Компания Trend Micro выявила (http://blog.trendmicro.com/trendlabs-security-intelligence/p... новое семейство руткитов, получивших название Umbreon в честь одноимённого покемона (https://en.wikipedia.org/wiki/List_of_Pok%C3%A9mon... который прячется в темноте. Единичные следы внедрения Umbreon прослеживаются с начала 2015 года, но сейчас руткит появился в свободной продаже на черном рынке. Umbreon поражает Linux-системы на базе архитектур x86, x86_64 и ARM, и относится к руткитам третьего кольца защиты, функционирующим только в пространстве пользователя. Для скрытия своего присутствия, вместо перехвата системных вызовов на уровне ядра, Umbreon осуществляет подмену функций стандартной библиотеки libc.
Подмена функций осуществляется на этапе связывания, путём подстановки библиотеки /usr/share/libc.so.*.[i686|x86_64|v6l].ld-2.22.so, переопределяющей функции libc. Библиотека прописывается в конфигурационный файл "/etc/ld.so.*" (где "*" случайный набор букв, например, /etc/ld.so.thVkfEQ), который, в свою очередь, подменяет в загрузчике /lib/x86_64-linux-g строку "/etc/ld.so.preload", что приводит к автоматической загрузке вредоносной библиотеки при запуске любого исполняемого файла.
Umbreon предоставляет обработчики для функций работы с файлами (open, opendir, read, write, chdir и т.п.), записи в лог (syslog, audit*), запуска исполняемых файлов (execve, execvp), аутентификации через PAM (pam_authenticate, pam_open_session), работы с базой пользователей (getpwnam, getpgid, getpwuid), работы с процессами (get_procname, kill), обработки сетевых соединений (socket, netstat) и т.д., всего перехватывается более 100 функций.
Контролируя выполнение данных функций Umbreon тщательно вырезает из потока данных информацию о своих компонентах (например, не показывает свои файлы и скрывает процессы), а также обеспечивает скрытый вход (работает в том числе через SSH), путём перехвата функций PAM и добавления скрытого пользователя, присутствие которого в /etc/passwd вырезается из вывода при выполнении операций чтения.В комплект также входит бэкдор Espereon, названный в честь другого покемона, который обеспечивает обратное сетевое соединение к хосту атакующего при обнаружении в TCP-пакетах определённого ключа активации. Espereon постоянно слушает сетевой трафик на сетевом интерфейсе при помощи libpcap.
Для обнаружения и удаления руткита можно использовать инструменты анализа содержимого ФС, напрямую обращающиеся через системные вызовы, минуя функции libc. Также можно загрузиться c LiveCD, примонтировать дисковые разделы и оценить наличие подозрительных файлов /etc/ld.so.*, /usr/lib/libc.so.* и /usr/share/libc.so.*.
URL: http://blog.trendmicro.com/trendlabs-security-intelligence/p.../
Ну всё, теперь недостаточно иметь энтерпрайс линукс со свежими обновлениями. Доверия нет ни к чему: скачаешь вот так прекомпилированный Transmission и заразился. придётся отказаться от Closed Source совсем, и всё компилять!
Даешь Gentoo в энтерпрайз!
> и всё компилять!Главное -- не забывать откладывать в сторонку контрольные суммы. Заранее.
А то может ещё смешней получиться...
Допустим в Debian я воспользуюсь debsums. Но как узнать, что установлено левого?
https://packages.debian.org/stable/cruft
CRUX в помощь
Только исходники надо перечитывать, мало ли…
> Только исходники надо перечитывать, мало ли…Как _пере_читывать??! Я ещё до половины не дочитал, уже который год пошёл!? >-P
тоже мне, проблемая вот перечитал ПСС. как теперь скомпилировать программу партии?
> Только исходники надо перечитывать, мало ли…Никому верить нельзя, Debian-у https://www.trueelena.org/computers/articles/candy_from_stra... -- *можно*.
---И пр. "контразветчик должен..." https://otvet.mail.ru/answer/179135965
>контразвеТчиках, я негодяй
Тогда уж "контРазвеТчик" - ошибки-то две...
А доверенный компилятор у вас есть? ;-) А то у компилятора такой простор для встраивания руткитов в компилируемые проекты. ;-)
И процессор к нему, а то нынче модно всякое непотребство прямо в процессор встраивать. А потом поди угадай, что он вместо твоего доверенного компилятор запустил/выполнил ;)
Именно. Доверенный процессор (без бэкдоров в виде недокументированных команд) и доверенный BIOS, который не станет загружать операционку под гипервизором, эмулируя полный доступ к железу. ;-) И доверенные девайсы (не от NSA), которые внезапно не попытаются через доступ к контроллеру памяти считать то, что им не полагается знать. :-)Trust no one. (C) Fox Mulder. ;-)
Господа!
Фирма "IZh & Zenkoff" готова предположить вам радикальное решение! Не доверяйте свои расчеты западным процессором и уж тем более китайским калькуляторам. Только отечественные счеты нашего производства (с костяшками из сибирского кедра), гарантируют вам прозрачность и стабильность всех ваших расчетов! Также наша фирма поддерживает идею Open-source hardwar и к каждому экземпляру прилагается полный чертеж изделия со всей необходимой пояснительной документацией.
Так перестарались с секьюрностью, что получили никакую интеграцию.
> Только отечественные
> счеты нашего производства (с костяшками из сибирского кедра), гарантируют вам прозрачностьА можно костяшки и все остальное тоже прозрачным, для дополнительной прозрачности (а то мало ли какие там жучки с сибирского кедра останутся!)?
Недостаточно импортозаместительно.
Нужно костяшки заменить на "Эльбрусы" - поддержать отечественные IT!
Счёты - это как айфон: гламурно и бестолково. Лучше Электронику МК-85 клонируйте!
Радио-86КР к Вашим услугам! Собственная сборка и прошивка обеспечит гарантированное отсутствие бэкдоров! Софт тоже сами напишите. Зато надежно!
> 86КР
86РК
Спектрумы лучше.
https://www.youtube.com/watch?v=z71h9XZbAWY
Существует программа patchelf, позволяющая запускать программы от новых систем в старых. Просто скачать glibc от EL7 и сделать LD_LIBRARY_PATH (и даже LD_PRELOAD) недостаточно - надо в самом бинарнике поменять путь к ld-linux.so.2. Что и делает эта программа.Похоже, руткит работает по тому же принципу
Скорее всего так, но возникает вопрос с его корректной установкой)))
При установке обновлений и пакетов штатным apt, например, его подцепить невозможно, а в корпоративной среде на линуксах у пользователей нет прав выполнения от рута.
> При установке обновлений и пакетов штатным apt, например, его подцепить невозможно"невозможно" - слишком смелое утверждение. Точнее будет сказать: мало вероятно.
Вот что значит тащить всякую дрянь в систему, вместо установки пакетов из доверенных источников.
Огласите список, please?
Debian main
Список дряни? Ну сам найдешь, не маленький.
1. Skype
2. Flash player
3. Google Chrome
4. Oracle JVM
5. Steam (и игори)
>инструменты анализа содержимого ФСОгласите список плз?
>>инструменты анализа содержимого ФС
> Огласите список плз?Прочитай оригинал статьи - там и примеры есть! :)
> Прочитай оригинал статьи - там и примеры есть! :)Там проприетарщина. Хочется чего-то штатного, что есть в репозиториях. Помню была какая-то утилита для чтения файлов с ФС с разбором на уровне inode, которая обходила большинство ядерных руткитов.
>> Прочитай оригинал статьи - там и примеры есть! :)
> Там проприетарщина. Хочется чего-то штатного, что есть в репозиториях. Помню была какая-то
> утилита для чтения файлов с ФС с разбором на уровне inode,
> которая обходила большинство ядерных руткитов.Я не имел ввиду путь скрипт-кидди (кстати, а почему ты собираешься верить сторонней "чистилке"?! :) - может она сама переносчик заразы??), а я намекал на это:
"Removal Instructions
Umbreon is a ring 3 (user level) rootkit, so it is possible to remove it... the easiest way is to boot the affected machine with Linux LiveCD and follow the steps:
..."И где тут "проприетарщина"?!..
А если не доверяешь LiveCD - сделай свой! Какие проблемы?..
> Я не имел ввиду путь скрипт-киддиА попытска чистки скомпрометированной системы значит не путь скрипт-кидди?
>>инструменты анализа содержимого ФС
> Огласите список плз?Вы всерьез надеетесь на нормальный ответ?
Тут не так давно один опеннетный специалист рассказывал про поиск руткитов пакетным менеджером, так что готовтье ведра для снятой с ушей лапшы )
Пользователи NixOS смотрят с недоумением.
2,5 человека?
Все население Лихтенштейна!
NixOS - это где пакеты можно устанавливать в домашнюю директорию пользователя? ;)
А что там у них? libc.dll?
Пользователи BolgenOS тоже.
> Пользователи BolgenOS тоже.Антивирус Попова защитит от любого руткита! Я гарантирую это!
А как он размножается?
Что должно случиться, чтобы он появился у меня на компьютере?
> А как он размножается?
> Что должно случиться, чтобы он появился у меня на компьютере?Поняшка развеет Ваши сомнения: "--вирус это далеко не любая малварь. --Nobody cares :P" --http://www.opennet.ru/openforum/vsluhforumID3/109009.html#96
---""Борман повторил свой жест. - Понятно, - кивнул Штирлиц, - вы тоже не знаете. А как вы думаете, где ежики размножаются быстрее, в России или в Германии?""
> А как он размножается?
> Что должно случиться, чтобы он появился у меня на компьютере?Это руткит, он не размножается, а устанавливается после взлома.
>А как он размножается?вообще-то руткиты - не вирусы, они не размножаются. их устанавливают хакеры, получившие несанкционированый доступ
Этот руткит может быть переписан для FreeBSD?
> Этот руткит может быть переписан для FreeBSD?Думаешь, он под GPL и прямо-таки надо именно переписывать?! Кругом враги!
Смешно.Но если серьезно - то да, скорее всего нужно добавлять поддержку BSD libc отдельно, ибо IIRC там какие-то особенности работы со строками.
> Смешно.Пасиб.
> Но если серьезно - то да, скорее всего нужно добавлять поддержку BSD
> libc отдельно, ибо IIRC там какие-то особенности работы со строками.1/ ещё момент: оно может быть "закрытое" =и б3дешники снова будут "переписывать"
2/ и ещё: ещё "переписывать" != "портировать"
3/ а, да! на джавву тож придётся переписывать :+D
Чувак, тот, кто убедил тебя, что шутка повторённая дважды становится смешнее, очевидно был троллем. Не надо так.
> Чувак, тот, кто убедил тебя, что шутка повторённая дважды становится смешнее, очевидноСледи за тредом, д-6-л. После слов "Но если серьезно" я уже разговаривал с человеком (он меня похвалил лучше всех |-P), а не глумился над твоим единокровным язеном. Но для него и тебя добавлю:
0/ Зачем? Оно тебе надо?? Будешь искать рынка малвари для своего фетиша?!
> был троллем. Не надо так.
Этот руткит может быть переписан для FreeBSD на Java.
> Для обнаружения и удаления руткита можно использовать инструменты анализа содержимого ФС, напрямую обращающиеся через системные вызовы, минуя функции libc.Или держать в системе статически линкованый busybox.
>> Для обнаружения и удаления руткита можно использовать инструменты анализа
>> содержимого ФС, напрямую обращающиеся через системные вызовы, минуя функции libc.
> Или держать в системе статически линкованый busybox.Кстати, да.
Как вариант, http://altlinux.org/rescue -- заодно там одна из наиболе ровных реализаций forensics mode среди аналогичных штуковин, ср. http://forensicswiki.org/wiki/Forensic_Live_CD_issues
PS 2 asavah: понятия не имею, кто трёт Вашу чушь, но я бы тоже стёр (пп. 4, 6 правил).
> Или держать в системе статически линкованый busybox.Из него средство forensic хилое, да и пропатчить его можно.
Ну наконец хоть что-то интересное! А то достали уже пугать примитивнейшими троянами.
Кстати, напомните, сколько лет назад предыдущий руткит появился?
Скука :( Троян, перехвативший сотню функций в kernel32.dll, вызвал бы лишь жалость, а здесь приходится радоваться и таким вот "приветам" от любителей.
И где пропадает Столлман, почему до сих пор нет движухи за Open Spyware?
> И где пропадает Столлман, почему до сих пор нет движухи за Open Spyware?Делом занят, ему не до Вашего вранья. Он переписывает unix-совместимую ОС, а не Windows-/MacOS-совместимую. https://www.quora.com/Richard-Stallman-says-Microsofts-Windo...
//Это не вы дедушку с племяшом рядом http://www.opennet.ru/openforum/vsluhforumID3/108941.html#219 путали? Племяш, да, от АНБ патчи берёт.
Jynxkit с подобной функциональностью появился в 2011, потом был Jynx2, Azazel.
Теперь, оставив открытый shh наружу, можно будет ловить покемонов
Хм. Автор руткита сидит на опеннете? "А я на чёрном рынке хорошенький руткит продаю, приходите посмотреть", - это, конечно, интересная новость. :)
Сидит на ОпенНете, а работает на ТрендМикро. Вот вы его и вычислили!
То, что поколение покемонов прочитало про LD_PRELOAD, это радует но то, что результат часа работы любого linux программиста продаётся на чёрном рынке, дискредитирует сами эти рынки.
За час "любой linux программист" даже грамотное техническое задание не составит под эту задачу. Ты похоже не представляешь сколько надо времени, чтобы вдумчиво прочитать доку по всем функциям libc, проанализировать параметры и возращаемые значения, после чего составить список что, где и как надо заменить.
лолчик, все функции либс при написании этого эксплойта никто не прочитал, инфа 100%. Подменяли от силы пять, и это это слегка перебор. Реализован хардкод прелоада.
> лолчик, все функции либс при написании этого эксплойта никто не прочитал, инфа 100%. Подменяли от силы пять, и это это слегка перебор. Реализован хардкод прелоада.ты похоже не читатель, ты писатель. Написано же "...Всего перехватывается более 100 функций. ...". И чтобы вычленить НУЖНЫЕ 100 функций (да даже упомянутые тобой пять), сначала надо перешерстить все остальные и понять что они делают. Ну тебе же эти пять функций не бог внушил, как моисею заповеди.
>> лолчик, все функции либс при написании этого эксплойта никто не прочитал, инфа 100%. Подменяли от силы пять, и это это слегка перебор. Реализован хардкод прелоада.
> ты похоже не читатель, ты писатель. Написано же "...Всего перехватывается более 100
> функций. ...". И чтобы вычленить НУЖНЫЕ 100 функций (да даже упомянутые
> тобой пять), сначала надо перешерстить все остальные и понять что они
> делают. Ну тебе же эти пять функций не бог внушил, как
> моисею заповеди.не нужно 100 функций. Это для веса.
вау, вау, Иксперд, нидови нас своим МегаЗнанием!
> не нужно 100 функций. Это для веса.Так напиши мене такой rootkit (прячущий процесс, файлы, файловые операции, сетевые операции и сетевую активность, корректно подменяющая вывод strace, работающий через ssh) за час. Час твоего времени я готов оплатить (по расценкам среднего linux программиста).
У меня стойкое впечатление, что "нет" и "любой линукс программист" просто не поняли значение большей части этих страшных слов. Зато увидели знакомое слово LD_PRELOAD и решили, что вся работа руткита сводится к этому. Потому и считают, что за час можно справиться.
Напоминает дикарей, сооружающих макет самолета из бамбука и уверенных, что этого достаточно.
Это реально либа которая работает через LD_PRELOAD. По уровню технологий - бамбуковый самолет и есть. Правда покрашенный и обтянутый парусиной, поэтому даже немного летает.
да кто читать-то будет, про эту новость уже забыли. Молодёжь, обиделись, заминусовали.
> За час "любой linux программист" даже грамотное техническое задание не составит под
> эту задачу.Не позорь собой линукс-программистов. Я библу под LD_PRELOAD перехватывающую open() и еще несколько интересных вещей написал за 2 часа.
Я вот тоже за час наваял библиотеку i2c для uC - вывод на LCD работал нормально. А потом понадобилось еще свой slave дописать, да с нормальной обработкой ошибок и повторной передачей, дабы в условии сильных помех работало. И все это для жесткого realtime. В итоге неделю уже сижу. А в начале тоже казалось - на день работы.
а теперь ядро давай. за день справишься — с твоими‐то умениями!
Я правильно понимаю, что для внедрения данного руткита необходимо иметь права на запись в системные директории, такие как /etc, /lib и т.д.? Опять двадцать пять... Вы мне покажите лучше руткит, который сможет внедриться в систему от меня — простого пользователя.
> Вы мне покажите лучше руткит, который сможет внедриться в систему от меня
> — простого пользователя.Это другая часть задачи -- эксплойт уязвимости класса хотя бы local root.
> двадцать пять... Вы мне покажите лучше руткит, который сможет внедриться в
> систему от меня — простого пользователя.Ни читать-то они не http://www.opennet.ru/openforum/vsluhforumID3/109035.html#11 , ни фантазии у, ни инжеренного подхода... Пошукайте у ниХ в репах, поспрашиайте. Надо ж системно подходить: установка от пользователя уже есть -- дальше решайте свою "задачу"! >?<
>Linux-системы на базе архитектур x86, x86_64 и ARM
>Umbreon относится к руткитам третьего кольца защитывопрос к знатокам: а на ARM вообще есть ring3?
в arm есть уровни привилегий: user, kernel, hypervisor.
Ну это, скорее всего, образно сказано. Имеется ввиду ring с наименьшими привилегиями.
скорее не следовало вообще упоминать кольцо защиты. достаточно было упомянуть то, что подменяется glibc.
кольца-то пресловутые это крайне завязанная на определенные реализации систем сущность.
Я такую хрень видал на SS (SPARCstation), Solaris, где-то в 00-02...
Ставилась по сетке через дыру в lp daemon (уже не помню, как он там звался).Ничего нового в подлунном мире...
Нужен рут, а его ещё получить надо. Беспокоиться не о чем.
> Нужен рут, а его ещё получить надо. Беспокоиться не о чем.Следующая новость будет: "Обнаружена уязвимость в bash позволяющая поднять привилегии до root".
опять новости про какую‐то проприетарщину! где ссылка на репозиторий? как собрать? куда патчи слать? тьфу.
"Umbreon может быть установлен..." - опять собирать вручную и устанавливать))), какая, опасная, малварь!!! )))))))))).
Если информация в Вашей системе будет представлять существенную ценность, то обязательно найдутся желающие взять труд по установке руткита в Вашу систему на себя ;-)
> относится к руткитам третьего кольца защиты, функционирующим только в пространстве пользователя
> Библиотека прописывается в конфигурационный файл "/etc/ld.so.*"Как он в /etc от юзера что-то запишет?
>> относится к руткитам третьего кольца защиты, функционирующим только в пространстве пользователя
>> Библиотека прописывается в конфигурационный файл "/etc/ld.so.*"
> Как он в /etc от юзера что-то запишет?http://www.catb.org/jargon/html/U/userland.html
> userland: n.
> Anywhere outside the kernel. “That code belongs in userland.”
> This term has been in common use among Unix kernel hackers since at least 1985, and may have have
> originated in that community. The earliest sighting was reported from the usenet group net.unix-wizardsВаш Кэп
Не путайте пространство пользователя с привелегиями пользователя.
Мда... помнится, когда-то я слепил флэшку с BartPE и развлекался прибиванием скринлокеров без использования антивируса. Почти всегда это был файл с именем из случайной строки, прописанный в appinitdll.
Забавно теперь читать почти то же самое про линух.
"Также можно загрузиться c LiveCD, примонтировать дисковые разделы и оценить наличие подозрительных файлов /etc/ld.so.*, /usr/lib/libc.so.* и /usr/share/libc.so.*. "Поменяйте пожалуйста звездочки на что-то другое, можно как в оригинале, <random>, а то я уже обрадовался :)
# ls -l /etc/ | grep so
-rw-r--r-- 1 root root 252552 Sep 7 19:52 ld.so.cache
-rw-r--r-- 1 root root 71 Sep 30 2015 ld.so.conf
drwxr-xr-x 2 root root 4096 Aug 9 12:52 ld.so.conf.d# ls -l /usr/lib/ | grep libc.so*
-rw-r--r-- 1 root root 255 Aug 6 14:16 libc.so
lrwxrwxrwx 1 root root 12 Aug 6 14:17 libc.so.6 -> libc-2.24.so
Всё, теперь буду ходить в интернет только с плейстейшен. Там же нет руткитов? Ведь нету же? Как туда поставить руткит?
> Всё, теперь буду ходить в интернет только с плейстейшен. Там же нет
> руткитов? Ведь нету же? Как туда поставить руткит?
DIR *dp;
struct dirent *ep;dp = opendir ("/etc");
if (dp != NULL)
{
while (ep = readdir (dp))
{
fputs_unlocked (ep->d_name, stdout);
fputc('\n', stdout);
}
(void) closedir (dp);
}
else
perror ("Couldn't open the directory");return 0;
>> Всё, теперь буду ходить в интернет только с плейстейшен. Там же нетХоди с венды -- там и root-а нету!!
>> руткитов? Ведь нету же? Как туда поставить руткит?
"Никому нельзя верить, врут все" - Хаус.
>врут все" - Хаус.