forum.opennet.ru

Составление сообщения

Исходное сообщение

"Комплекс вредоносного ПО Дроворуб заражает ОС Linux"
Отправлено n00by, 22-Авг-20 10:39

>[оверквотинг удален]
>> в поисках модификаций машинного кода. Содержат дизассемблер, находят в теле (начале)
>> функции команду jmp и сигнализируют о признаках руткита. То есть ищутся
>> признаки известных вариантов хуков. Проблема подхода (как и всякого решения для
>> частных случаев) в том, что следующий руткит вместо jmp ставит условные
>> push addr + ret, и детектор ничего подозрительного не находит.
> Эмм:
> "GMER runs on Windows XP/VISTA/7/8/10"
> Домашнюю страничку RkU мне не удалось найти в гугле, но то что
> я видел наводит на мысль, что это тоже вендософт.
> То есть обе программы совершенно бесполезны против этого древоруба.
Как частные случаи реализации относительно сложного способа они действительно не запустятся на целевой системе, но сам способ вполне рабочий. Про это ты написал https://www.opennet.ru/openforum/vsluhforumID3/121575.html#459 словами "можно задетектить".
>> Скрипт для обнаружения Дроворуба ты можешь написать сам. В отличие от авторов
>> упомянутых детекторов, ты владеешь необходимой теоретической базой (поскольку не раз говорил
>> о валидации кода транслятором Rust; но в данном случае так глубоко
>> копать не надо).
> Может быть и могу, но это не _элементарный_ способ. Этот способ недоступен
> большинству админов систем на *nix.
Элементарный способ ты искать не захотел. Задача именно что для админа и решается, по-моему, 4-мя командами в терминале.
> И тут мы, наконец, можем вернутся к следующему:
>> Якобы некая разведка (не важно, чья) выпустила "продукт", который в момент выполнения второй команды пролога меняет последовательность инструкций на jmp near. Система падает. Атака обнаруживается. Пусть и 1 раз из 1000000, этого достаточно для признания "решения" непригодным. (2) То, что такое "скрытие" элементарно детектируется -- можно даже не рассматривать.
> Как мы выяснили, детектируется неэлементарно. Но интереснее почему ты решил, что "этого
> достаточно для признания "решения" непригодным". Ты читал ГОСТы на разработку вредоносного
> ПО, и там прописаны эти условия? Или ты сам решил, что
> такие решения непригодны? Непригодны для чего?
"1 раз из 1000000" это типичный аргумент применяющих такие хуки. Для остальных он выглядит как "вероятность отлична от нуля".
> Если глянуть с ещё одного ракурса, ты тут имплицитно утверждаешь, что во
> всех этих ЦРУ работают идиоты
Это ты сам почему-то придумал и начал приписывать мне. Идиотами они были бы, если бы _сочинили_ такое описание. Как раз эту гипотезу я и отметаю, считая её абсурдной. На основании чего и делаю вывод: экземпляр у них имеется, они чётко отработали и провели экспертизу. А вот исполнитель "руткита" либо некомпетентен, либо намеренно так написал.
> имплицитно предполагая, что в наших спецслужбах
> работают исключительно высококвалифицированные и высокомотивированные ребята, которые
> могут не слакать и не будут слакать. Но мне кажется, что
> оба этих имплицитных утверждения неверны в корне: там где работает 100+
> человек, обязательно найдутся неквалифицированные и не особо-то мотивированные. С этим
> древорубом я вполне могу представить сценарий, где сверху спустили команду разработать
> червь, и разработчик что-то там выкатил, что хорошо смотрится на презентации
> для высоких чинов (которые вообще ничего в червях не понимают).
Ну, примерно на это я и намекаю.)) Другое дело, что в играх спецслужб заинтересованных сторон больше 2-х. И есть сторона, которая спит и видит, шо Америкаснами и вот-вот победит ахрессора.
> Это
> даже если в каких-то внутренних документах прописано, что детект в 1
> случае из миллиона -- недопустимо. В чём я сильно-сильно сомневаюсь.
Это основы системного программирования и спрашивается на собеседованиях. Не про детект в частности, а про неприемлемость подобных модификаций исполняющегося кода в общем.
> Можно внимательно почитать этот отчёт о древорубе и посмотреть там признаки неквалифицированной
> постановки. Мне лень, если честно, но я не пытаюсь доказать, что
> это не постановка. Я пытаюсь показать тебе, что твои рассуждения все
> не стоят выеденного яйца. Даже несмотря на то, что ты прочитал
> аж целый учебник по ассемблеру.

Исходное сообщение
"Комплекс вредоносного ПО Дроворуб заражает ОС Linux" Отправлено n00by, 22-Авг-20 10:39
>[оверквотинг удален] >> в поисках модификаций машинного кода. Содержат дизассемблер, находят в теле (начале) >> функции команду jmp и сигнализируют о признаках руткита. То есть ищутся >> признаки известных вариантов хуков. Проблема подхода (как и всякого решения для >> частных случаев) в том, что следующий руткит вместо jmp ставит условные >> push addr + ret, и детектор ничего подозрительного не находит. > Эмм: > "GMER runs on Windows XP/VISTA/7/8/10" > Домашнюю страничку RkU мне не удалось найти в гугле, но то что > я видел наводит на мысль, что это тоже вендософт. > То есть обе программы совершенно бесполезны против этого древоруба. Как частные случаи реализации относительно сложного способа они действительно не запустятся на целевой системе, но сам способ вполне рабочий. Про это ты написал https://www.opennet.ru/openforum/vsluhforumID3/121575.html#459 словами "можно задетектить". >> Скрипт для обнаружения Дроворуба ты можешь написать сам. В отличие от авторов >> упомянутых детекторов, ты владеешь необходимой теоретической базой (поскольку не раз говорил >> о валидации кода транслятором Rust; но в данном случае так глубоко >> копать не надо). > Может быть и могу, но это не _элементарный_ способ. Этот способ недоступен > большинству админов систем на *nix. Элементарный способ ты искать не захотел. Задача именно что для админа и решается, по-моему, 4-мя командами в терминале. > И тут мы, наконец, можем вернутся к следующему: >> Якобы некая разведка (не важно, чья) выпустила "продукт", который в момент выполнения второй команды пролога меняет последовательность инструкций на jmp near. Система падает. Атака обнаруживается. Пусть и 1 раз из 1000000, этого достаточно для признания "решения" непригодным. (2) То, что такое "скрытие" элементарно детектируется -- можно даже не рассматривать. > Как мы выяснили, детектируется неэлементарно. Но интереснее почему ты решил, что "этого > достаточно для признания "решения" непригодным". Ты читал ГОСТы на разработку вредоносного > ПО, и там прописаны эти условия? Или ты сам решил, что > такие решения непригодны? Непригодны для чего? "1 раз из 1000000" это типичный аргумент применяющих такие хуки. Для остальных он выглядит как "вероятность отлична от нуля". > Если глянуть с ещё одного ракурса, ты тут имплицитно утверждаешь, что во > всех этих ЦРУ работают идиоты Это ты сам почему-то придумал и начал приписывать мне. Идиотами они были бы, если бы _сочинили_ такое описание. Как раз эту гипотезу я и отметаю, считая её абсурдной. На основании чего и делаю вывод: экземпляр у них имеется, они чётко отработали и провели экспертизу. А вот исполнитель "руткита" либо некомпетентен, либо намеренно так написал. > имплицитно предполагая, что в наших спецслужбах > работают исключительно высококвалифицированные и высокомотивированные ребята, которые > могут не слакать и не будут слакать. Но мне кажется, что > оба этих имплицитных утверждения неверны в корне: там где работает 100+ > человек, обязательно найдутся неквалифицированные и не особо-то мотивированные. С этим > древорубом я вполне могу представить сценарий, где сверху спустили команду разработать > червь, и разработчик что-то там выкатил, что хорошо смотрится на презентации > для высоких чинов (которые вообще ничего в червях не понимают). Ну, примерно на это я и намекаю.)) Другое дело, что в играх спецслужб заинтересованных сторон больше 2-х. И есть сторона, которая спит и видит, шо Америкаснами и вот-вот победит ахрессора. > Это > даже если в каких-то внутренних документах прописано, что детект в 1 > случае из миллиона -- недопустимо. В чём я сильно-сильно сомневаюсь. Это основы системного программирования и спрашивается на собеседованиях. Не про детект в частности, а про неприемлемость подобных модификаций исполняющегося кода в общем. > Можно внимательно почитать этот отчёт о древорубе и посмотреть там признаки неквалифицированной > постановки. Мне лень, если честно, но я не пытаюсь доказать, что > это не постановка. Я пытаюсь показать тебе, что твои рассуждения все > не стоят выеденного яйца. Даже несмотря на то, что ты прочитал > аж целый учебник по ассемблеру.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру