка | Наверх | Cообщить модератору

64. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +2 +/
Сообщение от Аноним (64), 10-Июн-22, 13:09 
NSA, for example.
Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

39. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +2 +/
Сообщение от Аноним (28), 10-Июн-22, 11:44 
Так Simbiote или Symbiote?
Ответить | Правка | Наверх | Cообщить модератору

51. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (51), 10-Июн-22, 12:18 
Где скачать?

// b.

Ответить | Правка | Наверх | Cообщить модератору

113. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Michael Shigorinemail (ok), 10-Июн-22, 21:28 
> Где скачать?
> // b.

У себя в ЛА-банке, очевидно.

Ответить | Правка | Наверх | Cообщить модератору

57. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аристарх (??), 10-Июн-22, 12:46 
"...например, исключают отдельные элементы в списке процессов" - вот почему бараноЛинукс - не "нечаянная революция", а "чаянная безалаберность" троечника Трольвадса!

В системе ВСЕГДА должен быть отдельный "нерушимый", незаменяемый API для таких дел, где системщик может со 100% уверенностью сказать, что именно и откуда загружено в системе.

Ответить | Правка | Наверх | Cообщить модератору

65. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (65), 10-Июн-22, 13:09 
Да, как грамотный подход в BSD.
Ответить | Правка | Наверх | Cообщить модератору

121. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (-), 11-Июн-22, 00:40 
> Да, как грамотный подход в BSD.

Он обычно оказывается не от мира сего. И единственная причина по которой джо неуловим - он всем похрен. А когда все же каким-то чудом не похрен, случается как в рассылке опенбсд с виртуалками.

Ответить | Правка | Наверх | Cообщить модератору

97. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +3 +/
Сообщение от Аноним (96), 10-Июн-22, 17:23 
Пока кто-то не встроил свой фильтр в этот API и не оказалось, что системщик получает данные, но просто не все.
Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

114. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 10-Июн-22, 21:31 
> троечника Трольвадса!

Вы так и будете старательно доказывать, что лично Вам не натянуть даже кол?

(нет, можете, конечно, представить опровержение в виде доказательства концепции хотя бы в псевдокоде для псевдожелеза -- не забыв указать, что именно должно уметь псевдожелезо -- но сдаётся мне, что, конечно, не можете)

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

118. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (-), 10-Июн-22, 23:13 
> В системе ВСЕГДА должен быть отдельный "нерушимый", незаменяемый API для таких дел,
> где системщик может со 100% уверенностью сказать, что именно и откуда
> загружено в системе.

И каждый первый хацкер будет пытаться это апи перехватить. Потому что нерушимый софт это прикольно конечно, но 100% уверенность в этом может испытывать только полный профан.

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

206. Скрыто модератором  –1 +/
Сообщение от Neon (??), 13-Июн-22, 03:50 
Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

211. Скрыто модератором  +/
Сообщение от hefenud (ok), 13-Июн-22, 09:26 
Ответить | Правка | Наверх | Cообщить модератору

58. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +3 +/
Сообщение от Онаним (?), 10-Июн-22, 12:48 
А вот и встроенный бэкдор ёBPF снова пригодился.
Ответить | Правка | Наверх | Cообщить модератору

59. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +6 +/
Сообщение от Онаним (?), 10-Июн-22, 12:49 
Основной плюс ёBPF в том, что теперь бэкдоры могут одинаково хорошо работать на всех ядрах, даже модуль собирать не надо :D
Ответить | Правка | Наверх | Cообщить модератору

95. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +4 +/
Сообщение от solardiz (ok), 10-Июн-22, 16:53 
Вне контекста верно, но как я понимаю к данному бекдору не относится - в новости здесь он описан ошибочно (отправил модераторам правку, но что-то она никак не появится). Этот бекдор лишь пассивно (то есть в ответ на событие) добавляет свой BPF-код в начало загружаемых анализаторами трафика BPF-программ (если кто-то такой анализатор запустит). Сам же бекдор активно (то есть как инициатор действия) (e)BPF не использует и никакой (e)BPF-программы по своей инициативе не загружает.
Ответить | Правка | Наверх | Cообщить модератору

108. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +2 +/
Сообщение от Аноним (-), 10-Июн-22, 21:06 
То есть эта штука еще и патчер eBFP программ? А вот это уже креативно, LD_PRELOAD так то сам по себе баян.
Ответить | Правка | Наверх | Cообщить модератору

115. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +2 +/
Сообщение от Michael Shigorinemail (ok), 10-Июн-22, 21:33 
> (отправил модераторам правку, но что-то она никак не появится)

Спасибо!

"и подстановка дополнительного кода в загружаемые в ядро BPF-программы" -- это уже Ваш текст?

Ответить | Правка | К родителю #95 | Наверх | Cообщить модератору

119. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от solardiz (ok), 11-Июн-22, 00:28 
Да. Спасибо. И можно на ты.
Ответить | Правка | Наверх | Cообщить модератору

68. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от YetAnotherOnanym (ok), 10-Июн-22, 13:14 
Развесистая штуковина. Походу, толковые ребята писали.
Ответить | Правка | Наверх | Cообщить модератору

80. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +2 +/
Сообщение от anonymous (??), 10-Июн-22, 15:03 
Вы про eBPF?
Ответить | Правка | Наверх | Cообщить модератору

76. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним12345 (?), 10-Июн-22, 13:53 
хакеры не спят
Ответить | Правка | Наверх | Cообщить модератору

79. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +2 +/
Сообщение от гоквч (?), 10-Июн-22, 14:44 
Хакер и солонка
Ответить | Правка | Наверх | Cообщить модератору

84. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (84), 10-Июн-22, 15:34 
почему никто ещё не задумался отчего такой путь обнаружен пока только в фин.учреждениях латинских стран? кто больше всех заинтересован в получении информации и контроля над системами в данном регионе?
Ответить | Правка | Наверх | Cообщить модератору

143. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от mos87 (ok), 11-Июн-22, 12:21 
жырно шо аж Михоил не стал клевать
Ответить | Правка | Наверх | Cообщить модератору

112. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Andy (??), 10-Июн-22, 21:26 
Как такую срань найти ?
Ответить | Правка | Наверх | Cообщить модератору

117. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 23:09 
> Как такую срань найти ?

Для начала зазырить переменные окружения любым известным вам способом и если там LD_PRELOAD, и это не вы прописали - у вас, скорее всего, какая-то пакость.

Ответить | Правка | Наверх | Cообщить модератору

135. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от n00by (ok), 11-Июн-22, 10:47 
Тут лучше не любым известным, а загрузив чистую систему с внешнего накопителя.
Ответить | Правка | Наверх | Cообщить модератору

149. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Andy (??), 11-Июн-22, 15:03 
Дык при загрузке с флешки LD_Preload будет с флешки
А смотреть на всхаченной системе - так там и окружение можно подправить ;)
Ответить | Правка | Наверх | Cообщить модератору

150. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 15:52 
> Дык при загрузке с флешки LD_Preload будет с флешки

В чистой системе?

Ответить | Правка | Наверх | Cообщить модератору

154. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от швондер (?), 11-Июн-22, 16:57 
Как вариант, запустить что-либо с LD_PRELOAD и убедиться в том, что свой LD_PRELOAD виден у запущенного процесса. Но опять же - возможна чистка только определенной вгружаемой библиотечки. Поэтому ваш LD_PRELOAD будет отображаться в /proc/pid/environ, искомый нет. Подключившись к процессу с gdb возможно чтение environ в первом фрейме. Но вообще переменная environ может быть недостоверна - её тоже вполне по силам чистить.

Далее, вгруженная библиотека должна быть видна в /proc/пид/maps - с теми же соображениями о степени доверия к результатам любого чтения.
Таким образом, надо убедиться в первую очередь в том, что чтение не подменено. Это можно пробовать сделать через сравнение числа потраченных инструкций цпу - время выполнения - на заведомо чистой и целевой системах. выполнять  perf record/stat и опираться на счетчик выполненных инструкций.

Ответить | Правка | К родителю #149 | Наверх | Cообщить модератору

192. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 12-Июн-22, 12:47 
Руткит фильтрует чтение из /proc/пид/maps
По поводу детекта замером времени исполнения - это может сработать в общем случае с майнером. При чтении /proc/пид/maps будет два переключения контекста и сколько кода выполняться в ядре? Это к вопросу о погрешности измерений. Фильтация, насколько понимаю, это несколько машинных инструкций в цикле.
Ответить | Правка | Наверх | Cообщить модератору

199. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от швондер (?), 12-Июн-22, 16:40 
> Руткит фильтрует чтение из /proc/пид/maps
> По поводу детекта замером времени исполнения - это может сработать в общем
> случае с майнером. При чтении /proc/пид/maps будет два переключения контекста и
> сколько кода выполняться в ядре? Это к вопросу о погрешности измерений.
> Фильтация, насколько понимаю, это несколько машинных инструкций в цикле.

у вас неверное понимание.

Ответить | Правка | Наверх | Cообщить модератору

207. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от n00by (ok), 13-Июн-22, 08:10 
Я так полагаю, Вы где-то уже апробировали предлагаемую методику, раз такое заявляете. В таком случае хотелось бы ознакомиться с какими-то подробностями, что бы понять, что именно и насколько неверно я понимаю.
Ответить | Правка | Наверх | Cообщить модератору

235. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 16-Июн-22, 08:15 
>  Таким образом, надо убедиться в первую очередь в том, что чтение
> не подменено. Это можно пробовать сделать через сравнение числа потраченных инструкций
> цпу - время выполнения - на заведомо чистой и целевой системах.
> выполнять  perf record/stat и опираться на счетчик выполненных инструкций.

Поскольку не последовало внятного объяснения, как предполагается обеспечить достаточную точность измерений, внесу некоторую ясность. Выше предлагается вариант обнаружения по косвенным признакам. Обычно (RkU, Gmer, AVZ и т.п.) вместо этого производили сканирование памяти, искали факт подмены инструкций. Грубо говоря, реализовывался некий аналог системного загрузчика: читали исполняемые файлы с накопителя, но вместо копирования в ОЗУ производили сравнение. Такой метод помимо обнаружения позволял снять хуки (перехват). Однако, руткиты противодействовали - подменяли содержимое чистых файлов при чтении. Варианты с измерением времени обсуждались, но о рабочих реализациях мне не известно, если не считать вариантов с контролем указателя инструкций в планировщике.

Ответить | Правка | К родителю #154 | Наверх | Cообщить модератору

134. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от n00by (ok), 11-Июн-22, 10:44 
Классический способ по мотивам RootkitRevealer Руссиновича: пишем приложение, которое получает список загруженных библиотек. На Си. Собираем в двух вариантах: обычная линковка и статическая без внешних библиотек вообще (т.е. и без загрузчика). Получаем два списка. Сравниваем. Имеем ввиду, что ядерные руткиты так не детектируются.
Ответить | Правка | К родителю #112 | Наверх | Cообщить модератору

174. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 20:35 
> Классический способ по мотивам RootkitRevealer Руссиновича: пишем приложение, которое
> получает список загруженных библиотек. На Си. Собираем в двух вариантах: обычная
> линковка и статическая без внешних библиотек вообще (т.е. и без загрузчика).
> Получаем два списка. Сравниваем. Имеем ввиду, что ядерные руткиты так не
> детектируются.

Еще можно врубить мозг - и черт с ним с русиновичем - у нас тут линукс же. Читаем ман на execve и кто такой env по факту. Пишем тупую как дрова программу печатающую свой env, который структурно что-то типа argv[] по смыслу. Т.е. просто регион в памяти, его печать не требует сисколов вообще, перехватывать так то нечего. И вот это очень на руку.

А в чем пойнт? Даже если руткитчик попортит вывод ps и проч, если он глобально себя всем впихивает - пропатчить кус памяти с env, да еще после запуска программы, когда левая либа нам уже вгрузилась, но мы еще не получили инициативу (довольно узкое окно возможностей) не то чтобы невозможно, но технически довольно неудобно, не совсем очевидно и есть шанс что руткитчик про это тупо забыл или в силу возни забил. Конечно это не панацея, но чем более неожиданный фокус мы сделаем, тем менее вероятно что у руткита там "все схвачено".

Ответить | Правка | Наверх | Cообщить модератору

191. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 12-Июн-22, 12:45 
> печать не требует сисколов вообще

К каким ножкам процессора подпаиваем принтер?

Ответить | Правка | Наверх | Cообщить модератору

232. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (232), 15-Июн-22, 15:15 
1. Подписываешь чистые бинари и библиотеки.

2. Запускаешь:
tail -f /var/log/....log

3. Делаешь:
echo 'appraise func=MMAP_CHECK mask=MAY_EXEC' >> '/proc/sys/kernel/security/ima/policy'

4. Ищешь в логах аудита.

А чтобы ее вообще не было надо / держать в режиме только для чтения.

Ответить | Правка | К родителю #112 | Наверх | Cообщить модератору

233. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 15-Июн-22, 15:46 
> А чтобы ее вообще не было надо / держать в режиме только
> для чтения.

Это всего лишь вопрос времени, когда руткиты начнут писать на накопитель в обход драйвера ФС.

Ответить | Правка | Наверх | Cообщить модератору

236. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (236), 23-Июн-22, 19:28 
А мы не только ФС в режиме только для чтения держим, но и само блочное устройство:

blockdev --setro /dev/sda7

Не анекдот, а правда:

"Мне потеринг когдато говорил, что сыстемдЫ он пишет, чтобы всем удобно было корень держать в режиме только для чтения."

Ответить | Правка | Наверх | Cообщить модератору

237. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 24-Июн-22, 06:48 
И запуск драйверов заблокировали. И изучили накопленный опыт атак на альтернативную ОС. И доказали корректность существующего кода ядра (а что понапишут на Rust - то компилятор "верифицирует").

Вот это тоже не анекдот, а правда: "сама концепция открытого кода подразумевает, что злоумышленник может иметь к нему доступ, и следовательно, сознательно искать и находить уязвимости в нем."

Это пишет к.т.н. в аннотации доклада на osdev. Зачем он пишет про открытый код и про доступ? Не знает про fuzzing и IDA Pro, или для чего?

Ответить | Правка | Наверх | Cообщить модератору

120. "Symbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от srgazh (ok), 11-Июн-22, 00:28 
систему атакующий должен иметь root-доступ -- да уж
Ответить | Правка | Наверх | Cообщить модератору

177. "Symbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (71), 11-Июн-22, 21:33 
рассказать способы, или сам загуглишь новости о многолетних дырах?
Ответить | Правка | Наверх | Cообщить модератору

186. "Symbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +2 +/
Сообщение от InuYasha (??), 12-Июн-22, 11:26 
Расскажи мне. Мне очень нужно 8ой ведроид рутануть.
Ответить | Правка | Наверх | Cообщить модератору

123. "Symbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от pavlinux (ok), 11-Июн-22, 01:09 
> Для установки Symbiote в систему атакующий должен иметь root-доступ

Дальше не читал

Ответить | Правка | Наверх | Cообщить модератору

136. "Symbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –1 +/
Сообщение от n00by (ok), 11-Июн-22, 10:51 
> как только атакующий получил root доступ, следует  ̶р̶а̶з̶д̶в̶и̶н̶  перестать читать.

Зер гуд, Вольдемар!

Ответить | Правка | Наверх | Cообщить модератору

176. "Symbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –1 +/
Сообщение от Аноним (71), 11-Июн-22, 21:32 
> иметь root-доступ

да хоть через дыры в polkit! заиметь сейчас рут - вообще не проблема.

Ответить | Правка | К родителю #123 | Наверх | Cообщить модератору

202. "Symbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от pavlinux (ok), 12-Июн-22, 21:46 
>> иметь root-доступ
> да хоть через дыры в polkit! заиметь сейчас рут - вообще не
> проблема.

3аймей, хyцкep йoпт https://git.kernel.org/

Ответить | Правка | Наверх | Cообщить модератору

126. "Symbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от microsoft (?), 11-Июн-22, 08:16 
Хорошая реклама. Где мне его взять?
Ответить | Правка | Наверх | Cообщить модератору

145. "Symbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 12:35 
У Микрософта же. https://github.com/search?q=LD_PRELOAD+rootkit
Ответить | Правка | Наверх | Cообщить модератору

140. "Symbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от mos87 (ok), 11-Июн-22, 11:44 
неплохо
Ответить | Правка | Наверх | Cообщить модератору

180. "Symbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +5 +/
Сообщение от У меня вопрос (?), 11-Июн-22, 23:59 
Решил поизучать сети. Поставил в Ubuntu анализатор Wireshark.

При первом запуске он выдал сообщение:

> couldn't run /usr/bin/dumpcap in child process: permission denied

В инете посоветовали ввести в консоль:

> sudo chmod +x /usr/bin/dumpcap

Помогло. Но что такое dumpcap? Это что-то системное, или относится только к Wireshark? Почему при установке Wireshark оно автоматом не настраивается на пользователя? Почему надо дополнительно вводить такую команду? Не навредит ли это безопасности?

Ответить | Правка | Наверх | Cообщить модератору

183. "Symbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +5 +/
Сообщение от Аноним (-), 12-Июн-22, 03:39 
> Помогло. Но что такое dumpcap? Это что-то системное, или относится только к Wireshark?

"man dumpcap" не пробовали? Это прога из комплекта wireshark для захвата сетевого трафа :)

> Почему при установке Wireshark оно автоматом не настраивается на пользователя?
> Почему надо дополнительно вводить такую команду? Не навредит ли это безопасности?

Потому что весьма деликатная штука. Видите ли, загребание вообще совсем всего трафика - делает юзера почти богом в системе. В том аспекте что он может перехватывать трафик других юзеров и все такое. В многопользовательской системе по умолчанию такое паскудство как бы не ожидается.

Как я понимаю - у вас теперь вообще любой пользователь может полностью перехватывать сетевой траф. Что довольно так себе с точки зрения безопасности. По изначальной задумке это должен мочь только привилегированый пользователь (root). Но да, пуск wireshark под рутом чреват другим моментом: в случае багов в самом wireshark атакующий в случае чего убедит его что-то левое сделать с правами рута, что тоже так себе.

Технически пакетный менеджер ставит пакеты в контексте рута, и я не уверен что он вообще знает какой именно юзер его пнул чтобы именно ему дать повышенные права. Хотя может быть это и можно. В общем там на самом деле довольно хитрая проблема безопасности.

Ответить | Правка | Наверх | Cообщить модератору

200. "Symbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +4 +/
Сообщение от Аноним (-), 12-Июн-22, 20:45 
А я один юзер в системе, домашний комп. :D
Ответить | Правка | Наверх | Cообщить модератору

218. "Symbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (146), 13-Июн-22, 14:11 
Нет, ты - один из юзеров в системе, который думает, что он - Один или един.
Ответить | Правка | Наверх | Cообщить модератору

222. "Symbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (220), 13-Июн-22, 20:47 
cat /etc/passwd
Ответить | Правка | К родителю #200 | Наверх | Cообщить модератору

224. "Symbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от torvn77 (ok), 14-Июн-22, 02:09 
А почему wireshark dumpcap через sudo не запускает?
Ответить | Правка | К родителю #200 | Наверх | Cообщить модератору

234. "Symbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (-), 15-Июн-22, 23:32 
Не знаю, я не пробовал. Я запускаю Wireshark ярлыком.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру