forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выявлен новый rootkit для Linux, осуществляющий подстановку ..."
Отправлено opennews, 21-Ноя-12 12:10

На ряде web-серверов обнаружен (https://threatpost.com/en_us/blogs/new-linux-rootkit-emerges...) новый руткит, используемый для скрытной подстановки вредоносных вставок в отдаваемый сервером HTTP-контент. Руткит поражает 64-разрядные Linux-серверы, работающие под управлением Debian Squeezy с ядром 2.6.32-5-amd64. После активации в ядро системы загружается специальный модуль, скрывающий следы присутствия руткита и осуществляющий подстановку в генерируемый локальным web-сервером HTTP-трафик iframe-блоков с кодом для эксплуатации уязвимостей в клиентских браузерах и установленных в них плагинах.

В отличие от обычно применяемой техники внедрения вредоносного кода в хранимые на сервере html-страницы, руткит позволяет оставить файлы в неизменном виде, осуществляя подстановку на стадии отдачи контента http-сервером. Так как компоненты руткита маскируются и скрытваются от средств мониторинга, на первый взгляд вредоносная активность отсутствует. Наиболее важным выводом является то, что выявленный руткит является принципиально новой разработкой, не основанной ни на одном из ранее доступных руткитов или инструментов для их создания. При этом реализация и качество исполнение руткита свидетельствует о том, что он создавался не для проведения целевых атак, а для как начальная попытка создания ещё одного средства для распространения вредоносного ПО.

Первая информация о новом рутките была опубликована (http://seclists.org/fulldisclosure/2012/Nov/94) несколько дней назад в списке рассылки Full Disclosure. Администратор одной из поражённых систем привёл первичный разбор странной активности на своём сервере, из-за которой во вне данные уходили с подстановкой вредоносного iframe, но локально следов подстановки вредоносного кода не наблюдалось, в том числе используемый для отдачи контента nginx при проверке через strace отдавал в сетевой сокет корректные данные. В дальнейшем один из исследователей безопасности, получивший доступ к поражённой системе, проанализирован руткит и опубликовал (http://blog.crowdstrike.com/2012/11/http-iframe-injecting-li...) подробный отчёт о методах его работы.

После загрузки руткита он осуществляет перехват управления некоторых функций ядра Linux, скрывая необходимые для работы руткита файлы на диске. Перехват управления производится путем перезаписи нескольких байт непосредственно в начале кода перехватываемой функций (добавляется команда jmp rel32 и копируется рассчитанное в стеке смещение). Запуск руткита производится через загрузку модуля ядра Linux, команда для загрузки которого добавляется в конец файла /etc/rc.local. Но так как в Debian файл /etc/rc.local завершается командой exit 0, команда загрузки модуля размещается после вызова exit, т.е. после перезагрузки руткит не активируется.

Подстановка вредоносного кода в трафик осуществляется (https://www.securelist.com/en/blog/208193935/New_64_bit_Linu...) путем перехвата функции tcp_sendmsg, используемой для построения исходящих TCP-пакетов. Обработчик руткита анализирует передаваемый контент и добавляет после строки с тегом body блок iframe. Для управления руткитом предусмотрен специальный интерфейс, получающий команды от удалённого управляющего сервера. В частности, после обращение руткита к управляющему серверу, тот возвращает блок данных, который следует внедрить в трафик, а также параметры подстановки. Напрмер, поддерживается установка правил для какого именно хоста осуществить подстановку, определяется тип внедрения (JavaScript/iframe).
URL: https://threatpost.com/en_us/blogs/new-linux-rootkit-emerges...
Новость: http://www.opennet.ru/opennews/art.shtml?num=35392

Исходное сообщение
"Выявлен новый rootkit для Linux, осуществляющий подстановку ..." Отправлено opennews, 21-Ноя-12 12:10
На ряде web-серверов обнаружен (https://threatpost.com/en_us/blogs/new-linux-rootkit-emerges...) новый руткит, используемый для скрытной подстановки вредоносных вставок в отдаваемый сервером HTTP-контент. Руткит поражает 64-разрядные Linux-серверы, работающие под управлением Debian Squeezy с ядром 2.6.32-5-amd64. После активации в ядро системы загружается специальный модуль, скрывающий следы присутствия руткита и осуществляющий подстановку в генерируемый локальным web-сервером HTTP-трафик iframe-блоков с кодом для эксплуатации уязвимостей в клиентских браузерах и установленных в них плагинах. В отличие от обычно применяемой техники внедрения вредоносного кода в хранимые на сервере html-страницы, руткит позволяет оставить файлы в неизменном виде, осуществляя подстановку на стадии отдачи контента http-сервером. Так как компоненты руткита маскируются и скрытваются от средств мониторинга, на первый взгляд вредоносная активность отсутствует. Наиболее важным выводом является то, что выявленный руткит является принципиально новой разработкой, не основанной ни на одном из ранее доступных руткитов или инструментов для их создания. При этом реализация и качество исполнение руткита свидетельствует о том, что он создавался не для проведения целевых атак, а для как начальная попытка создания ещё одного средства для распространения вредоносного ПО. Первая информация о новом рутките была опубликована (http://seclists.org/fulldisclosure/2012/Nov/94) несколько дней назад в списке рассылки Full Disclosure. Администратор одной из поражённых систем привёл первичный разбор странной активности на своём сервере, из-за которой во вне данные уходили с подстановкой вредоносного iframe, но локально следов подстановки вредоносного кода не наблюдалось, в том числе используемый для отдачи контента nginx при проверке через strace отдавал в сетевой сокет корректные данные. В дальнейшем один из исследователей безопасности, получивший доступ к поражённой системе, проанализирован руткит и опубликовал (http://blog.crowdstrike.com/2012/11/http-iframe-injecting-li...) подробный отчёт о методах его работы. После загрузки руткита он осуществляет перехват управления некоторых функций ядра Linux, скрывая необходимые для работы руткита файлы на диске. Перехват управления производится путем перезаписи нескольких байт непосредственно в начале кода перехватываемой функций (добавляется команда jmp rel32 и копируется рассчитанное в стеке смещение). Запуск руткита производится через загрузку модуля ядра Linux, команда для загрузки которого добавляется в конец файла /etc/rc.local. Но так как в Debian файл /etc/rc.local завершается командой exit 0, команда загрузки модуля размещается после вызова exit, т.е. после перезагрузки руткит не активируется. Подстановка вредоносного кода в трафик осуществляется (https://www.securelist.com/en/blog/208193935/New_64_bit_Linu...) путем перехвата функции tcp_sendmsg, используемой для построения исходящих TCP-пакетов. Обработчик руткита анализирует передаваемый контент и добавляет после строки с тегом body блок iframe. Для управления руткитом предусмотрен специальный интерфейс, получающий команды от удалённого управляющего сервера. В частности, после обращение руткита к управляющему серверу, тот возвращает блок данных, который следует внедрить в трафик, а также параметры подстановки. Напрмер, поддерживается установка правил для какого именно хоста осуществить подстановку, определяется тип внедрения (JavaScript/iframe). URL: https://threatpost.com/en_us/blogs/new-linux-rootkit-emerges... Новость: http://www.opennet.ru/opennews/art.shtml?num=35392

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> На ряде web-серверов обнаружен (https://threatpost.com/en_us/blogs/new-linux-rootkit-emerges-112012) 
> новый руткит, используемый для скрытной подстановки вредоносных вставок в отдаваемый сервером 
> HTTP-контент. Руткит поражает 64-разрядные Linux-серверы, работающие под управлением 
> Debian Squeezy с ядром 2.6.32-5-amd64. После активации в ядро системы загружается 
> специальный модуль, скрывающий следы присутствия руткита и осуществляющий подстановку 
> в генерируемый локальным web-сервером HTTP-трафик iframe-блоков с кодом для эксплуатации 
> уязвимостей в клиентских браузерах и установленных в них плагинах.

> В отличие от обычно применяемой техники внедрения вредоносного кода в хранимые на 
> сервере html-страницы, руткит позволяет оставить файлы в неизменном виде, осуществляя 
> подстановку на стадии отдачи контента http-сервером. Так как компоненты руткита маскируются 
> и скрытваются от средств мониторинга, на первый взгляд вредоносная активность отсутствует. 
> Наиболее важным выводом является то, что выявленный руткит является принципиально новой 
> разработкой, не основанной ни на одном из ранее доступных руткитов или 
> инструментов для их создания. При этом реализация и качество исполнение руткита 
> свидетельствует о том, что он создавался не для проведения целевых атак, 
> а для как начальная попытка создания ещё одного средства для распространения 
> вредоносного ПО.

> Первая информация о новом рутките была опубликована (http://seclists.org/fulldisclosure/2012/Nov/94) 
> несколько дней назад в списке рассылки  Full Disclosure. Администратор одной 
> из поражённых систем привёл первичный разбор странной активности на своём сервере, 
> из-за которой во вне данные уходили с подстановкой вредоносного iframe, но 
> локально следов подстановки вредоносного кода не наблюдалось, в том числе используемый 
> для отдачи контента nginx при проверке через strace отдавал в сетевой 
> сокет корректные данные. В дальнейшем один из исследователей безопасности, получивший 
> доступ к поражённой системе, проанализирован руткит и опубликовал (http://blog.crowdstrike.com/2012/11/http-iframe-injecting-linux-rootkit.html) 
> подробный отчёт о методах его работы.

> После загрузки руткита он осуществляет перехват управления некоторых функций ядра Linux, 
> скрывая необходимые для работы руткита файлы на диске. Перехват управления производится 
> путем перезаписи нескольких байт непосредственно в начале кода перехватываемой функций 
> (добавляется команда jmp rel32 и копируется рассчитанное в стеке смещение). Запуск 
> руткита производится через загрузку модуля ядра Linux, команда для загрузки которого 
> добавляется в конец файла /etc/rc.local. Но так как в Debian файл 
> /etc/rc.local завершается командой exit 0, команда загрузки модуля размещается после вызова 
> exit, т.е. после перезагрузки руткит не активируется.

> Подстановка вредоносного кода в трафик осуществляется (https://www.securelist.com/en/blog/208193935/New_64_bit_Linux_Rootkit_Doing_iFrame_Injections) 
> путем перехвата функции tcp_sendmsg, используемой для построения исходящих TCP-пакетов. 
> Обработчик руткита анализирует передаваемый контент и добавляет после строки с тегом 
> body блок iframe. Для управления руткитом предусмотрен специальный интерфейс, получающий 
> команды от удалённого управляющего сервера. В частности, после обращение руткита к 
> управляющему серверу, тот возвращает  блок данных, который следует внедрить в 
> трафик, а также параметры подстановки. Напрмер, поддерживается установка правил для какого 
> именно хоста осуществить подстановку, определяется тип внедрения (JavaScript/iframe).

> URL: https://threatpost.com/en_us/blogs/new-linux-rootkit-emerges-112012 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=35392

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру