The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Для Linux выпущен руткит принципиально нового типа

06.09.2008 09:53

Компания Immunity, Inc., занимающаяся исследованиями в области компьютерной безопасности, выпустила руткит DR Linux 2.6 (Debug Register Rootkit для Linux ядра 2.6.x), реализующего принципиально новую технику скрытия сетевых сокетов, файлов и процессов злоумышленника. В рутките (rootkit) также предусмотрена возможность удаленного управления, через специально разработанный бэкдор, работающий в виде скрытого пользовательского процесса.

Кроме того, автоматически скрываются дочерние процессы и сокеты, порождаемые спрятанными программами, при этом для таких программ все скрытые руткитом ресурсы являются открытыми. Установка DR Linux 2.6 производится через загрузку модуля ядра.

Вместо классического перехвата обработки системных вызовов или таблицы прерываний (IDT), которые легко обнаруживается утилитами для анализа системы на предмет наличия скрытого ПО, в рутките DR Linux использованы возможности трассировки и отладки в современных процессоров (IA32). DR получает управление, через установку на обработчики системных вызовов аппаратных точек останова (breakpoint), а на определенные области памяти ядра - ловушек (trap).

В качестве защиты, создателям Linux дистрибутивов рекомендуется организовать контроль доступа к отладочным регистрам процессора. Другой метод в выявлении руткита, связан с возможностью анализа признаков загрузки модуля ядра (в следующей версии руткита будет реализована защита от данного метода обнаружения).

  1. Главная ссылка к новости (http://lists.immunitysec.com/p...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/17753-kernel
Ключевые слова: kernel, linux, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (94) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 10:20, 06/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Компания Immunity, Inc., занимающаяся исследованиями в области компьютерной безопасности, выпустила руткит

    Так вот кто тут вирусню пишет... Кто проплатил? Или пеАр?

     
  • 1.2, Аноним (2), 10:32, 06/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    These tools have been released under the GNU Public License by Immunity. By releasing tools, such as these, we hope to demonstrate our knowledge leadership, and give back to the security community as a whole

    Это не вирус!

     
     
  • 2.39, Аноним (39), 15:37, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    GNU это вирус для мозгов.
     
     
  • 3.98, User294 (ok), 23:02, 21/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >GNU это вирус для мозгов.

    А мне этот вирус нравится :) он живет в симбиозе с его носителями.Так же как есть вредные бактерии а есть полезные.Вот от этого вируса я пока вижу тольуо пользу.И для себя и не только для себя.

     
  • 2.41, User294 (ok), 16:56, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Это не вирус!

    И правда, руткит - это не вирус :) но кое-что общее у них есть: в случае если его вам без вашего ведома установят вы тоже не будете в восторге :)

     

  • 1.3, Аноним (2), 10:33, 06/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всегда,когда собираю ядро для сервера отключаю модули вообще)
     
     
  • 2.4, anonymous (??), 10:45, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Всегда,когда собираю ядро для сервера отключаю модули вообще)

    мне жаль ваших серверов, такого кернел-тирана надо поискать

     
     
  • 3.7, Michael (??), 10:50, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>Всегда,когда собираю ядро для сервера отключаю модули вообще)
    >
    >мне жаль ваших серверов, такого кернел-тирана надо поискать

    Ну, расскажите тогда, зачем на сервере модули.

     
     
  • 4.19, Аноним (39), 11:59, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Никогда не умирала сетевушка или скази-контроллер?
     
     
  • 5.24, vitek (??), 13:02, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Никогда не умирала сетевушка или скази-контроллер?

    ну и чем модули помогут умершей сетевушке и тем более скази-контроллеру?
    зы:
    сразу скажу, что само ядро не падает, т.к. опыт имеется

     
     
  • 6.42, Щекн Итрч (?), 17:50, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>Никогда не умирала сетевушка или скази-контроллер?
    >
    >ну и чем модули помогут умершей сетевушке и тем более скази-контроллеру?
    >зы:
    >сразу скажу, что само ядро не падает, т.к. опыт имеется

    Аналогишно. Никаких модулёв! Собрал и вот вам.
    Есть возможность хотя бы контролировать факт подгрузки модуля.

     
  • 6.57, User294 (ok), 17:24, 07/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>Никогда не умирала сетевушка или скази-контроллер?
    >ну и чем модули помогут умершей сетевушке и тем более скази-контроллеру?

    А что, кроме замены сетевушки будете еще и перекомпиливать кернель?А за даунтайм не закопают?Хотя если паранойя долбит - отключка загрузки модулей самое оно.

     
     
  • 7.66, vitek (??), 00:56, 08/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    не надо передёргивать :-D
    если работа идет в конторе, где "за даунтайм закопают", то и сетевушки там все одной модели.
    ...
    и не только.
     
     
  • 8.71, User294 (ok), 05:11, 08/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Не видел контор где бы заморачивались сетевушками одной модели если честно Хотя ... текст свёрнут, показать
     
     
  • 9.74, vitek (??), 11:35, 08/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    да не вопрос покупая сетевушки на какой-нибудь очередной маршрутизатор, web-сер... текст свёрнут, показать
     
  • 9.77, Sem (ok), 14:01, 08/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Крупная компания с централизованными поставками будет покупать только одну модел... текст свёрнут, показать
     
  • 9.80, Nichls (??), 17:59, 08/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Вам не повезло Корпоративный стандарт в отношении покупки техники одного произв... текст свёрнут, показать
     
     
  • 10.81, Аноним (-), 20:03, 08/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    А может, наоборот А то с таким уровнем паранои и ответственности можно ведь и с... текст свёрнут, показать
     
     
  • 11.82, vitek (??), 20:27, 08/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    с катушек слетают как раз те, которым в интересный момент нужную деталь заменить... текст свёрнут, показать
     
  • 2.5, хз кто (?), 10:50, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Всегда,когда собираю ядро для сервера отключаю модули вообще)

    Если кому понадобится - вкомпилят и этот модуль в ваше ядро

     
     
  • 3.25, vitek (??), 13:04, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    ха. 3-и раза :-D
     
  • 3.61, User294 (ok), 18:00, 07/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Если кому понадобится - вкомпилят и этот модуль в ваше ядро

    Ну да, и внеплановую перезагрузку совсем никто не заметит... особенно параноики которые модули отключают :)

     
  • 2.46, metallic (?), 20:42, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Всегда,когда собираю ядро для сервера отключаю модули вообще)

    А когда апдейты выходят, вы ядро пересобираете, да?
    У меня больше десятка серверов, я делаю
    apt-get update
    apt-get upgrade

    а вы как?

     
     
  • 3.47, Heretic (??), 21:02, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Я, например, делаю локальный репозитарий, а туда уже можно и свой собранный пакет ядра положить.
     
  • 2.60, User294 (ok), 17:57, 07/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    А что если вспомнить что у нас год 2008 на дворе Можно и покрасивее ведь изгальн... большой текст свёрнут, показать
     
     
  • 3.63, Nick (??), 23:06, 07/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    красива...

    кста, ванилла нонче уже вплотную подходит к опысанным вами фичам OpenVZ
    (сами же московские ребята туда и шлют свои VZ патчи ;). Вот тока пока
    по лимитам на I/O дисков ниче не слышно в ванилле...

     
  • 3.85, 561 (?), 14:19, 10/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >DoS атаки на ресурсы?Хаха, попробуйте!

    вам ниразу порт не забивали? везет...

     
     
  • 4.86, www2 (??), 14:33, 10/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>DoS атаки на ресурсы?Хаха, попробуйте!
    >
    >вам ниразу порт не забивали? везет...

    Тут какбэ говорят об атаке на ресурс машины, а не об атаке на пропускную способность канала. Вообще от любого DoS'а в общем случае защиты нет.

     
     
  • 5.87, Anonymous (?), 17:10, 10/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    а чем сетвуха не ресурс машины? канал не обязательно забивать если он гигабитный, а сетевуха стомегабитная.

    >Вообще от любого DoS'а в общем случае защиты нет.

    это какой такой общий случай?

     
     
  • 6.94, www2 (??), 09:34, 11/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >а чем сетвуха не ресурс машины? канал не обязательно забивать если он
    >гигабитный, а сетевуха стомегабитная.
    >
    >>Вообще от любого DoS'а в общем случае защиты нет.
    >
    >это какой такой общий случай?

    Вы не понимаете оборота речи "общий случай"? Учите русский язык.

    В большинстве случаев техническими средствами нельзя преодолеть последствия DoS-атаки. Какие-то технические решения могут лишь снизить эффект от воздействия, могут устранить побочные эффекты (влияние на не находящиеся под атакой сервисы или ресурсы), но универсального технического решения нет. Можно только найти тело, организовавшее атаку, и открутить этому телу голову.

     
  • 4.89, User294 (ok), 05:11, 11/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Под DoS атакой на ресурсы имелось в виду например - Нагрузить проц на максимум,... большой текст свёрнут, показать
     
     
  • 5.90, 561 (?), 06:12, 11/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    если случилось что-то жесткое на сервере, имеется мониторилка и админ не ротозей, то в большинстве случаев, если ssh умерло, отца русской демократии спасет КВМ, и кнопку reset жать совсем не обязательно, на худой конец можно и ктрл+альт+делитом обойтись из той же КВМ. Ну да это все не важно...
    Как вам представляется такое: серверу выделен один ip и на этом ip должно висеть несколько сервисов каждый из которых заключен в свою виртуалку? НАТ городить?
    кстати во фре некоторые проблемы ресурсов решаются чтением man login.conf
     
     
  • 6.91, Nick (??), 06:22, 11/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Как вам представляется такое: серверу выделен один ip и на этом ip
    >должно висеть несколько сервисов

    типичная ситуация


    >каждый из которых заключен в свою виртуалку? НАТ городить?

    Линуховые cgroups: можно шарить или разделять как ресурсы, так и сетевой
    namespace.
    Так вот в этом случае сетка может остаться одна, а вот по ресурсам
    (проц, память и т.д.) порезать каждый сервис в свою песочницу.
    Порты все слушают на одном ИП, а выполняют запросы за счет своих лимитов.


    >кстати во фре

    ах да.... %)  понятно

     
     
  • 7.92, 561 (?), 06:38, 11/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    так мы же о OpenVZ?
     
     
  • 8.93, Nick (??), 06:43, 11/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    пардон, конечно, что влез не в свой спор Я увидел, что речь о вируталках Ну ды... текст свёрнут, показать
     
  • 6.95, User294 (ok), 15:45, 11/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    КВМ - имеется в виду консольный свич чтоли А если я при этом в N км от сервера, ... большой текст свёрнут, показать
     
     
  • 7.96, 561 (?), 16:55, 11/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    так и не надо подобные эксперементы на продакшене проводить, к чему это да даже... большой текст свёрнут, показать
     

  • 1.6, Аноним (2), 10:50, 06/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Гм,а почему собственно жаль?
    Вся функциональность в загрузочном образе,руткиты малореальны,а флешки и я в сервера не тыкаю)
     
  • 1.8, Аноним (2), 11:26, 06/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    печально это на самом деле. Мне представляется что по мере роста популярности линукса количество подобного ПО будет только расти, и мечта о системе без вирусов/руткитов/спайваре тает с каждым днем.
    Отсюда вывод работать надо за наименее распростаненной системой, в свое время таковая была os/2, сейчас это пожалуй *bsd... Лучшее враг хорошего.
     
     
  • 2.44, Аноним (-), 20:03, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >печально это на самом деле. Мне представляется что по мере роста популярности
    >линукса количество подобного ПО будет только расти, и мечта о системе
    >без вирусов/руткитов/спайваре тает с каждым днем.
    >Отсюда вывод работать надо за наименее распростаненной системой, в свое время таковая
    >была os/2, сейчас это пожалуй *bsd... Лучшее враг хорошего.

    если в фуррифоксе уязвимость в жабоскрипте позволяет выполнить код от пользователя, то неважно какая ОСь на той стороне стоит, все равно ssh-ключики и прочие вкусности можно будет без труда угнать

    или мусье не в курсе о вреде security by obscurity для ума администратора?

     
  • 2.49, anonymous (??), 23:03, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >печально это на самом деле. Мне представляется что по мере роста популярности
    >линукса количество подобного ПО будет только расти, и мечта о системе
    >без вирусов/руткитов/спайваре тает с каждым днем.
    >Отсюда вывод работать надо за наименее распростаненной системой, в свое время таковая
    >была os/2, сейчас это пожалуй *bsd... Лучшее враг хорошего.

    ты слегка дурак. руткит можно написать для любого ядра. рабочих вирусов для линукс нет до сих пор. не стоит путать теплое с мягким.

     
  • 2.58, User294 (ok), 17:30, 07/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Отсюда вывод работать надо за наименее распростаненной системой,

    Эффективнее на нераспостраненной архитектуре тогда уж.А то x86 хаксоры всяко в момент колупают.Хоть там какое ядро.Достаточно на макось посмотреть - пока она была на PowerPC - хоть бы кто багу нашел.А как только ее перенесли на привычный хацкерам x86 - дыры, трояны и прочие радости посыпались как из рога изобилия.

    Но все это лишь усложнит задачу, подняв планку (хацкеру придется скорее всего самостоятельно писать эксплойт и руткит под вашу архитектуру) а вовсе не отменит возможность(если есть что эксплойтить - значит есть).

     

  • 1.12, Fuzzy (ok), 11:40, 06/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну так по любому можно поламать с root доступом,
    главное чтоб нельзя было без онного $^.
     
     
  • 2.97, User294 (ok), 01:58, 12/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну так по любому можно поламать с root доступом,

    Ламают обычно ламеры.Остальные ломают :P

     

  • 1.13, Konwin (??), 11:41, 06/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Господа, что за детский сад - вредоносное ПО будет всегда и на любых ОС. А создателям данного руткита надо быть благодарными за то, что они вскрыли эту проблему.
     
     
  • 2.27, vitek (??), 13:09, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    +1
    а если внимательно прочитать, то можно сделать вывод, что такую штуку можно сделать для любой ОС всем известной платформы.

    и благодаря этим ребятам разработчики линух предупреждены. а вот что будут делать остальные?

     
     
  • 3.37, Anonymous (?), 14:40, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >такую штуку можно сделать для любой ОС

    Softice чтоли? Механизм отладки ядра прост как дерево, записать во все отладочные регистры нули и руткит летит ко всем чертям. Ловушки определяются по таблице дескрипторов. Не уверен есть ли вывод донной информациии в /sys /proc если нет, можно добавить. Или свой модуль вкомпилить, обнуляющий оотладочные регистры и отслеживающий GDT и таблицы страниц.

     
     
  • 4.53, vitek (??), 02:12, 07/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Softice?
    прям ностальгия какая то... :-)
    ...
    у них даже listener IIS на уровне ядра работает. Или вы всерьёз верите, что винда - это действительно микроядро?
    нда.. был опыт работы с DDK... :-)
     
     
  • 5.59, User294 (ok), 17:33, 07/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >верите, что винда - это действительно микроядро?

    Оно такое же микро как и микрософт.То есть, даже если там и есть что-то от микро, в любом случае это непременно будет king size :)))

     
     
  • 6.64, Nick (??), 23:10, 07/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Оно такое же микро как и микрософт.То есть, даже если там и
    >есть что-то от микро, в любом случае это непременно будет king
    >size :)))

    :D
    <jupi>

     
  • 2.51, Dmitri (??), 00:26, 07/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Господа, что за детский сад - вредоносное ПО будет всегда и на
    >любых ОС. А создателям данного руткита надо быть благодарными за то,
    >что они вскрыли эту проблему.

    Сам в сад иди. Эта утилита работает только с правами root.
    Спросите для чего она нужна - а нужна для того, чтобы показать, что IA-32 не совершенна (в принципе это давно всем известно ;-)  ) И показать какие подводные камни надо обойти.

    Так что утилита - вовсе не вирус, а всего лишь толчок к совершенствованию безопасности ядер ОС, работающих на IA-32.

     

  • 1.14, Аноним (39), 11:41, 06/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >современных процессоров (IA32)

    Это тухлое уродство они называют современными процессорами???

     
     
  • 2.18, Gravedancer (?), 11:59, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>современных процессоров (IA32)
    >
    >Это тухлое уродство они называют современными процессорами???

    Это "тухлое уродство" - процессор х86 по классификации Intel.
    Он стоит на 70% современных десктопов.Есть еще вопросы?

    Ниче, сколько ни кричали про линукскапец, че-т и в этот раз придумаем)

     
     
  • 3.56, знающий (?), 16:06, 07/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    х86 по программированию и структуре в общем мире признан как самы сложный процессор, в отличие от процессоров с конвеерной системой обработки команд(SPARC),,,, Вы спрев раз беритесь с ним как программист - потом кричите, что это урод, - хотя я вижу ту очень много "малышей-крикунов".A Backdoor's - ни в коем случае не показывает слабость процессора, а посказывает уязвимость ОС

     
     
  • 4.73, www2 (??), 09:01, 08/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > х86 по программированию и структуре в общем мире признан как самы
    >сложный процессор, в отличие от процессоров с конвеерной системой обработки команд(SPARC),,,,
    >Вы спрев раз беритесь с ним как программист - потом кричите,
    >что это урод, - хотя я вижу ту очень много "малышей-крикунов".

    Крикун здесь один - Вы. Самый сложный - это не достоинство, а недостаток вообще-то. Процессоры попроще жрут меньше электроэнергии, под них проще делать компилятор, под них проще делать конвейерную обработку команд, у них меньше ошибок. Они быстрее компилируют программы и генерируют более качественный код, поскольку оптимизаторы кода для них явно проще.

    Начиная с 486 процессора количество ошибок в реализации процессоров архитектуры x86 растёт как снежный ком: http://www.google.ru/search?q=%D1%83%D1%8F%D0%B

    >A
    >Backdoor's - ни в коем случае не показывает слабость процессора, а
    >посказывает уязвимость ОС

    Неправильная реализация некоторых инструкций процессоров ставит под угрозу ВСЕ ОС, работающие на нём! В данном случае это уязвимость ОС, но проявляющаяся только на x86, из-за особенностей конкретного процессора. Ваше заявление в корне не правильно.

     
  • 4.76, vitek (??), 12:46, 08/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    он сложный не потому что у него ОЧЕНЬ большая функциональность.
    а потому, что пришлось кучу костылей сделать...
    а то бы так и сидели в режиме x86 (или Вы про него и говорили?:-DDD)
     
  • 3.62, Дмитрий Ю. Карпов (?), 20:55, 07/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > Это "тухлое уродство" - процессор х86 по классификации Intel.
    > Он стоит на 70% современных десктопов.Есть еще вопросы?

    С каких это пор распространённость процессора (или др.устройства) коррелирует с его совершентсвом/отстойностью? Распространённость определяется маркетингом, а вовсе не техническими характеристиками!

     
  • 3.67, User294 (ok), 04:28, 08/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Это "тухлое уродство" - процессор х86 по классификации Intel.
    >Он стоит на 70% современных десктопов.Есть еще вопросы?

    Да никаких вопросов - всем давно известно что далеко не всегда технически лучшее решение одновременно и наиболее маркетингово успешное.Дерьмовость архитектуры Win9x не мешала продажам, знаете ли.Зато потом как бонус можно было каку закопать, продав уже NT-based честно рассказав какое вон то было дерьмо :).Интель в свое время с итаниумом обломался и потому продолжает снабжать x86 уродца костылями.Не потому что он такой хороший, а потому что интель умеет именно это делать конкурентоспособно.

     

  • 1.16, Аноним (2), 11:55, 06/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Береги ядра с молоду
     
     
  • 2.17, Fuzzy (ok), 11:58, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Береги ядра с молоду

    Значит надо проверять систему в chroot окружении, на другом (проверенном :)) ядре.

     

  • 1.20, IIIHyP (?), 12:00, 06/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я так понял что придуман просто новый способ скрывать трояны, которые нужно запускать как обычно с праваи рута?В следующей версии он будет еще более скрытым\в ледующей версии ядра это исправят, и пиар этой компании умрет также как и способ скрытия процессов ?
     
     
  • 2.34, Аноним (39), 13:51, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    в следующей версии он не будет экспортировать символы, по которым его можно вычислить сейчас.
     
     
  • 3.50, IIIHyP (?), 23:34, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >в следующей версии он не будет экспортировать символы, по которым его можно
    >вычислить сейчас.

    ну дак а брешь по которой он работал тоже прикроют и получистя что очередная сказака "были вирусы, были когдато..." это же опен сорц


     

  • 1.21, Аноним (39), 12:15, 06/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    нормально. пусть лучше вскрывают проблемы и решают их,
    чем потом сервера будут падать или еще чего...
     
     
  • 2.38, Anonymous (?), 14:45, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >нормально. пусть лучше вскрывают проблемы и решают их,
    >чем потом сервера будут падать или еще чего...

    Ну нельзя же так вестись на подобный бред. Это никакой не метод - это штатные возможности отладки IA32. Нет никаких проблем и никогда не было.

     
     
  • 3.43, fix (??), 18:04, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    приколись, любой вирус/руткит/бэкдор/троян/etc использует штатные возможности процессора :)
     
     
  • 4.68, User294 (ok), 04:30, 08/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >приколись, любой вирус/руткит/бэкдор/троян/etc использует штатные возможности процессора :)

    Ну с дебаговыми регистрами - это все-таки уже наглеж :).Наглее пожалуй только сделать троянский гипервизор, который вообще пожалуй хрен заметишь :)

     
     
  • 5.78, Хелагар (ok), 14:18, 08/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>приколись, любой вирус/руткит/бэкдор/троян/etc использует штатные возможности процессора :)
    >
    >Ну с дебаговыми регистрами - это все-таки уже наглеж :).Наглее пожалуй только
    >сделать троянский гипервизор, который вообще пожалуй хрен заметишь :)

    Кстати, если мне не изменяет память, это уже делали.
    А сама идея была высказана сразу же, как только в х86 появилась поддержка виртуализации :-)

     
     
  • 6.79, User294 (ok), 15:33, 08/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А сама идея была высказана сразу же, как только в х86 появилась
    >поддержка виртуализации :-)

    Интелю оно даже понравилось и они заимплементили - vPro по сути нечто подобное и есть, особенно с точки зрения юзера.

     

  • 1.22, Аноним (2), 12:32, 06/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ЕМНИП именно так и работают современные дебагеры на вин на x86.так что они там "изобрели"?
    похоже в одной лодке плывем:D
     
  • 1.23, smn (??), 12:44, 06/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ну что тут можно сказать... пользуйте монолитные ядра по возможности...
     
  • 1.26, anonymous (??), 13:04, 06/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    боевые хомячки убиваются апстены, остальные отлично понимают, что для загрузки модуля ядра нужны права рута. а если кто-то вломился под рутом, то тут уже фиолетово, всё равно вся security сдохла.

    итого: буря в стакане. причём стакан даже без воды.

     
     
  • 2.28, vitek (??), 13:16, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    да дело то даже не в этом!
    на линухе эта техника разрабатывается и обкатывается...
    а эксплуатироваться будет на других. :-D
     
     
  • 3.29, anonymous (??), 13:20, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >да дело то даже не в этом!
    >на линухе эта техника разрабатывается и обкатывается...
    >а эксплуатироваться будет на других. :-D

    а на других мне как-то плевать. %-)

    алсо, если бздёвники думают, что для их бзди такое сделать сложнее, то они крупно ошиблись.

    а ещё всем нервным советую поискать в сети по словам blue pill.

     
     
  • 4.48, oops (?), 21:54, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >алсо, если бздёвники думают, что для их бзди такое сделать сложнее, то
    >они крупно ошиблись.

    sysctl kern.securelevel=1 или выше.

     
     
  • 5.54, ragus (?), 02:45, 07/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    О! :) ещё один свято верящий в это :)))))
    смотрим сюда:
    http://www.opennet.ru/opennews/art.shtml?num=17713

    если злоумышленник выполнит код в контексте ядра, но будет уже поздно.

     
  • 2.30, squirL (??), 13:29, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >боевые хомячки убиваются апстены, остальные отлично понимают, что для загрузки модуля ядра
    >нужны права рута. а если кто-то вломился под рутом, то тут
    >уже фиолетово, всё равно вся security сдохла.
    >
    >итого: буря в стакане. причём стакан даже без воды. интегрировать

    если кто-то вломился под рутом - то он не обязательно будет делать rm -rf /*, или совать в motd "админ - элтон джон". ему может понадобится оставить на сервере мааленькую тулзу которая рассылает нимножка спама, тырит нужные данные или еще какую каку делает. так что новый метод сокрытия нехороших процессов - очень даже пригодится таким дядькам.

     
     
  • 3.31, vitek (??), 13:40, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    бесспорно Вы правы. :-)
    но вот лично я уже предупреждён об это методе под линух.
    ...
    а вот как это будет выглядеть на других платформах? :-)
    некоторые подозрения у меня уже есть конечно, тем более, что в ряде ос недавно добавили продвинутые технологии отладки,... :-D
     
  • 3.33, anonymous (??), 13:45, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >если кто-то вломился под рутом — то он не обязательно будет делать
    >rm -rf /*, или совать в motd «админ — элтон джон».
    >ему может понадобится оставить на сервере мааленькую тулзу которая рассылает нимножка
    >спама, тырит нужные данные или еще какую каку делает. так что
    >новый метод сокрытия нехороших процессов — очень даже пригодится таким дядькам.

    а какая разница? однозначно админ там мудак, не всё ли равно, как маскироваться? если система не орёт благим матом, когда кто-то логинится под рутом, то хоть плакат a0 вешай «здесь был хакир» — не заметят.

     
  • 3.84, User294 (??), 21:19, 08/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >ему может понадобится оставить на сервере мааленькую тулзу которая рассылает нимножка
    >спама,

    А на кой хрен для этого вообще сдался рут?С рутом можно замаскировать эту активность, скажем, руткитом.

     
  • 2.83, User294 (??), 20:58, 08/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >боевые хомячки убиваются апстены, остальные отлично понимают, что для загрузки модуля ядра
    >нужны права рута.

    Да, но вот только если это все-таки случится, хаксора выбить с машины будет не так то просто уже.Впрочем непросто будет и просто засечь его наличие.В любом случае нахождение и обезвреживание хаксора с руткитом куда сложнее чем хаксора без руткита.Хорошо что в линуксе есть чем ответить на эту угрозу - всегда можно озадачить хаксора богатым набором нестандартных приколов, а пока хаксор будет просто разбираться что за фигня - у него будут все шансы спалиться :)

     

  • 1.32, Pilat (ok), 13:45, 06/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Скоро в биосе появится линукс, из которого можно будут под OpenVZ запускать систему. И хрен кто железный линукс поломает.
     
     
  • 2.35, ImPressed (?), 13:59, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    В принципе идея с DRx на платформе x86/x86_64 известна еще с лохматых годов.
    С этой фишкой полиморфные вирии были еще под DOS :)

    Правда для достижения этой идеи, процесс пишущий.читающий DR должен быть в нулевом кольце защиты процессора.
    Сдается мне скоро появится антируткит к этому руткиту, который будет встроен в ядро и будет чекать эти самые Debug Registers и отсылать всех пытающихся в них писать в сад.
    Да и дебаг-регистров не так-то и много, всего 8 штук особо не разгонишься, а на амд64 в 64-х битном режиме при попытке записи в эти регистры вылазиет эксепшн GPF так-что фуфлыжный руткит какой-то:)

     
     
  • 3.36, vitek (??), 14:15, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    теперь ещё и поддержка аппаратной виртуализации появилась...
     

  • 1.40, Bee (?), 16:37, 06/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    rootkit подобного вида был выпущен ещё 2 года назад.

    http://darkangel.antifork.org/publications/Abuso%20dell%27Hardware&

     
     
  • 2.52, RNZ (ok), 01:38, 07/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Руткит не делал, но о возможности фарсить через отладочные регистры узнал ещё 10 лет назад...
     

  • 1.45, x97Rang (??), 20:37, 06/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    скрытые процессы?
    |-)

    а как же старый добрый kill -0 PID

    http://packetstormsecurity.org/UNIX/penetration/rootkits/r57-pid-check.txt

     
     
  • 2.55, Алех (?), 13:56, 07/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее всего руткит юзает MSR в купе с DR. Я уже когда то писал, что фактически под давлением M$ интел наворотила неявные команды через управление MSR. Ясно дело, постепенно информация утекала, где то хакеры помогли, но постепенно с механизмом защиты kernel от реверинжиниринга через манипуляции MSR начали разбираться. Ясно дело что спецы забугорные, инфы мало. Хотя наш Крис Касперский вроде в курсе этих телодвижений. В общем как только проблема руткита станет действительно актуальна, ядру сделают иммунитет. В конце концов, достаточно сделать чтение MSR через proc, а далее написать SED сигнатуры допустимости и иметь сигнатуры запрещения. Но наверняка мантейнеры ядра найдут способ эффективнее.
    По крайней мере сейчас для лина 100% способ избежать подобного - собирать ядра без поддержки модульности. В случае замены/апгрейда аппаратуры - пересобирать ядро. Это конечно при условии, что вы не стянули исходники ядра фиг знает откуда, и не наложили патчей на ядро фиг знает каких.
    А вот в винде подобные руткиты это полная засада. Поговаривают про дорогую базу "умных" сигнатур, которая описывают поведение участков кода ещё не вышедших руткитов и вирей. Могу представить такую базу у спецслужб :)

    А вообще мечтается о взрослении архитектуры ARM хотя бы до уровня настольной, или опускание с небес на землю процов от IBM, SUN... Но, скорее всего, это уже далеко за вопросами рыночной стратегии...

     
     
  • 3.65, Tetragramaton (?), 00:15, 08/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    1. Монолитность ядра (без модулей)
    2. RO Раздел для ядра. В идеале диск CD.
    3. Виртуальные машины круто но перед большими нагрузками не актуально (опустим).
    4. Не допускать запуск приложений от root.
    5. Тотальный контроль FS.
    6. Honeypot никто не отменял.
    7. Не допускайте к серверам случайных особей ;-)
     
     
  • 4.69, User294 (ok), 04:44, 08/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >  1. Монолитность ядра (без модулей)

    Если вылетит какая-то железка, а аналогичной не будет - об этом можно и пожалеть при случае.Более того, если однажды окажется что надо бы еще вон тот функционал...

    > 2. RO Раздел для ядра. В идеале диск CD.

    Вариант.Но как его потом обновлять то?А то вдруг в нем крЮтую багу найдут?Перманентно бажное ядро - это уже скорее подарок хакерам чем усложнение им жизни :).Особенно нехорошо будет если сервером хочется рулить ремотно.Как вариант видится проверить со старым ядром более новое ядро на цифровую подпись Одмина, великого и ужасного и потом в случае успеха kexec на него сделать.Но это как-то геморройно уже.Потребуется много нестандартной handjob и потом поддержка всего этого будет сугубо на плечах админа.Т.е. скажем апдейт ядра будет уже не авто и админу придется самому педалить.Что првда при таком уровне паранои - пожалуй сойдет за плюс.

    >3. Виртуальные машины круто но перед большими нагрузками не актуально (опустим).

    А нельзя ли обругать OpenVZ с этой точки зрения?Он, зараза, легковесный весьма... хотя конечно ОЧЕНЬ тяжелые нагрузки лучше всяко без каких либо лишних прослоек, кто ж спорит?

    > 4. Не допускать запуск приложений от root.

    Все замечательно.А как например, порт 80 занять не будучи рутом?Потом то права можно и дропнуть, но...

    > 7. Не допускайте к серверам случайных особей ;-)

    В зависимости от крутизны оных они могут и самодопуститься, как это например было в случае полисменов vs сервер RazorBack.

     
     
  • 5.70, Nick (??), 04:57, 08/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Все замечательно.А как например, порт 80 занять не будучи рутом?

    man 7 capabilities

     
     
  • 6.75, vitek (??), 11:42, 08/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    они так и не вошли в POSIX
     

  • 1.72, Bocha (??), 07:06, 08/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Прочитал новость с удовольствием: Видимо, второй шанс нормальным вирусам и их авторам со времен ДОС даст именно Линукс, и это хорошо, а то эта херня, которую сейчас обыватели вирусами называют, это ж вообще верх человеческой лени, в винде уже, по-моему, нужно "Мастер создания вируса" сделать и примеров тучу - чтобы сразу в дистрибутиве шло. Совсем уже вирусописатели ничерта в программировании не понимают.
     
     
  • 2.88, User294 (ok), 03:45, 11/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >в винде уже, по-моему, нужно "Мастер создания вируса" сделать

    Вы опоздали - конструкторы вирусов это бойан, а у печально известного пинча помнится для тупых был конфигуратор.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру