The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

07.09.2016 09:49  Выявлен новый rootkit для Linux, подменяющий функции libc

Компания Trend Micro выявила новое семейство руткитов, получивших название Umbreon в честь одноимённого покемона, который прячется в темноте. Следы разработки Umbreon прослеживаются с начала 2015 года, а сейчас руткит появился в свободной продаже на черном рынке. Umbreon может быть установлен атакующими на Linux-системы на базе архитектур x86, x86_64 и ARM, в том числе на встраиваемые платформы, такие как платы Raspberry Pi и беспроводные маршрутизаторы.

Umbreon относится к руткитам третьего кольца защиты, функционирующим только в пространстве пользователя. Для скрытия своего присутствия, вместо перехвата системных вызовов на уровне ядра, Umbreon осуществляет подмену функций стандартной библиотеки libc. Подмена функций осуществляется на этапе связывания, путём подстановки библиотеки /usr/share/libc.so.*.[i686|x86_64|v6l].ld-2.22.so, переопределяющей функции libc. Библиотека прописывается в конфигурационный файл "/etc/ld.so.*" (где "*" случайный набор букв, например, /etc/ld.so.thVkfEQ), который, в свою очередь, подменяет в загрузчике /lib/x86_64-linux-g строку "/etc/ld.so.preload", что приводит к автоматической загрузке вредоносной библиотеки при запуске любого исполняемого файла.

Руткит предоставляет обработчики для функций работы с файлами (open, opendir, read, write, chdir и т.п.), записи в лог (syslog, audit*), запуска исполняемых файлов (execve, execvp), аутентификации через PAM (pam_authenticate, pam_open_session), работы с базой пользователей (getpwnam, getpgid, getpwuid), работы с процессами (get_procname, kill), обработки сетевых соединений (socket, netstat) и т.д. Всего перехватывается более 100 функций.

Контролируя выполнение данных функций Umbreon тщательно вырезает из потока данных информацию о своих компонентах (например, не показывает свои файлы и скрывает процессы), а также обеспечивает скрытый вход (работает в том числе через SSH), путём перехвата функций PAM и добавления скрытого пользователя, присутствие которого в /etc/passwd вырезается из вывода при выполнении операций чтения. Следы вычищаются достаточно качественно, например, дополнительные настройки компоновщика вырезаются даже из вывода трассировки, т.е. не видны при использовании таких инструментов как strace. Так как Umbreon не в состоянии перехватить системный вызов ptrace(), чистка производится на этапе вывода результата, через перехват функций vprintf, __vfprintf_chk и fputs_unlocked.

В комплект также входит бэкдор Espereon, названный в честь покемона с большими ушами. Espereon обеспечивает обратное сетевое соединение к хосту атакующего при обнаружении в TCP-пакетах определённого ключа активации. Espereon постоянно слушает сетевой трафик на сетевом интерфейсе при помощи libpcap и скрывается под прикрытием Umbreon. Скрываются не только процессы и трафик, но и сетевая активность, благодаря перехвату функций got_packet и pcap_loop.

Для обнаружения и удаления руткита можно использовать инструменты анализа содержимого ФС, напрямую обращающиеся через системные вызовы, минуя функции libc. Также можно загрузиться c LiveCD, примонтировать дисковые разделы и оценить наличие подозрительных файлов /etc/ld.so.*, /usr/lib/libc.so.* и /usr/share/libc.so.*.

  1. Главная ссылка к новости (http://blog.trendmicro.com/tre...)
  2. OpenNews: Представлены работающие на GPU прототипы руткита и кейлоггера для Linux
  3. OpenNews: Для Linux выпущен руткит принципиально нового типа
  4. OpenNews: Новый rootkit для Linux, осуществляющий подстановку вредоносного кода в HTTP-трафик
  5. OpenNews: Для платформы Android продемонстрирован прототип руткита
  6. OpenNews: Новый способ внедрения rootkit в Linux ядро
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: rootkit
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 10:32, 07/09/2016 [ответить] [смотреть все]     [к модератору]
  • –8 +/
    Ну всё, теперь недостаточно иметь энтерпрайс линукс со свежими обновлениями Дов... весь текст скрыт [показать]
     
     
  • 2.9, Омоним, 11:00, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +27 +/
    Даешь Gentoo в энтерпрайз!
     
  • 2.30, Michael Shigorin, 12:57, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Главное -- не забывать откладывать в сторонку контрольные суммы Заранее А то ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.46, ПавелС, 14:03, 07/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Допустим в Debian я воспользуюсь debsums Но как узнать, что установлено левого ... весь текст скрыт [показать]
     
     
  • 4.78, Аноним, 15:46, 07/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    https://packages.debian.org/stable/cruft
     
  • 3.100, Vombat, 06:08, 08/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    CRUX в помощь
     
  • 2.35, KOT040188, 13:06, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +7 +/
    Только исходники надо перечитывать, мало ли…
     
     
  • 3.67, Andrey Mitrofanov, 14:58, 07/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +23 +/
    > Только исходники надо перечитывать, мало ли…

    Как _пере_читывать??! Я ещё до половины не дочитал, уже который год пошёл!?  >-P

     
     
  • 4.95, бедный буратино, 23:23, 07/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    тоже мне, проблема я вот перечитал ПСС как теперь скомпилировать программу парт... весь текст скрыт [показать]
     
  • 3.117, Andrey Mitrofanov, 13:42, 09/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Никому верить нельзя, Debian-у https www trueelena org computers articles cand... весь текст скрыт [показать]
     
     
  • 4.118, Andrey Mitrofanov, 13:45, 09/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    >контразвеТчик

    ах, я негодяй

     
     
  • 5.119, тоже Аноним, 14:23, 09/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Тогда уж "контРазвеТчик" - ошибки-то две...
     
  • 2.36, IZh., 13:06, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +12 +/
    А доверенный компилятор у вас есть? ;-) А то у компилятора такой простор для встраивания руткитов в компилируемые проекты. ;-)
     
     
  • 3.38, Mihail Zenkov, 13:19, 07/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +9 +/
    И процессор к нему, а то нынче модно всякое непотребство прямо в процессор встраивать. А потом поди угадай, что он вместо твоего доверенного компилятор запустил/выполнил ;)

     
     
  • 4.40, IZh., 13:32, 07/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Именно Доверенный процессор без бэкдоров в виде недокументированных команд и ... весь текст скрыт [показать]
     
     
  • 5.43, Mihail Zenkov, 13:44, 07/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +16 +/
    Господа!
    Фирма "IZh & Zenkoff" готова предположить вам радикальное решение! Не доверяйте свои расчеты западным процессором и уж тем более китайским калькуляторам. Только отечественные счеты нашего производства (с костяшками из сибирского кедра), гарантируют вам прозрачность и стабильность всех ваших расчетов! Также наша фирма поддерживает идею Open-source hardwar и к каждому экземпляру прилагается полный чертеж изделия со всей необходимой пояснительной документацией.
     
     
  • 6.49, тоже Аноним, 14:06, 07/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Так перестарались с секьюрностью, что получили никакую интеграцию.
     
  • 6.74, Аноним, 15:17, 07/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +6 +/
    >  Только отечественные
    > счеты нашего производства (с костяшками из сибирского кедра), гарантируют вам прозрачность

    А можно костяшки и все остальное тоже прозрачным, для дополнительной прозрачности (а то мало ли какие там жучки с сибирского кедра останутся!)?


     
     
  • 7.87, тоже Аноним, 18:39, 07/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Недостаточно импортозаместительно Нужно костяшки заменить на Эльбрусы - подд... весь текст скрыт [показать]
     
  • 6.85, Аноним, 18:13, 07/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Счёты - это как айфон гламурно и бестолково Лучше Электронику МК-85 клонируйте... весь текст скрыт [показать]
     
  • 5.50, Анонимко, 14:06, 07/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Радио-86КР к Вашим услугам Собственная сборка и прошивка обеспечит гарантирован... весь текст скрыт [показать]
     
     
  • 6.51, Michael Shigorin, 14:12, 07/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    > 86КР
     
     
  • 7.108, JL, 18:34, 08/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    86РК
     
  • 6.98, Аноним, 02:57, 08/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Спектрумы лучше.
     
  • 6.106, Ordu, 14:50, 08/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    https://www.youtube.com/watch?v=z71h9XZbAWY
     
  • 1.2, Аноним, 10:36, 07/09/2016 [ответить] [смотреть все]     [к модератору]  
  • +/
    Существует программа patchelf, позволяющая запускать программы от новых систем в... весь текст скрыт [показать]
     
     
  • 2.24, Кирилл, 12:07, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Скорее всего так, но возникает вопрос с его корректной установкой При установ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, Mihail Zenkov, 12:59, 07/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    невозможно - слишком смелое утверждение Точнее будет сказать мало вероятно ... весь текст скрыт [показать]
     
  • 1.3, Аноним, 10:38, 07/09/2016 [ответить] [смотреть все]    [к модератору]  
  • +13 +/
    Вот что значит тащить всякую дрянь в систему, вместо установки пакетов из доверенных источников.
     
     
  • 2.21, lucentcode, 11:55, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    Огласите список, please?
     
     
  • 3.27, Crazy Alex, 12:47, 07/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Debian main
     
  • 3.54, Аноним, 14:18, 07/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Список дряни? Ну сам найдешь, не маленький.
     
  • 3.64, Аноним, 14:44, 07/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +6 +/
    1. Skype
    2. Flash player
    3. Google Chrome
    4. Oracle JVM
     
     
  • 4.70, Аноним, 15:09, 07/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +5 +/
    5. Steam (и игори)
     
  • 1.5, Аноним, 10:46, 07/09/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    >инструменты анализа содержимого ФС

    Огласите список плз?

     
     
  • 2.8, SysA, 10:58, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Прочитай оригинал статьи - там и примеры есть ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, Аноним, 11:44, 07/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Там проприетарщина Хочется чего-то штатного, что есть в репозиториях Помню был... весь текст скрыт [показать]
     
     
  • 4.66, SysA, 14:56, 07/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Я не имел ввиду путь скрипт-кидди кстати, а почему ты собираешься верить сторон... весь текст скрыт [показать]
     
     
  • 5.76, Аноним, 15:24, 07/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    А попытска чистки скомпрометированной системы значит не путь скрипт-кидди ... весь текст скрыт [показать]
     
  • 2.47, Аноним, 14:05, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Вы всерьез надеетесь на нормальный ответ Тут не так давно один опеннетный спец... весь текст скрыт [показать] [показать ветку]
     
  • 1.11, Аноним, 11:20, 07/09/2016 [ответить] [смотреть все]    [к модератору]  
  • –4 +/
    Пользователи NixOS смотрят с недоумением.
     
     
  • 2.33, ТТТ, 13:03, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    2,5 человека?
     
     
  • 3.53, nop, 14:13, 07/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Все население Лихтенштейна!
     
  • 2.55, Аноним, 14:20, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    NixOS - это где пакеты можно устанавливать в домашнюю директорию пользователя ... весь текст скрыт [показать] [показать ветку]
     
  • 2.56, Аноним, 14:22, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    А что там у них? libc.dll?
     
  • 2.59, rshadow, 14:26, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    Пользователи BolgenOS тоже.
     
     
  • 3.71, Аноним, 15:10, 07/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Антивирус Попова защитит от любого руткита Я гарантирую это ... весь текст скрыт [показать]
     
  • 1.12, Kroz, 11:20, 07/09/2016 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    А как он размножается?
    Что должно случиться, чтобы он появился у меня на компьютере?
     
     
  • 2.17, Andrey Mitrofanov, 11:39, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    Поняшка развеет Ваши сомнения --вирус это далеко не любая малварь --Nobody ca... весь текст скрыт [показать] [показать ветку]
     
  • 2.19, Аноним, 11:45, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +9 +/
    > А как он размножается?
    > Что должно случиться, чтобы он появился у меня на компьютере?

    Это руткит, он не размножается, а устанавливается после взлома.

     
  • 2.52, Нанобот, 14:13, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    вообще-то руткиты - не вирусы, они не размножаются их устанавливают хакеры, пол... весь текст скрыт [показать] [показать ветку]
     
  • 1.15, iZEN, 11:25, 07/09/2016 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Этот руткит может быть переписан для FreeBSD?
     
     
  • 2.26, Andrey Mitrofanov, 12:16, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +10 +/
    > Этот руткит может быть переписан для FreeBSD?

    Думаешь, он под GPL и прямо-таки надо именно переписывать?! Кругом враги!

     
     
  • 3.29, Mihail Zenkov, 12:50, 07/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Смешно Но если серьезно - то да, скорее всего нужно добавлять поддержку BSD lib... весь текст скрыт [показать]
     
     
  • 4.69, Andrey Mitrofanov, 15:07, 07/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Пасиб 1 ещё момент оно может быть закрытое и б3дешники снова будут перепи... весь текст скрыт [показать]
     
     
  • 5.86, Аноним, 18:18, 07/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Чувак, тот, кто убедил тебя, что шутка повторённая дважды становится смешнее, оч... весь текст скрыт [показать]
     
     
  • 6.101, Andrey Mitrofanov, 09:56, 08/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Следи за тредом, д-6-л После слов Но если серьезно я уже разговаривал с челов... весь текст скрыт [показать]
     
  • 2.58, Аноним, 14:25, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    Этот руткит может быть переписан для FreeBSD на Java.
     
  • 1.16, Mihail Zenkov, 11:26, 07/09/2016 [ответить] [смотреть все]    [к модератору]  
  • +5 +/
    > Для обнаружения и удаления руткита можно использовать инструменты анализа содержимого ФС, напрямую обращающиеся через системные вызовы, минуя функции libc.

    Или держать в системе статически линкованый busybox.

     
     
  • 2.32, Michael Shigorin, 13:00, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    Кстати, да Как вариант, http altlinux org rescue -- заодно там одна из наибол... весь текст скрыт [показать] [показать ветку]
     
  • 2.120, Аноним, 19:05, 12/09/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Из него средство forensic хилое, да и пропатчить его можно ... весь текст скрыт [показать] [показать ветку]
     
  • 1.20, Аноним, 11:45, 07/09/2016 [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Ну наконец хоть что-то интересное А то достали уже пугать примитивнейшими троян... весь текст скрыт [показать]
     
     
  • 2.37, for mother russia, 13:09, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    Скука Троян, перехвативший сотню функций в kernel32 dll, вызвал бы лишь жалос... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.73, Andrey Mitrofanov, 15:17, 07/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Делом занят, ему не до Вашего вранья Он переписывает unix-совместимую ОС, а не ... весь текст скрыт [показать]
     
  • 2.42, sage, 13:43, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    Jynxkit с подобной функциональностью появился в 2011, потом был Jynx2, Azazel.
     
  • 1.25, iPony, 12:07, 07/09/2016 [ответить] [смотреть все]    [к модератору]  
  • +12 +/
    Теперь, оставив открытый shh наружу, можно будет ловить покемонов
     
  • 1.34, freehck, 13:03, 07/09/2016 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Хм. Автор руткита сидит на опеннете? "А я на чёрном рынке хорошенький руткит продаю, приходите посмотреть", - это, конечно, интересная новость. :)
     
     
  • 2.39, тоже Аноним, 13:27, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +6 +/
    Сидит на ОпенНете, а работает на ТрендМикро. Вот вы его и вычислили!
     
  • 1.41, нет, 13:42, 07/09/2016 [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    То, что поколение покемонов прочитало про LD_PRELOAD, это радует но то, что резу... весь текст скрыт [показать]
     
     
  • 2.82, angra, 17:12, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +10 +/
    За час "любой linux программист" даже грамотное техническое задание не составит под эту задачу. Ты похоже не представляешь сколько надо времени, чтобы вдумчиво прочитать доку по всем функциям libc, проанализировать параметры и возращаемые значения, после чего составить список что, где и как надо заменить.
     
     
  • 3.97, любой линукс программист, 23:45, 07/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –5 +/
    лолчик, все функции либс при написании этого эксплойта никто не прочитал, инфа 1... весь текст скрыт [показать]
     
     
  • 4.102, Очередной аноним, 11:24, 08/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    ты похоже не читатель, ты писатель Написано же Всего перехватывается более ... весь текст скрыт [показать]
     
     
  • 5.103, нет, 11:34, 08/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    не нужно 100 функций Это для веса ... весь текст скрыт [показать]
     
     
  • 6.104, arisu, 12:02, 08/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    вау, вау, Иксперд, нидови нас своим МегаЗнанием!
     
  • 6.105, Mihail Zenkov, 12:40, 08/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Так напиши мене такой rootkit прячущий процесс, файлы, файловые операции, сетев... весь текст скрыт [показать]
     
     
  • 7.107, angra, 15:57, 08/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    У меня стойкое впечатление, что нет и любой линукс программист просто не пон... весь текст скрыт [показать]
     
     
  • 8.122, Аноним, 19:12, 12/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Это реально либа которая работает через LD_PRELOAD По уровню технологий - бамбу... весь текст скрыт [показать]
     
     
  • 9.125, нет, 15:48, 13/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    да кто читать-то будет, про эту новость уже забыли Молодёжь, обиделись, заминус... весь текст скрыт [показать]
     
  • 3.121, Аноним, 19:10, 12/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Не позорь собой линукс-программистов Я библу под LD_PRELOAD перехватывающую ope... весь текст скрыт [показать]
     
     
  • 4.123, Mihail Zenkov, 21:01, 12/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Я вот тоже за час наваял библиотеку i2c для uC - вывод на LCD работал нормально ... весь текст скрыт [показать]
     
  • 4.124, arisu, 12:08, 13/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    а теперь ядро давай. за день справишься — с твоими‐то умениями!
     
  • 1.44, Анончег, 13:47, 07/09/2016 [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    Я правильно понимаю, что для внедрения данного руткита необходимо иметь права на... весь текст скрыт [показать]
     
     
  • 2.45, Michael Shigorin, 13:50, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    Это другая часть задачи -- эксплойт уязвимости класса хотя бы local root ... весь текст скрыт [показать] [показать ветку]
     
  • 2.77, Andrey Mitrofanov, 15:25, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Ни читать-то они не http www opennet ru openforum vsluhforumID3 109035 html 11... весь текст скрыт [показать] [показать ветку]
     
  • 1.48, Нанобот, 14:05, 07/09/2016 [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    вопрос к знатокам а на ARM вообще есть ring3 ... весь текст скрыт [показать]
     
     
  • 2.61, eganru, 14:30, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    в arm есть уровни привилегий: user, kernel, hypervisor.
     
  • 2.62, Аноним, 14:31, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Ну это, скорее всего, образно сказано Имеется ввиду ring с наименьшими привилег... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.63, eganru, 14:42, 07/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    скорее не следовало вообще упоминать кольцо защиты достаточно было упомянуть то... весь текст скрыт [показать]
     
  • 1.60, yaa, 14:26, 07/09/2016 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Я такую хрень видал на SS (SPARCstation), Solaris, где-то в 00-02...
    Ставилась по сетке через дыру в lp daemon (уже не помню, как он там звался).

    Ничего нового в подлунном мире...

     
  • 1.68, Mirraz, 15:03, 07/09/2016 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Нужен рут, а его ещё получить надо. Беспокоиться не о чем.
     
     
  • 2.75, Аноним, 15:19, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Следующая новость будет Обнаружена уязвимость в bash позволяющая поднять приви... весь текст скрыт [показать] [показать ветку]
     
  • 1.79, arisu, 16:18, 07/09/2016 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    опять новости про какую‐то проприетарщину! где ссылка на репозиторий? как собрать? куда патчи слать? тьфу.
     
  • 1.80, Случайный_гость, 16:35, 07/09/2016 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    "Umbreon может быть установлен..." - опять собирать вручную и устанавливать))), какая, опасная, малварь!!! )))))))))).
     
     
  • 2.111, Аноним, 01:57, 09/09/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Если информация в Вашей системе будет представлять существенную ценность, то обя... весь текст скрыт [показать] [показать ветку]
     
  • 1.88, XoRe, 18:55, 07/09/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    > относится к руткитам третьего кольца защиты, функционирующим только в пространстве пользователя
    > Библиотека прописывается в конфигурационный файл "/etc/ld.so.*"

    Как он в /etc от юзера что-то запишет?

     
     
  • 2.89, Аноним84701, 19:18, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    http www catb org jargon html U userland html Ваш Кэп ... весь текст скрыт [показать] [показать ветку]
     
  • 2.90, Анонимум, 19:29, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    Не путайте пространство пользователя с привелегиями пользователя.
     
  • 1.94, Аноним, 22:47, 07/09/2016 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Мда помнится, когда-то я слепил флэшку с BartPE и развлекался прибиванием скр... весь текст скрыт [показать]
     
  • 1.99, Аноним, 03:29, 08/09/2016 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Также можно загрузиться c LiveCD, примонтировать дисковые разделы и оценить нал... весь текст скрыт [показать]
     
  • 1.109, Аноним, 23:54, 08/09/2016 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Всё, теперь буду ходить в интернет только с плейстейшен Там же нет руткитов Ве... весь текст скрыт [показать]
     
     
  • 2.112, anonymous, 10:38, 09/09/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Выявлен новый rootkit для Linux, подменяющий функции libc... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.113, anonymous, 10:40, 09/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    DIR dp struct dirent ep dp opendir etc if dp NULL ... весь текст скрыт [показать]
     
  • 3.114, Andrey Mitrofanov, 10:43, 09/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Ходи с венды -- там и root-а нету ... весь текст скрыт [показать]
     
  • 1.115, Аноним, 11:03, 09/09/2016 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    "Никому нельзя верить, врут все" - Хаус.
     
     
  • 2.116, Andrey Mitrofanov, 11:51, 09/09/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    >врут все" - Хаус.

    Фу-фу. https://otvet.mail.ru/answer/179135965

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor