The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

07.09.2016 09:49  Выявлен новый rootkit для Linux, подменяющий функции libc

Компания Trend Micro выявила новое семейство руткитов, получивших название Umbreon в честь одноимённого покемона, который прячется в темноте. Следы разработки Umbreon прослеживаются с начала 2015 года, а сейчас руткит появился в свободной продаже на черном рынке. Umbreon может быть установлен атакующими на Linux-системы на базе архитектур x86, x86_64 и ARM, в том числе на встраиваемые платформы, такие как платы Raspberry Pi и беспроводные маршрутизаторы.

Umbreon относится к руткитам третьего кольца защиты, функционирующим только в пространстве пользователя. Для скрытия своего присутствия, вместо перехвата системных вызовов на уровне ядра, Umbreon осуществляет подмену функций стандартной библиотеки libc. Подмена функций осуществляется на этапе связывания, путём подстановки библиотеки /usr/share/libc.so.*.[i686|x86_64|v6l].ld-2.22.so, переопределяющей функции libc. Библиотека прописывается в конфигурационный файл "/etc/ld.so.*" (где "*" случайный набор букв, например, /etc/ld.so.thVkfEQ), который, в свою очередь, подменяет в загрузчике /lib/x86_64-linux-g строку "/etc/ld.so.preload", что приводит к автоматической загрузке вредоносной библиотеки при запуске любого исполняемого файла.

Руткит предоставляет обработчики для функций работы с файлами (open, opendir, read, write, chdir и т.п.), записи в лог (syslog, audit*), запуска исполняемых файлов (execve, execvp), аутентификации через PAM (pam_authenticate, pam_open_session), работы с базой пользователей (getpwnam, getpgid, getpwuid), работы с процессами (get_procname, kill), обработки сетевых соединений (socket, netstat) и т.д. Всего перехватывается более 100 функций.

Контролируя выполнение данных функций Umbreon тщательно вырезает из потока данных информацию о своих компонентах (например, не показывает свои файлы и скрывает процессы), а также обеспечивает скрытый вход (работает в том числе через SSH), путём перехвата функций PAM и добавления скрытого пользователя, присутствие которого в /etc/passwd вырезается из вывода при выполнении операций чтения. Следы вычищаются достаточно качественно, например, дополнительные настройки компоновщика вырезаются даже из вывода трассировки, т.е. не видны при использовании таких инструментов как strace. Так как Umbreon не в состоянии перехватить системный вызов ptrace(), чистка производится на этапе вывода результата, через перехват функций vprintf, __vfprintf_chk и fputs_unlocked.

В комплект также входит бэкдор Espereon, названный в честь покемона с большими ушами. Espereon обеспечивает обратное сетевое соединение к хосту атакующего при обнаружении в TCP-пакетах определённого ключа активации. Espereon постоянно слушает сетевой трафик на сетевом интерфейсе при помощи libpcap и скрывается под прикрытием Umbreon. Скрываются не только процессы и трафик, но и сетевая активность, благодаря перехвату функций got_packet и pcap_loop.

Для обнаружения и удаления руткита можно использовать инструменты анализа содержимого ФС, напрямую обращающиеся через системные вызовы, минуя функции libc. Также можно загрузиться c LiveCD, примонтировать дисковые разделы и оценить наличие подозрительных файлов /etc/ld.so.*, /usr/lib/libc.so.* и /usr/share/libc.so.*.

  1. Главная ссылка к новости (http://blog.trendmicro.com/tre...)
  2. OpenNews: Представлены работающие на GPU прототипы руткита и кейлоггера для Linux
  3. OpenNews: Для Linux выпущен руткит принципиально нового типа
  4. OpenNews: Новый rootkit для Linux, осуществляющий подстановку вредоносного кода в HTTP-трафик
  5. OpenNews: Для платформы Android продемонстрирован прототип руткита
  6. OpenNews: Новый способ внедрения rootkit в Linux ядро
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: rootkit
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 10:32, 07/09/2016 [ответить] [показать ветку] [···]     [к модератору]
  • –8 +/
    Ну всё, теперь недостаточно иметь энтерпрайс линукс со свежими обновлениями Дов... весь текст скрыт [показать]
     
     
  • 2.9, Омоним (?), 11:00, 07/09/2016 [^] [ответить]    [к модератору]  
  • +27 +/
    Даешь Gentoo в энтерпрайз!
     
  • 2.30, Michael Shigorin (ok), 12:57, 07/09/2016 [^] [ответить]    [к модератору]  
  • +/
    > и всё компилять!

    Главное -- не забывать откладывать в сторонку контрольные суммы.  Заранее.
    А то может ещё смешней получиться...

     
     
  • 3.46, ПавелС (ok), 14:03, 07/09/2016 [^] [ответить]    [к модератору]  
  • +/
    Допустим в Debian я воспользуюсь debsums. Но как узнать, что установлено левого?
     
     
  • 4.78, Аноним (-), 15:46, 07/09/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    https://packages.debian.org/stable/cruft
     
  • 3.100, Vombat (?), 06:08, 08/09/2016 [^] [ответить]    [к модератору]  
  • +/
    CRUX в помощь
     
  • 2.35, KOT040188 (ok), 13:06, 07/09/2016 [^] [ответить]    [к модератору]  
  • +7 +/
    Только исходники надо перечитывать, мало ли…
     
     
  • 3.67, Andrey Mitrofanov (?), 14:58, 07/09/2016 [^] [ответить]    [к модератору]  
  • +23 +/
    > Только исходники надо перечитывать, мало ли…

    Как _пере_читывать??! Я ещё до половины не дочитал, уже который год пошёл!?  >-P

     
     
  • 4.95, бедный буратино (ok), 23:23, 07/09/2016 [^] [ответить]    [к модератору]  
  • +/
    тоже мне, проблема

    я вот перечитал ПСС. как теперь скомпилировать программу партии?

     
  • 3.117, Andrey Mitrofanov (?), 13:42, 09/09/2016 [^] [ответить]     [к модератору]  
  • +/
    Никому верить нельзя, Debian-у https www trueelena org computers articles cand... весь текст скрыт [показать]
     
     
  • 4.118, Andrey Mitrofanov (?), 13:45, 09/09/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    >контразвеТчик

    ах, я негодяй

     
     
  • 5.119, тоже Аноним (ok), 14:23, 09/09/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Тогда уж "контРазвеТчик" - ошибки-то две...
     
  • 2.36, IZh. (?), 13:06, 07/09/2016 [^] [ответить]    [к модератору]  
  • +12 +/
    А доверенный компилятор у вас есть? ;-) А то у компилятора такой простор для встраивания руткитов в компилируемые проекты. ;-)
     
     
  • 3.38, Mihail Zenkov (ok), 13:19, 07/09/2016 [^] [ответить]    [к модератору]  
  • +9 +/
    И процессор к нему, а то нынче модно всякое непотребство прямо в процессор встраивать. А потом поди угадай, что он вместо твоего доверенного компилятор запустил/выполнил ;)

     
     
  • 4.40, IZh. (?), 13:32, 07/09/2016 [^] [ответить]     [к модератору]  
  • +4 +/
    Именно Доверенный процессор без бэкдоров в виде недокументированных команд и ... весь текст скрыт [показать]
     
     
  • 5.43, Mihail Zenkov (ok), 13:44, 07/09/2016 [^] [ответить]    [к модератору]  
  • +16 +/
    Господа!
    Фирма "IZh & Zenkoff" готова предположить вам радикальное решение! Не доверяйте свои расчеты западным процессором и уж тем более китайским калькуляторам. Только отечественные счеты нашего производства (с костяшками из сибирского кедра), гарантируют вам прозрачность и стабильность всех ваших расчетов! Также наша фирма поддерживает идею Open-source hardwar и к каждому экземпляру прилагается полный чертеж изделия со всей необходимой пояснительной документацией.
     
     
  • 6.49, тоже Аноним (ok), 14:06, 07/09/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Так перестарались с секьюрностью, что получили никакую интеграцию.
     
  • 6.74, Аноним (-), 15:17, 07/09/2016 [^] [ответить]    [к модератору]  
  • +6 +/
    >  Только отечественные
    > счеты нашего производства (с костяшками из сибирского кедра), гарантируют вам прозрачность

    А можно костяшки и все остальное тоже прозрачным, для дополнительной прозрачности (а то мало ли какие там жучки с сибирского кедра останутся!)?


     
     
  • 7.87, тоже Аноним (ok), 18:39, 07/09/2016 [^] [ответить]    [к модератору]  
  • +/
    Недостаточно импортозаместительно.
    Нужно костяшки заменить на "Эльбрусы" - поддержать отечественные IT!
     
  • 6.85, Аноним (-), 18:13, 07/09/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Счёты - это как айфон: гламурно и бестолково. Лучше Электронику МК-85 клонируйте!
     
  • 5.50, Анонимко (?), 14:06, 07/09/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Радио-86КР к Вашим услугам! Собственная сборка и прошивка обеспечит гарантированное отсутствие бэкдоров! Софт тоже сами напишите. Зато надежно!
     
     
  • 6.51, Michael Shigorin (ok), 14:12, 07/09/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    > 86КР
     
     
  • 7.108, JL (?), 18:34, 08/09/2016 [^] [ответить]    [к модератору]  
  • +/
    86РК
     
  • 6.98, Аноним (-), 02:57, 08/09/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Спектрумы лучше.
     
  • 6.106, Ordu (ok), 14:50, 08/09/2016 [^] [ответить]    [к модератору]  
  • +/
    https://www.youtube.com/watch?v=z71h9XZbAWY
     
  • 1.2, Аноним (-), 10:36, 07/09/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Существует программа patchelf, позволяющая запускать программы от новых систем в... весь текст скрыт [показать]
     
     
  • 2.24, Кирилл (??), 12:07, 07/09/2016 [^] [ответить]     [к модератору]  
  • +/
    Скорее всего так, но возникает вопрос с его корректной установкой При установ... весь текст скрыт [показать]
     
     
  • 3.31, Mihail Zenkov (ok), 12:59, 07/09/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    > При установке обновлений и пакетов штатным apt, например, его подцепить невозможно

    "невозможно" - слишком смелое утверждение. Точнее будет сказать: мало вероятно.

     
  • 1.3, Аноним (-), 10:38, 07/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +13 +/
    Вот что значит тащить всякую дрянь в систему, вместо установки пакетов из доверенных источников.
     
     
  • 2.21, lucentcode (ok), 11:55, 07/09/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Огласите список, please?
     
     
  • 3.27, Crazy Alex (ok), 12:47, 07/09/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Debian main
     
  • 3.54, Аноним (-), 14:18, 07/09/2016 [^] [ответить]    [к модератору]  
  • +/
    Список дряни? Ну сам найдешь, не маленький.
     
  • 3.64, Аноним (-), 14:44, 07/09/2016 [^] [ответить]    [к модератору]  
  • +6 +/
    1. Skype
    2. Flash player
    3. Google Chrome
    4. Oracle JVM
     
     
  • 4.70, Аноним (-), 15:09, 07/09/2016 [^] [ответить]    [к модератору]  
  • +5 +/
    5. Steam (и игори)
     
  • 1.5, Аноним (-), 10:46, 07/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >инструменты анализа содержимого ФС

    Огласите список плз?

     
     
  • 2.8, SysA (?), 10:58, 07/09/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    >>инструменты анализа содержимого ФС
    > Огласите список плз?

    Прочитай оригинал статьи - там и примеры есть! :)

     
     
  • 3.18, Аноним (-), 11:44, 07/09/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Там проприетарщина Хочется чего-то штатного, что есть в репозиториях Помню был... весь текст скрыт [показать]
     
     
  • 4.66, SysA (?), 14:56, 07/09/2016 [^] [ответить]     [к модератору]  
  • +/
    Я не имел ввиду путь скрипт-кидди кстати, а почему ты собираешься верить сторон... весь текст скрыт [показать]
     
     
  • 5.76, Аноним (-), 15:24, 07/09/2016 [^] [ответить]    [к модератору]  
  • +5 +/
    > Я не имел ввиду путь скрипт-кидди

    А попытска чистки скомпрометированной системы значит не путь скрипт-кидди?


     
  • 2.47, Аноним (-), 14:05, 07/09/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    Вы всерьез надеетесь на нормальный ответ Тут не так давно один опеннетный спец... весь текст скрыт [показать]
     
  • 1.11, Аноним (-), 11:20, 07/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –4 +/
    Пользователи NixOS смотрят с недоумением.
     
     
  • 2.33, ТТТ (?), 13:03, 07/09/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    2,5 человека?
     
     
  • 3.53, nop (?), 14:13, 07/09/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Все население Лихтенштейна!
     
  • 2.55, Аноним (-), 14:20, 07/09/2016 [^] [ответить]    [к модератору]  
  • +/
    NixOS - это где пакеты можно устанавливать в домашнюю директорию пользователя? ;)
     
  • 2.56, Аноним (-), 14:22, 07/09/2016 [^] [ответить]    [к модератору]  
  • +/
    А что там у них? libc.dll?
     
  • 2.59, rshadow (ok), 14:26, 07/09/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Пользователи BolgenOS тоже.
     
     
  • 3.71, Аноним (-), 15:10, 07/09/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    > Пользователи BolgenOS тоже.

    Антивирус Попова защитит от любого руткита! Я гарантирую это!

     
  • 1.12, Kroz (ok), 11:20, 07/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    А как он размножается?
    Что должно случиться, чтобы он появился у меня на компьютере?
     
     
  • 2.17, Andrey Mitrofanov (?), 11:39, 07/09/2016 [^] [ответить]     [к модератору]  
  • +3 +/
    Поняшка развеет Ваши сомнения --вирус это далеко не любая малварь --Nobody ca... весь текст скрыт [показать]
     
  • 2.19, Аноним (-), 11:45, 07/09/2016 [^] [ответить]    [к модератору]  
  • +9 +/
    > А как он размножается?
    > Что должно случиться, чтобы он появился у меня на компьютере?

    Это руткит, он не размножается, а устанавливается после взлома.

     
  • 2.52, Нанобот (ok), 14:13, 07/09/2016 [^] [ответить]    [к модератору]  
  • +/
    >А как он размножается?

    вообще-то руткиты - не вирусы, они не размножаются. их устанавливают хакеры, получившие несанкционированый доступ

     
  • 1.15, iZEN (ok), 11:25, 07/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Этот руткит может быть переписан для FreeBSD?
     
     
  • 2.26, Andrey Mitrofanov (?), 12:16, 07/09/2016 [^] [ответить]    [к модератору]  
  • +10 +/
    > Этот руткит может быть переписан для FreeBSD?

    Думаешь, он под GPL и прямо-таки надо именно переписывать?! Кругом враги!

     
     
  • 3.29, Mihail Zenkov (ok), 12:50, 07/09/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    Смешно.

    Но если серьезно - то да, скорее всего нужно добавлять поддержку BSD libc отдельно, ибо IIRC там какие-то особенности работы со строками.

     
     
  • 4.69, Andrey Mitrofanov (?), 15:07, 07/09/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Пасиб 1 ещё момент оно может быть закрытое и б3дешники снова будут перепи... весь текст скрыт [показать]
     
     
  • 5.86, Аноним (-), 18:18, 07/09/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Чувак, тот, кто убедил тебя, что шутка повторённая дважды становится смешнее, очевидно был троллем. Не надо так.
     
     
  • 6.101, Andrey Mitrofanov (?), 09:56, 08/09/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Следи за тредом, д-6-л После слов Но если серьезно я уже разговаривал с челов... весь текст скрыт [показать]
     
  • 2.58, Аноним (-), 14:25, 07/09/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Этот руткит может быть переписан для FreeBSD на Java.
     
  • 1.16, Mihail Zenkov (ok), 11:26, 07/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    > Для обнаружения и удаления руткита можно использовать инструменты анализа содержимого ФС, напрямую обращающиеся через системные вызовы, минуя функции libc.

    Или держать в системе статически линкованый busybox.

     
     
  • 2.32, Michael Shigorin (ok), 13:00, 07/09/2016 [^] [ответить]     [к модератору]  
  • –2 +/
    Кстати, да Как вариант, http altlinux org rescue -- заодно там одна из наибол... весь текст скрыт [показать]
     
  • 2.120, Аноним (-), 19:05, 12/09/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > Или держать в системе статически линкованый busybox.

    Из него средство forensic хилое, да и пропатчить его можно.

     
  • 1.20, Аноним (-), 11:45, 07/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Ну наконец хоть что-то интересное! А то достали уже пугать примитивнейшими троянами.
    Кстати, напомните, сколько лет назад предыдущий руткит появился?
     
     
  • 2.37, for mother russia (?), 13:09, 07/09/2016 [^] [ответить]     [к модератору]  
  • +3 +/
    Скука Троян, перехвативший сотню функций в kernel32 dll, вызвал бы лишь жалос... весь текст скрыт [показать]
     
     
  • 3.73, Andrey Mitrofanov (?), 15:17, 07/09/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Делом занят, ему не до Вашего вранья Он переписывает unix-совместимую ОС, а не ... весь текст скрыт [показать]
     
  • 2.42, sage (??), 13:43, 07/09/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Jynxkit с подобной функциональностью появился в 2011, потом был Jynx2, Azazel.
     
  • 1.25, iPony (?), 12:07, 07/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +12 +/
    Теперь, оставив открытый shh наружу, можно будет ловить покемонов
     
  • 1.34, freehck (ok), 13:03, 07/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Хм. Автор руткита сидит на опеннете? "А я на чёрном рынке хорошенький руткит продаю, приходите посмотреть", - это, конечно, интересная новость. :)
     
     
  • 2.39, тоже Аноним (ok), 13:27, 07/09/2016 [^] [ответить]    [к модератору]  
  • +6 +/
    Сидит на ОпенНете, а работает на ТрендМикро. Вот вы его и вычислили!
     
  • 1.41, нет (??), 13:42, 07/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    То, что поколение покемонов прочитало про LD_PRELOAD, это радует но то, что результат часа работы любого linux программиста продаётся на чёрном рынке, дискредитирует сами эти рынки.
     
     
  • 2.82, angra (ok), 17:12, 07/09/2016 [^] [ответить]    [к модератору]  
  • +10 +/
    За час "любой linux программист" даже грамотное техническое задание не составит под эту задачу. Ты похоже не представляешь сколько надо времени, чтобы вдумчиво прочитать доку по всем функциям libc, проанализировать параметры и возращаемые значения, после чего составить список что, где и как надо заменить.
     
     
  • 3.97, любой линукс программист (?), 23:45, 07/09/2016 [^] [ответить]    [к модератору]  
  • –5 +/
    лолчик, все функции либс при написании этого эксплойта никто не прочитал, инфа 100%. Подменяли от силы пять, и это это слегка перебор. Реализован хардкод прелоада.
     
     
  • 4.102, Очередной аноним (?), 11:24, 08/09/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    ты похоже не читатель, ты писатель Написано же Всего перехватывается более ... весь текст скрыт [показать]
     
     
  • 5.103, нет (??), 11:34, 08/09/2016 [^] [ответить]     [к модератору]  
  • –4 +/
    не нужно 100 функций Это для веса ... весь текст скрыт [показать]
     
     
  • 6.104, arisu (ok), 12:02, 08/09/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    вау, вау, Иксперд, нидови нас своим МегаЗнанием!
     
  • 6.105, Mihail Zenkov (ok), 12:40, 08/09/2016 [^] [ответить]     [к модератору]  
  • +/
    Так напиши мене такой rootkit прячущий процесс, файлы, файловые операции, сетев... весь текст скрыт [показать]
     
     
  • 7.107, angra (ok), 15:57, 08/09/2016 [^] [ответить]     [к модератору]  
  • +5 +/
    У меня стойкое впечатление, что нет и любой линукс программист просто не пон... весь текст скрыт [показать]
     
     
  • 8.122, Аноним (-), 19:12, 12/09/2016 [^] [ответить]    [к модератору]  
  • +/
    Это реально либа которая работает через LD_PRELOAD. По уровню технологий - бамбуковый самолет и есть. Правда покрашенный и обтянутый парусиной, поэтому даже немного летает.
     
     
  • 9.125, нет (??), 15:48, 13/09/2016 [^] [ответить]    [к модератору]  
  • +/
    да кто читать-то будет, про эту новость уже забыли. Молодёжь, обиделись, заминусовали.
     
  • 3.121, Аноним (-), 19:10, 12/09/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Не позорь собой линукс-программистов Я библу под LD_PRELOAD перехватывающую ope... весь текст скрыт [показать]
     
     
  • 4.123, Mihail Zenkov (ok), 21:01, 12/09/2016 [^] [ответить]     [к модератору]  
  • +/
    Я вот тоже за час наваял библиотеку i2c для uC - вывод на LCD работал нормально ... весь текст скрыт [показать]
     
  • 4.124, arisu (ok), 12:08, 13/09/2016 [^] [ответить]    [к модератору]  
  • +/
    а теперь ядро давай. за день справишься — с твоими‐то умениями!
     
     ....нить скрыта, показать (12)

  • 1.44, Анончег (?), 13:47, 07/09/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • –3 +/
    Я правильно понимаю, что для внедрения данного руткита необходимо иметь права на... весь текст скрыт [показать]
     
     
  • 2.45, Michael Shigorin (ok), 13:50, 07/09/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    > Вы мне покажите лучше руткит, который сможет внедриться в систему от меня
    > — простого пользователя.

    Это другая часть задачи -- эксплойт уязвимости класса хотя бы local root.

     
  • 2.77, Andrey Mitrofanov (?), 15:25, 07/09/2016 [^] [ответить]     [к модератору]  
  • +/
    Ни читать-то они не http www opennet ru openforum vsluhforumID3 109035 html 11... весь текст скрыт [показать]
     
  • 1.48, Нанобот (ok), 14:05, 07/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –4 +/
    >Linux-системы на базе архитектур x86, x86_64 и ARM
    >Umbreon относится к руткитам третьего кольца защиты

    вопрос к знатокам: а на ARM вообще есть ring3?

     
     
  • 2.61, eganru (?), 14:30, 07/09/2016 [^] [ответить]    [к модератору]  
  • +/
    в arm есть уровни привилегий: user, kernel, hypervisor.
     
  • 2.62, Аноним (-), 14:31, 07/09/2016 [^] [ответить]    [к модератору]  
  • +/
    Ну это, скорее всего, образно сказано. Имеется ввиду ring с наименьшими привилегиями.
     
     
  • 3.63, eganru (?), 14:42, 07/09/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    скорее не следовало вообще упоминать кольцо защиты. достаточно было упомянуть то, что подменяется glibc.
    кольца-то пресловутые это крайне завязанная на определенные реализации систем сущность.
     
  • 1.60, yaa (?), 14:26, 07/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Я такую хрень видал на SS (SPARCstation), Solaris, где-то в 00-02...
    Ставилась по сетке через дыру в lp daemon (уже не помню, как он там звался).

    Ничего нового в подлунном мире...

     
  • 1.68, Mirraz (ok), 15:03, 07/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Нужен рут, а его ещё получить надо. Беспокоиться не о чем.
     
     
  • 2.75, Аноним (-), 15:19, 07/09/2016 [^] [ответить]    [к модератору]  
  • +/
    > Нужен рут, а его ещё получить надо. Беспокоиться не о чем.

    Следующая новость будет: "Обнаружена уязвимость в bash позволяющая поднять привилегии до root".

     
  • 1.79, arisu (ok), 16:18, 07/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    опять новости про какую‐то проприетарщину! где ссылка на репозиторий? как собрать? куда патчи слать? тьфу.
     
  • 1.80, Случайный_гость (?), 16:35, 07/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    "Umbreon может быть установлен..." - опять собирать вручную и устанавливать))), какая, опасная, малварь!!! )))))))))).
     
     
  • 2.111, Аноним (-), 01:57, 09/09/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Если информация в Вашей системе будет представлять существенную ценность, то обязательно найдутся желающие взять труд по установке руткита в Вашу систему на себя ;-)
     
  • 1.88, XoRe (ok), 18:55, 07/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > относится к руткитам третьего кольца защиты, функционирующим только в пространстве пользователя
    > Библиотека прописывается в конфигурационный файл "/etc/ld.so.*"

    Как он в /etc от юзера что-то запишет?

     
     
  • 2.89, Аноним84701 (?), 19:18, 07/09/2016 [^] [ответить]     [к модератору]  
  • +/
    http www catb org jargon html U userland html Ваш Кэп ... весь текст скрыт [показать]
     
  • 2.90, Анонимум (?), 19:29, 07/09/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Не путайте пространство пользователя с привелегиями пользователя.
     
  • 1.94, Аноним (-), 22:47, 07/09/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Мда помнится, когда-то я слепил флэшку с BartPE и развлекался прибиванием скр... весь текст скрыт [показать]
     
  • 1.99, Аноним (99), 03:29, 08/09/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Также можно загрузиться c LiveCD, примонтировать дисковые разделы и оценить нал... весь текст скрыт [показать]
     
  • 1.109, Аноним (-), 23:54, 08/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Всё, теперь буду ходить в интернет только с плейстейшен. Там же нет руткитов? Ведь нету же? Как туда поставить руткит?
     
     
  • 2.112, anonymous (??), 10:38, 09/09/2016 [^] [ответить]    [к модератору]  
  • +/
    > Всё, теперь буду ходить в интернет только с плейстейшен. Там же нет
    > руткитов? Ведь нету же? Как туда поставить руткит?
     
     
  • 3.113, anonymous (??), 10:40, 09/09/2016 [^] [ответить]     [к модератору]  
  • +/
    DIR dp struct dirent ep dp opendir etc if dp NULL ... весь текст скрыт [показать]
     
  • 3.114, Andrey Mitrofanov (?), 10:43, 09/09/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    >> Всё, теперь буду ходить в интернет только с плейстейшен. Там же нет

    Ходи с венды -- там и root-а нету!!

    >> руткитов? Ведь нету же? Как туда поставить руткит?

     
  • 1.115, Аноним (-), 11:03, 09/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    "Никому нельзя верить, врут все" - Хаус.
     
     
  • 2.116, Andrey Mitrofanov (?), 11:51, 09/09/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    >врут все" - Хаус.

    Фу-фу. https://otvet.mail.ru/answer/179135965

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor