Исследователи из компаний Intezer и BlackBerry обнаружили вредоносное ПО, получившее кодовое имя Simbiote и используемое для внедрения бэкдоров и rootkit-ов на скомпрометированные серверы, работающих под управлением Linux. Вредоносное ПО было выявлено на системах финансовых учреждений ряда стран Латинской Америки. Для установки Simbiote в систему атакующий должен иметь root-доступ, который может быть получен, например, в результате эксплуатации неисправленных уязвимостей или утечки учётных записей. Simbiote позволяет закрепить своё присутствие в системе после взлома для проведения дальнейших атак, скрытия активности других вредоносных приложений и организации перехвата конфиденциальных данных...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57328
"Разделяемые библиотеки позволяют быстро исправлять ошибки" - говорили они, не шибко понимая, что говорят.
ну тут дело же в полученном изначально root-доступе, а не в самом механизме динамических библиотек
Дело в том, что я сейчас напишу "читайте Хоглунда", а эксперты по руткитам полезут в поисковик.
Я эксперт, только что вернулся из поисковика. При чём тут хоккей?!
Однофамилец того хоккеиста написал книжку про руткиты. Описал решаемые ими задачи и привёл примеры реализации. Переведена на русский язык. Вот здесь должно быть из неё код https://github.com/bowlofstew/rootkit.com/tree/master/hoglund
> https://github.com/bowlofstew/rootkit.com/tree/master/hoglund
> #include<windows.h>В тему.
> #include "ntddk.h"Это что, для маздая? Очень тематично пля, мне очень интересно как гадить в NTшный кернел, аж два раза.
p.s. я буду рефрешить коменты до ответа. Я буду рефрешить коменты до ответа. Я буду рефрешить коменты до ответа...
Ответа кому? Смысл вести с вами дискуссии? На что вы, господа безымянные теоретики, можете сослаться для придания хоть какого-то веса своему мнению? Работа Хоглунда - какая-никакая, но уже классика. Описывает на частных примерах общие принципы, показывает развитие - каким оно было там и каким оно грядёт здесь.
Может, это те ребята, которые пишут "Dow do I wrote root kit for Linux?" на StackOverflow.
Вы хотеть, пожалуйста, посетить эту ссылка https://github.com/search?q=linux+rootkit
Я нажать "мне повезёт" и найти https://github.com/milabs/awesome-linux-rootkitsuser mode rootkits
https://github.com/mempodippy/vlany
Linux LD_PRELOAD rootkit (x86 and x86_64 architectures)
https://github.com/unix-thrust/beurk
BEURK is an userland preload rootkit for GNU/Linux, heavily focused around anti-debugging and anti-detection.
https://github.com/chokepoint/azazel
Azazel is a userland rootkit based off of the original LD_PRELOAD technique from Jynx rootkit.
https://github.com/chokepoint/Jynx2
JynxKit2 is an LD_PRELOAD userland rootkit based on the original JynxKit.
https://github.com/chokepoint/jynxkit
JynxKit is an LD_PRELOAD userland rootkit for Linux systems with reverse connection SSL backdoor
https://github.com/NexusBots/Umbreon-Rootkit
LD_PRELOAD based
https://github.com/ChristianPapathanasiou/apache-rootkit
A malicious Apache module with rootkit functionality
> Ответа кому? Смысл вести с вами дискуссии? На что вы, господа безымянные
> теоретики, можете сослаться для придания хоть какого-то веса своему мнению? Работа
> Хоглунда - какая-никакая, но уже классика. Описывает на частных примерах общие
> принципы, показывает развитие - каким оно было там и каким оно грядёт здесь.Понимаешь, человек, от ТЕБЯ много СПАМА. Бесполезного и/или офтопичного. Ты спамер. Который развел меня на клик вообще совсем офтопичной репы "хоккеиста" в гитхабе. Это нехорошо с твоей стороны в топике про линукс и то что под него водится.
1) Видишь ли, общие принципы руткитов, дебага, takeovera'а системы и проч достаточно просты в понимании - как общая концепция. Это может понять неглупый школьник.
2) Те кто минимально интересоваося темой может усвоить 1) довольно быстро. С намного меньшим объемом мучений нежели одупление в код с "ntddk.h".
3) Линь все же не винда и изучать тему на примере маздая при интересе к линуксу не работает. Это разные системы, с разными кишками, а самое сложное таки в конкретике и деталях а не в общих концепциях.
4) Максимум что ты смог показать про Linux это LD_PRELOAD баяны. Я и без тебя пару либ под LD_PRELOAD накодил, что как бы намекает на "уровень" такого "руткита". Коенчно я до руткита не доделывал, просто поиздевался над программами себе по приколу посмотреть как они на неожиданные отлупы реагируют. Но это та же технология, что намекает на общий ее "уровень". Это выбор чайников и нубов, ну или вот казуально поразвлечься впарив софту странные отлупы.TL;DR было бы намного круче если бы ты какие-то продвинутости под линух показать мог, а не под маздай в ветке по линуксу. Но ты этого кажется не могешь. А гарцевать ntddk в ветке про линь таки фэйл. С аудиторией не угадал.
>> Ответа кому? Смысл вести с вами дискуссии? На что вы, господа безымянные
>> теоретики, можете сослаться для придания хоть какого-то веса своему мнению? Работа
>> Хоглунда - какая-никакая, но уже классика. Описывает на частных примерах общие
>> принципы, показывает развитие - каким оно было там и каким оно грядёт здесь.
> Понимаешь, человек, от ТЕБЯ много СПАМА. Бесполезного и/или офтопичного. Ты спамер.Я отвечаю на твои бессмысленные сообщения, поскольку мне с такими как ты придётся неоднократно сталкиваться. Ты отнял моё время, я его отбиваю - изучаю фанатиков.
> Который
> развел меня на клик вообще совсем офтопичной репы "хоккеиста" в гитхабе.
> Это нехорошо с твоей стороны в топике про линукс и то
> что под него водится.Ты влез в тему, в которой смыслишь на уровне обывательской интерпретации пары популярных гипотез. Это нехорошо с твоей стороны в топике про руткиты.
> 1) Видишь ли, общие принципы руткитов, дебага, takeovera'а системы и проч достаточно
> просты в понимании - как общая концепция. Это может понять неглупый
> школьник.Ты не смог.
> 2) Те кто минимально интересоваося темой может усвоить 1) довольно быстро. С
> намного меньшим объемом мучений нежели одупление в код с "ntddk.h".
> 3) Линь все же не винда и изучать тему на примере маздая
> при интересе к линуксу не работает. Это разные системы, с разными
> кишками, а самое сложное таки в конкретике и деталях а не
> в общих концепциях.Дай ссылку на свои труды по теме или прекрати трындеть.
> 4) Максимум что ты смог показать про Linux это LD_PRELOAD баяны. Я
> и без тебя пару либ под LD_PRELOAD накодил, что как бы
> намекает на "уровень" такого "руткита". Коенчно я до руткита не доделывал,
> просто поиздевался над программами себе по приколу посмотреть как они на
> неожиданные отлупы реагируют. Но это та же технология, что намекает на
> общий ее "уровень". Это выбор чайников и нубов, ну или вот
> казуально поразвлечься впарив софту странные отлупы.Ясно. Просьба выше аннулируется. В первой её части. Ты ламер. Тебе нет смысла объяснять, я просто для других напишу: LD_PRELOAD решает в данном случае задачу не только закрепления в системе. Вторая задача ясно и понятно изложена в тексте новости.
> TL;DR было бы намного круче если бы ты какие-то продвинутости под линух
> показать мог, а не под маздай в ветке по линуксу. Но
> ты этого кажется не могешь. А гарцевать ntddk в ветке про
> линь таки фэйл. С аудиторией не угадал.Ты не аудитория, сколько не пытайся изобразить толпу. Такими попытками лишь демонстрируешь неуверенность в своём мнении.
>я просто для других напишу: LD_PRELOAD решает в данном случае задачу не только закрепления в системе.Этот хак с LD_PRELOAD работает с правами обычного пользователя с правами которого запущен или root необходим в принципе?
Если без рута ни как вообще, то твои опасения безпредметны, и судя по тому как твой оппонет делал такие вещи таки права рута необходимы, иначе бы сейчас тварился полный абзац с вирусами.
>>я просто для других напишу: LD_PRELOAD решает в данном случае задачу не только закрепления в системе.
> Этот хак с LD_PRELOAD работает с правами обычного пользователя с правами которого
> запущен или root необходим в принципе?Напоминаю Unix-way: каждая программа хорошо делает своё дело.
1. "эксплоит" - получает права;
2. руткит - закрепляется в системе, скрывает присутствие, осуществляет атаку "человек посередине" - всё это решается одним махом - _документированным_ и предназначенным именно для этого способом, т.е. не хаком, как это было бы в случае инъекций кода в чужие адресные пространства.> Если без рута ни как вообще, то твои опасения безпредметны, и судя
> по тому как твой оппонет делал такие вещи таки права рута
> необходимы, иначе бы сейчас тварился полный абзац с вирусами."Оппонент" пока что не нашёл ничего лучше чем убеждать меня, что мы с коллегой не написали 15 лет назад реализацию стандартной библиотеки Си++, которая позволяет собирать std::cout << "hello" в 25кб исполняемый файл без зависимостей от C runtime. То есть скатился до отрицания объективной реальности.
Не надо уподобляться ему - изучайте вопрос. Начать можно так:
1. вбиваем LD_PRELOAD в поисковик
2. тыкаем наобум ссылку на журнал Ксакеп https://xakep.ru/2020/12/29/ld_preload-rootkit/
3. читаем:К примеру, если нам нужно предзагрузить библиотеку ld.so, то у нас будет два способа:
Установить переменную среды LD_PRELOAD с файлом библиотеки.
Записать путь к библиотеке в файл /etc/ld.so.preload.
В первом случае мы объявляем переменную с библиотекой для текущего пользователя и его окружения. Во втором же наша библиотека будет загружена раньше остальных для всех пользователей системы.Далее перепроверяем. Есть документация https://man7.org/linux/man-pages/man8/ld.so.8.html
LD_PRELOAD
A list of additional, user-specified, ELF shared objects
to be loaded before all others. This feature can be used
to selectively override functions in other shared objects.Есть исходники...
А не наоборот? Впрочем в линуксе всё прекрасно: тут вам и разделяемые библиотеки, тут вам и пакетные менеджеры, тут вам и наркоманский FHS... Всё для человека, ага.
Unix way - одна программа (не обсуждается в ветке) хорошо получает рут доступ, другая программа (руткит, обсуждается здесь и сейчас) хорошо закрепляется, для чего скрывает своё присутствие. Вот что прекрасно. :)
> А не наоборот? Впрочем в линуксе всё прекрасно: тут вам и разделяемые
> библиотеки, тут вам и пакетные менеджеры, тут вам и наркоманский FHS...
> Всё для человека, ага.Пакетный менеджер имеет свои плюсы. Допустим в zlib нашли баг. Я поставил патченый пакет. Все программы в моей системе автоматически исправлены. И если я не качал хлам как маздаец я могу быть в этом более-менее уверен (после рестарта затронутых программ).
А теперь удачи так в маздайке. Вы врядли знаете сколько программ приперло _свой_ zlib.dll или даже статически влинковало его унутрь. Нету в маздайке культуры реюза кода и тем более его оперативного патчинга.
Поэтому есть отличная от ноля вероятность что вас можно до сих пор огреть винтажным, общеизвестным багом, если какая-то программа в вашей системе процессила внешние файлы или сетевой траффик такой либой. И ничего с этим в маздайке особо сделать нельзя. А вон пропатчьте мультиплеер HMM III в виндохном бинаре, которому можно по сети взять и укатать, за то что ископаемый zlib статически слинковали, дескать. А в этом моем линухе VCMI так то пропатчится на раз в таком же случае...
> Я поставил патченый пакет. Все программы в моей системе автоматически отвалилисьИсправил, не благодари
>> Я поставил патченый пакет. Все программы в моей системе автоматически отвалились
> Исправил, не благодариНехрен арчем и гентой в проде пользоваться. В нормальных дистрах майнтайнеры вот реально только вулн запалчат - и все! Чему там вообще отваливаться? Предпосылок нет. Заодно так наверное чуть понятнее почему у вменяемых дистров вместо гонки за свежаком специфичные полися по типу того что между релизами как максимум минорные версии подтягивают, но никаких крупных инноваций. Вот как раз чтобы прод не разваливался как у арчегент.
Накушался я этой стабильности в свое время. Так, навскидку пример: дебиан то ли 5, то ли 6 версии. Аська у которой полсотни рабочих контактов, майлру эту самую аську покупает и что-то меняет в протоколе. Дебиановский pidgin, само собой, работать по нему перестает. Этим контактам по фигу, у них винда - обновили свои клиенты и дальше живут (у кого-то миранда, у кого-то &RQ, у кого и официальный). А в дебиане или ставь пакет от убунты (с непредсказуемыми глюками по итогу), или собирай свежак из сорцов, или жди следующую стабильную версию этого самого дебиан годик-другой. В итоге плюнул, поставил винду и забыл про все эти дела как страшный сон
> Допустим в zlib нашли баг. Я поставил патченый пакет. Все программы в моей системе автоматически исправлены.Об этом должен беспокоиться разработчик конкретной программы, а не разработчик ОС или тем более пользователь. Не?
Единое окружение операционной системы собирает разработчик ОС, а не автор конкретной программы, автор программы не знает кто, где и как будет программу использовать.
Вот поэтому самая правильная схема -- "ОС отдельно, программы отдельно".
В этом месте возникает конфликт интересов. Есть специальный человек - майнтайнер (почему-то не любят переводить на русский) - собирает программу под конкретную ОС. Этот человек принимает решения по устройству ОС. При этом указанная схема - это компетенция архитектора, насколько я понимаю.
> ОС отдельно
> программы отдельноДистрибутив AltMinixZverBD отдельно
> Вот поэтому самая правильная схема -- "ОС отдельно, программы отдельно".Не, спасибо, я видел как это в маздае работает. Крайним почему-то я оказываюсь, убивая в цать раз больше времени на поддержание программ и системы в секурном состоянии и имея нежилые траблы с пониманием все ли реально up to date или нет. Извините но такое управление софтом и системой называется словом "маздай".
Ну не знаю... По-моему ситуация когда пользовательские приложения делят либы с осью -- это маразм высшей категории. В идеале наверное должно быть разделение на собственно операционную систему, системные утилиты и на пользовательские приложения, а как оно там будет слинковано -- над этим уже можно думать. Ну и с точки зрения безопасности приложения (за которое должен отвечать его автор, а не разработчик ОС или мэинтейнер) мне кажется, что лучше это изначально решать с помощью механизмов изоляции, чем гнаться без конца за свежими версиями библиотек.
> Ну не знаю... По-моему ситуация когда пользовательские приложения делят либы с осью
> -- это маразм высшей категории.А по моему...
1) В моем случае деление на "систему" и "пользовательские приложения" условно. Есть репы. Из репов я набираю ту или иную систему под ту или иную задачу, компонуя пакеты так или иначе. Нормальный модульный подход. Очень круто, ежели научиться им пользоваться. Можно кастомные образа систем под специфичные задачи кроить быстро и без напряга. А, извините, с маздайкой это не получится по еще более 9000 причин. Потому и называется маздайкой в моем лексиконе.2) Либы обеспечивают очень эффективный code reuse. А также эффективное расходование ресурсов. Если вы в винде запустите пять кутевых программ, вы поимеете пять жирных копий приватных версий кутя в памяти. У меня будет висеть ОДНА копия библы кутей НА ВСЮ ОРАВУ. И жрать RAM один раз на все 5 программ.
3) Заменив либу на фикшеную я уверен что починилось ВСЕ. Ежели отучаться качать всякий варез с левых сайтов как маздайщики, конечно. Я конечно иногда качаю сорсы с разных реп, однако билдуется оно таки именно с теми же системными либами как и софт из дистров, а если результат нравится то он и в пакет заворачивается для порадка и трекинга чем еще я в системе намусорил.
4) Персонально я в гробу видел всякие варезоподобные проприетарные блобы. Это просто никогда не будет запущено на моих системах "for security reasons". Я для себя решил вот так. И это хрен оспоришь.
5) Кроме всего прочего 4) делает меня архитектурно независимым. Я могу все мои воркфлоу на любой процессорной архитектуре, будь то ARM64 или RISCV они вполне могут стать моей следующей платформой. И на моем персональном уровне я буду очень рад отделаться от х86 с всеми их ME, PSP, BootGuard'ами и secureboot-ами где я с ножом к горлу "должен" доверять мерзкософту. Нихрена я им не должен. Особенно - доверять их проприетарной блоботе и ключам.
> В идеале наверное должно быть разделение на собственно операционную систему,
> системные утилиты и на пользовательские приложения,У меня как-то сильно другие идеалы, мне наоборот унифицированная модульная архитектура где я сам для себя решу что система - здорово удобнее. А с чего вдруг какие-то левые хрены лучше меня будут знать что я системой считаю, а что нет?
> а как оно там будет слинковано -- над этим уже можно думать. Ну и с точки
> зрения безопасности приложения (за которое должен отвечать его автор,А мне вот удобно что всесто этого отвечают майнтайнеры, и ВСЕ они придерживаются характерных, унифицированных, ПРЕДСКАЗУЕМЫХ полисей. Которые мне достаточно прочитать и понять 1 раз а не 9000 раз - для каждой из установленных программ.
> а не разработчик ОС или мэинтейнер) мне кажется, что лучше это изначально решать
> с помощью механизмов изоляции, чем гнаться без конца за свежими версиями библиотек.А мне вот удобно когда предсказуемые унифицированные политики применяются КО ВСЕМУ. И столь же удобно когда все унифицировано рулится, могу поставить эти компоненты, а эти выпилить. Сам решив что для меня система, и что нужно, а что в пень. В винде же майки это вообще никогда нормально не умели. Поэтому там и инсталл компонентов винды горбатый, и с софтом так же, а на 500 машин в автоматическом режиме софт поставить - не то что совсем нельзя, но там такие грабли со всем этим... а на линухе это даже нуб однострочником сможет за полчаса оформить, даже голыми руками, хотя есть дюжина систем автоматизации развивающие идею.
Как-то так и понимаешь что мощная система для продвинутого технаря которому не пофиг на свою эффективность, а что инструмент офисных планктошек обклацывающих 200 файлов вручную.
> Заменив либу на фикшеную я уверен что починилось ВСЕА остальной код вы проверили, вдруг в других местах тоже есть уязвимости? Запуская чужую программу ни в чём нельзя быть уверенным.
> Заменив либу на фикшеную я уверен что починилось ВСЕ.Заменив либу на фикшеную, можно ВСЁ поломать.))) Классно поменяли.
> В идеале наверное должно быть разделение на собственно операционную систему, системные утилиты и на пользовательские приложенияПоздравляю, ты изобрел FreeBSD с ее делением на distributions и ports
Спасибо, теперь я понял эти постоянные нападки на BSD. В GNU/Linux именно свобода, а не какие-то технические аспекты, запрещает линковаться статически.
За что, среди прочего, фряху и люблю. Есть минимальный набор из загрузчика, ядра и всякой мелочевки вроде шелла и сишного компилятора - они фряху, собственно, и составляют и это добро разрабы фряхи пилят. А все остальное - порты, которые пилят авторы этого всего остального (для простоты к портам отношу не только сорцы, но и собранные из них пакеты). Ни тебе майнтайнеров, ни сотен сортов убунты, отличающихся только названиями и нескучными обоями, ни прочего ненужного вроде пафосных речей жирного нечесанного гуру. Да синтаксис pf, имхо, получше чем у iptables:)
Что бы что-то перехватить в монолитном исполняемом файле, врезать инструкции перехода на свой код, в общем случае потребуется дизассемблер и гарантии, что модифицируемый код не исполняется. Т.е. девятый "Б" сходит со сцены. Гуру учит так не делать исходя из борьбы за всё хорошее против всего плохого. Ведь не просто Linux, а GNU/Linux. Этот момент я прохлопал, поскольку мало интересуюсь лицензиями.
> Об этом должен беспокоиться разработчик конкретной программы, а не разработчик ОС или
> тем более пользователь. Не?Проблема в том что в результате
1) Все отдано на откуп легиону каких-то раздолбаев. Или не раздолбаев. Как повезет.
2) Никаких более-менее гарантированных однотипных политик реакции на вулны у Васянов нет. А у половины Васянов вообще не прописано как они на это реагируют - им просто пофиг.
3) Васян кстати ни разу не майнтайнер либы и только пользуется ей без заморочек. Поэтому за вулнами не следит.
4) Эффективного механизма пингануть всех "Васянов" пользовавшихся "zlib" с запросом это починить - в маздайке просто нет.Итого: в линуксе содержать систему и софт в ней в надлежащем виде может быть в десятки раз проще. Я из винды на пингвины ушел, имел возможность сравнить как оно. И пакетный менеджер некисло меня разгружает от упомянутой рутины. Для меня это очень большой плюс Linux как системы. Все потуги майков, что vcpkg, что маздайстор решали что угодно кроме вот этого комплекса проблем. В осномном либо лок на свою экосистему, либо выцыганивание денег в пользу тех кому лично мне платить денег просто жалко, когда есть открыто, бесплатно и тупо лучше чем вон то.
Ну так не пользуйся ненужным, в чем проблема-то? Если найдется уязвимость в каком-нибудь kernel32.dll - мелкомягкие ее сами закроют и в случае с динамической линковкой для тебя ничего не меняется.
> а не в самом механизме динамических библиотекА еще злодей может имя файла использовать левое, название процесса непаливное назначать, и только подумайте - скачать и запустить файлы.
Если динамические либы плохи, тогда надо и наглухо readonly filesystem, а лучше и запуск программ для надежности запретить. Вдруг гамнюки что-то в RW подмонтировать смогут?!
Жаль, что не получается составить список экспертов. Стесняются отметиться явно. С точки зрения руткита - отображение актуальной информации является нежелательным поведением. Он и исправляет "ошибку" документированным способом.> Особенностью Simbiote является распространение в форме разделяемой библиотеки,
> которая подгружается во время запуска всех процессов при помощи механизма LD_PRELOAD
> и подменяет некоторые вызовы стандартной библиотеки.Подгружается библиотека не сама собой, а (очень грубо) вот тут:
/* Load all the libraries specified by DT_NEEDED entries. If LD_PRELOAD
specified some libraries to load, these are inserted before the actual
dependencies in the executable's searchlist for symbol resolution. */
{
RTLD_TIMING_VAR (start);
rtld_timer_start (&start);
_dl_map_object_deps (main_map, preloads, npreloads,
state.mode == rtld_mode_trace, 0);
rtld_timer_accum (&load_time, start);
}
Из этого следуют интересные выводы:
1. обобщение "всех процессов" излишне пессимистично;
2. достаточно просто реализовать детектор руткита;
3. возможно построить систему так, что она окажется не подвержена атаке.
busybox
Ход мыслей правилен, но уровень абстракции не тот. См. ldd `which busybox`
Статически слинкован, например с каким-нибудь экзотическим libc, который в добавок не знает про всякие переменные окружения LD_*
Да, это решение. Но фанаты не одобряют.
> Да, это решение.Это решение только проблемы с LD_PRELOAD. А злоумышленник с рутом так и сидит в системе, по крайней мере до перезагрузк
>> Да, это решение.
> Это решение только проблемы с LD_PRELOAD.Что и обсуждается в данной ветке.
В какой, в которой ключи ищут?
В ветке, которая началась с моего сообщения №1. Оно так понравилось экспертам. :)
Если обсуждают, что угодно, то изначальный тезис противоречивый, то есть троллинг.
Противоречий в тезисе нет. "Цитата" в кавычках верна, проблема с ошибками в библиотеках действительно так решается. И так действительно говорили. Обсуждают что угодно, поскольку не понимают предмет.
> "Цитата" в кавычках вернаВопросов больше не имею
Вот и не надо зафлуживать ветку, если сказать по сути нечего. Затроллили его, бедненького, ага.
А если разрешать подгрузку только таких библиотек, у которых есть цифровая подпись?
Что мешает подписать, если уже есть root-доступ?
Так подписи будет раздавать RHBM. ;)
> RHBMНе знаю кто это, но проверять тоже он будет или система, в которой кто-то шарится с рут-доступом (добавил свой свой сертификат и подписал им же - "доверенно")?
Куда именно добавил?
В "систему, которая проверяет"
Куда именно в "систему, которая проверяет"?
Куда надо. Конкретика должна исходить от того, кто предложил способ защиты злоумышленника с рут-доступом.
Защищающийся должен защитить систему. Атакующему он ничего не должен.
Какой из пользователей с UID=0 защитник, какой - атакующий?
Ищите ключи.
> Ищите ключи.К кому запрос, к пользователю - защитнику или атакующему, который "нашел ключ", чтобы получить рут-доступ?
Ты же понимаешь, что для "защиты" нужны внесистемные инструменты.
Я понимаю, что ключ пока никто не нашёл. Совсем нет вариантов?
> Я понимаю, что ключ пока никто не нашёл. Совсем нет вариантов?Злоумышленник с рутом - это кто? Тот, кто не "нашел ключ"?
Пока нет конкретики, то "злоумышленник с рутом" ничем не отличается "защитника с рутом".
Чтобы их различать, надо выйти за пределы системы, например, в ring -1,-2, tmp и прочий вендорлок security system.
Вопрос в №21 "Что мешает подписать, если уже есть root-доступ?"Предложен сценарий атаки "подписать, если уже есть root-доступ". Но ключи не нашли. Отсутствие ключей и мешает подписать.
Хочешь сказать, ключей в системе нет? Внесистемные инструменты?
Хотя, что мешает взломщику во взломанной системе взломать проверку ключей?
Социальная инженерия не работает. Не нашли ключи, не подписали, закрепиться предложенным способом не удалось, до свидания.
> Социальная инженерия не работает.Еще один "верный" тезис.
> Не нашли ключи
Интересно, как в систему попали?
Защищающийся должен доказывать, что взломщик "не нашел ключей", а не наоборот: зашел через открытую форточку, а мог бы просто окно разбит и зайти.
>> Не нашли ключи
> Интересно, как в систему попали?Кто? Вы? Нафантазировали, что куда-то попали. На этом фантазия закончилась.
> Защищающийся должен доказывать, что взломщик "не нашел ключей", а не наоборот: зашел
> через открытую форточку, а мог бы просто окно разбит и зайти.Мне не надо ничего доказывать. Я знаю, почему вариантов, где хранятся ключи, предложено не будет. :)
> Я знаю, почему вариантов, где хранятся ключи, предложено не будет.Потому что ты оффтопщик - админ подкроватного IIS-сервера, который сам не знает?
Ты давай конкретику, как ты защищаешь _скомпрометированную_ систему, которую лучше заморозить до абсолютного нуля и отдать в музей безопасникам.
>> Я знаю, почему вариантов, где хранятся ключи, предложено не будет.
> Потому что ты оффтопщик - админ подкроватного IIS-сервера, который сам не знает?Нет, ты не угадал, у меня нет IIS-сервера под кроватью.
> Ты давай конкретику, как ты защищаешь _скомпрометированную_ систему, которую лучше заморозить
> до абсолютного нуля и отдать в музей безопасникам.Сначала расскажи, почему ты не смог её сам найти.
Что мне находить? Отключение integrity, когда у меня есть рут? Прописывание в загрузчик своего исправленного ядра со своими модулями, ключами, своей командной строкой, когда у меня есть рут? Какой еще вариант комбинаторного взрыва нужен, когда у меня есть рут?Ты давай конкретику, как ты защищаешь уже взломанную систему? Вся эта твоя защита должна работать до взлома.
Эта новость - просто реклама службы безопасности, какие они "хорошие" нашли LD_PRELOAD во взломанной системе.
> Что мне находить?Теряешь контекст? Требовал конкретику. У меня она есть и давно в виде кода. К данному сценарию, кстати, подходит.
> Отключение integrity, когда у меня есть рут? Прописывание в
> загрузчик своего исправленного ядра со своими модулями, ключами, своей командной строкой,
> когда у меня есть рут? Какой еще вариант комбинаторного взрыва нужен,
> когда у меня есть рут?
> Ты давай конкретику, как ты защищаешь уже взломанную систему? Вся эта твоя
> защита должна работать до взлома.Ещё раз - я тебе ничего не должен. Я вижу, что дискутировать на данную тему с тобой нет смысла, поскольку ты не умеешь сценарий атаки сформулировать.
> Эта новость - просто реклама службы безопасности, какие они "хорошие" нашли LD_PRELOAD
> во взломанной системе.Крайне глубокая мысль. Стоило с неё сразу начать и на ней закончить.
> Теряешь контекст? Требовал конкретикуЭто ты давно потерял контекст. Раздул "проблему LD_PRELOAD" до размеров слона.
Ты, давай, показывай конкретику - свой недоступный код, который защищает от пользователя root.
Подсказка, недавно в ядро добавили "механизм" ограничения пользователя root.
>> Теряешь контекст? Требовал конкретику
> Это ты давно потерял контекст. Раздул "проблему LD_PRELOAD" до размеров слона.Ты не проблема вовсе. Если ты не готов к конструктивному диалогу по вопросу LD_PRELOAD, но тебя триггернуло исходное сообщение и не даёт спокойно жить, я вынесу из "общения" с тобой иную пользу. Мне так или иначе придётся сталкиваться с фанатиками, с этим надо что-то делать, вас надо уметь вовремя распознать.
> Ты, давай, показывай конкретику - свой недоступный код, который защищает от пользователя
> root.Давать тебе будет жена. Достаточно доходчиво?
> Подсказка, недавно в ядро добавили "механизм" ограничения пользователя root.
Рад за тебя, ты опять умудрился приплести пользователя root к другой теме.
> Если ты не готов к конструктивному диалогу по вопросу LD_PRELOADКакой конструктив, если ты не даешь никакой конкретики. Вместо этого скачешь то на проверку целостности (запускаемых) файлов, то обвиняешь непонятно в чём разделяемые библиотеки во взломанной системе.
Присутствие в системе руткита - это уже отсутствие доверия к системе, включая проверку целостности файлов, так как руткит уже обошел эту проверку. И неважно как попал в систему руткут - сознательно или бессознательно.
>> Если ты не готов к конструктивному диалогу по вопросу LD_PRELOAD
> Какой конструктив, если ты не даешь никакой конкретики.Успокойся уже. Сделай 10 вдохов. Сделал? Теперь читай дальше.
В №21 ты собрался что-то там подписывать. Цитирую:
"Что мешает подписать, если уже есть root-доступ?"
При этом ты не дал никакой конкретики, а попытался переложить бремя доказательства невозможности сферической конной атаки на оппонента.
Если бы ты предположил что-то вроде "у тебя подписи хранятся вон там? значит я делаю так" - это уже сценарий, его можно обсуждать.
> Вместо этого скачешь то
> на проверку целостности (запускаемых) файлов, то обвиняешь непонятно в чём разделяемые
> библиотеки во взломанной системе.
> Присутствие в системе руткита - это уже отсутствие доверия к системе, включая
> проверку целостности файлов, так как руткит уже обошел эту проверку. И
> неважно как попал в систему руткут - сознательно или бессознательно.В прошлом сообщении вместо "руткит" было "рут". Но скачу я, ага. ;)
Руткит - это "кит", который работает как "рут". С точки зрения системы ничем не отличима от человека-пользователя "рут"
Аноним - это "им" "я", которого "нет". С точки зрения системы у твоего мнения нет источника.
> Так подписи будет раздавать RHBM. ;)Пока-что я сам себе подписи на кернельные модули раздаю. А в чем проблема так же с либами и бинарями сделать?
Для Вас не вижу проблем, коль сходу предлагаете решение. Исходники открыты, можно дорабатывать. А вот этим, у кого вся свобода заключается в "лишь бы не как в венде" и трендовых сетах иконок, RH/IBM и будет подписывать.
А кто будет проверять контролера ?
Сами подписывайте, если никому не доверяете. Исходники открыты, возможность есть.
Подписывают на отдельном хосте, не подключенном к сети с рутуемыми серверами.
Да, это один из вариантов. Но надо понимать, что в прошлый раз в итоге развития идеи появился SecureBoot. :)
А если прямо им и воспользоваться, не мудрствуя лукаво...
> А если прямо им и воспользоваться, не мудрствуя лукаво...Полная версия идеи секурбута так то проверять ВСЕХ на цепочке
ROM->бут->кернел->программы/либы
ROM не меняемый (накристальный или в R/O флехе). Это делает его anchor'ом которому можно доверять, если он знает доверяемый ключ. Он проверяет загрузчик. А тот ядро. Для продолжения цепочки ядро может отказаться запускать неподписанные программы. А (подписаный) лоадер динамических либ мог бы проверять и подпись либы, не грузя ее если подписи нет.
Таки да, полная реализация сложновата и ВСЕ дырки законоаптить в системе где о таком СРАЗУ не думали все же не очень просто. Поэтому ИНОГДА секурбутчиков посещают приколы с обломами.
Предлагаешь отключить _dl_map_object_deps всем-всем-всем из юзерспейса?
(с сисколами и проганьем под линукс знаком не очень)
Зачем сразу запрещать. Было интересно, сколько возникнет подобных вопросов ("что с этим делать") и вариантов решений. Например, можно переименовать LD_PRELOAD... или перевести на русский.)
> Например, можно переименовать LD_PRELOADВот это уровень!
>> Например, можно переименовать LD_PRELOAD
> Вот это уровень!А то. Сджипиэлил из #30:
"не знает про всякие переменные окружения LD_*"
;)
> "переименовать" = "не знать""Научный подход" security by obscurity в действии!
>> "переименовать" = "не знать"
> "Научный подход" security by obscurity в действии!Ну да. Зеркало то работает. Вон как ты себя разоблачаешь. =)
Строго говоря, замена одной неисправной библиотечки не является уязвимостью, ЕСЛИ систему не писал бы кретuн Трольвадс! Это нормальная, рабочая операция, где главная проблема - защита оригинальной либы и руками одобренная замена. Ну то есть если вирус полезет её заменять, ему даст отлуп защита файлов. И даже если через неё он проскочит и запросит замену, система обязана иметь отдельный, защищённый модуль, ПЕРСОНАЛЬНО и ИНТЕРАКТИВНО спрашивающий, можно ли заменить вот эту одну либу.
Да, звучит как-то параноидально, но только так можно держать систему стабильной.
Торвальдс написал ядро. Здесь обсуждается механизм в пространстве пользователя. Советую извиниться за слова в адрес Линуса.
> Здесь обсуждается механизм в пространстве пользователя.Только в пространстве пользователя, любой пользователь полностью изолирован от внешнего мира. Даже для того чтобы вывести "привет, мир" нужно дергать сискол.
> Даже для того чтобы вывести "привет, мир" нужно дергать сискол.Самое удивительное, что руткит при этом не подгузится.
> Самое удивительное, что руткит при этом не подгузится.Как догадался, получил дамп выполненных в ring0 инструкций, проанализировал на вредоносность выполненные команды (полных по Тьюрингу)?
> я смотрю в сообщение №12 и вижу фигу.Бывает. Продолжайте собирать пакетики.
> сообщение №12И что там надо увидеть? То что, если поменять (логику) glibc, то glibc ведет себя по другому. Я уже предложил использовать другой libc (статически линковать), который понятия не имеет про LD_*.
Это решает только проблему с LD_PRELOAD. Это не решает проблему руткитов, когда уже есть рут-доступ.
> Это решает только проблему с LD_PRELOAD.
> Это не решает проблему руткитов, когда
> уже есть рут-доступ.С какой конкретно целью Вы пытаетесь произвести подмену предмета обсуждения в ветке, где обсуждается эксплуатация механизма LD_PRELOAD?
Если есть рут доступ, можно подменить (вызовы) glibc своим "механизмом LD_PRELOAD" и другими "механизмами". Ты уже в скомпрометированной системе, это уже не твои "механизмы".
То есть цель озвучить не можете, но хотите пофлудить о сферическом коне в вакууме.Аноним в №20 на чистой машине подписал исполняемые файлы. Ключ не нашли. Какие аргументы надо задать команде dd, что бы "подменить механизм"?
> Аноним в №20Продолжай скакать с ветки на ветку, обвиняя "Вы пытаетесь произвести подмену предмета обсуждения"
> подписал исполняемые файлы на чистой машине.
Нет, он подписал на другой машине/системе - внесистемное решение. При этом ничего не сказано про чистоту этих систем. И да, "подпись - это не безопасность, а бюрократия", как уже было сказано в обсуждении другой новости. Подписать можно и руткит.
> Нет, он подписал на другой машине/системе - внесистемное решение.Зер гуд, Вольдемар. Я, я, дас штиммт! Тебе полагается тёплый суп.
> ПЕРСОНАЛЬНО и ИНТЕРАКТИВНО спрашивающийМожет, ещё книжку для укладки на энтер услужливо подсовывающий?
Торвальдс не обидится, поскольку не прочёт -- а вот Даннинг с Крюгером где-то ехидно ухмыляются...
Да, позволяют.Это ты смотрю не шибко понимаешь что такое разделяемые библиотеки.
Чего мне понимать - в новости подробно описана "разделяемая библиотека":скрывают связанную с бэкдором активность
исключают отдельные элементы в списке процессов
блокируют доступ к определённым файлам в /proc
скрывают файлы в каталогах
исключают вредоносную разделяемую библиотеку в выводе ldd
не показывают связанные с вредоносной активностью сетевые сокеты.Видите такого суслика у себя? Нет. А он есть.
> "Разделяемые библиотеки позволяют быстро исправлять ошибки" - говорили они,А таки позволяют. И еще обеспечивают code reuse. Мсье вероятно фанат игогошных бинарников с хелловорлдом весом 6 мегабайтов. Без динамических либ это получается как-то так.
p.s. а LF_PRELOAD таки довольно легко палится вещами типа "ps wwwaxe", так что руткит воображение не поражает.
> p.s. а LF_PRELOAD таки довольно легко палится вещами типа "ps wwwaxe"Некоторые, кстати, троянят procps, но не psmisc...
Это они не открыли Бритву Оккама - не надо прятать то, чего нет. Есть же ещё один хороший удобный механизм - DKMS.
>> "Разделяемые библиотеки позволяют быстро исправлять ошибки" - говорили они,
> А таки позволяют. И еще обеспечивают code reuse. Мсье вероятно фанат игогошных
> бинарников с хелловорлдом весом 6 мегабайтов. Без динамических либ это получается
> как-то так.Мсье, очевидно, теоретик. У меня на Си++ std::cout << "хелловорлд"; получался в 25 кб.
> p.s. а LF_PRELOAD таки довольно легко палится вещами типа "ps wwwaxe", так
> что руткит воображение не поражает.Воображение поражает - что LF_PRELOAD это уровень ЧаВо на хеккерном форуме, оно работает, а эксперты зарывают голову в землю, подобно страусам.
> У меня на Си++ std::cout << "хелловорлд"; получался в 25 кб.ldd покажешь?
Она не понимает PE/COFF.
> Она не понимает PE/COFF.В тему.
>> Она не понимает PE/COFF.
> В тему.Ещё бы. Ведь это _у_тебя_ исполняемый файл 6 гигабайт и масса руткитов закрепляется штатным методом, будто бы так и надо, поэтому я клятый виндузятник. =) Ты думаешь, что я в Линуксе так не смогу сделать? Потому что сам не можешь.
Ты не виляй хвостом, показывай импорты и экспорты или как у там у вас оффтопщиков это называется. Можешь даже скриншотом, если с утилитами командной строки не справишься.
Зачем я буду что-то тебе показывать? У меня нет давно Венды как и того экзешника, искать компилятор долго и лениво. Там в импорте должно быть WriteConsoleW() плюс пара функций из ntdll, всё это возможно адаптировать на сисколы Линукса. Ты не веришь людям, поскольку судишь по себе.
> Там в импорте должно быть WriteConsoleW()Может ты сперва напишешь "привет мир" используя именно `std::cout`, потом будешь рассказывать кто кому что должен и не должен? Для справки `std::cout` - это экземпляр виртуального класса `std::ostream`.
Я бы еще понял, если бы был `printf`, вызов которого некоторые компиляторы в последнее время научились оптимизировать до вызова `puts`.
>> Там в импорте должно быть WriteConsoleW()
> Может ты сперва напишешь "привет мир" используя именно `std::cout`, потом будешь рассказывать
> кто кому что должен и не должен?Может ты внимательно прочтёшь №132?
"У меня на Си++ std::cout << "хелловорлд"; получался в 25 кб."
> Для справки `std::cout` -
> это экземпляр виртуального класса `std::ostream`.Я это знаю. Даже реализацию всех классов по иерархии немножко знаю - в том числе я её и писал.
> Я бы еще понял, если бы был `printf`, вызов которого некоторые компиляторы
> в последнее время научились оптимизировать до вызова `puts`.Это называется не "понял", а "эффект Даннинга-Крюгера".
Типичный оффтопщик, который пришел в тему про linux, и понтуется, что читал оффтопных авторитетов и нам советует.Пришел, набросил, и забыл свой наброс. и продолжает набрасывать.
Рекомендую тебе вести себя крайне осторожно, особенно с оценками, пока ты не осознаешь происходящее. У тебя сейчас порван шаблон.
> эффект Даннинга-Крюгера
> Рекомендую тебе вести себя крайне осторожно, особенно с оценкамиОценщик об оценках. Держишь уровень.
Напоминаю, в №101 ты описал свой маня-мирок, в котором "хелловорлд весит 6 мегабайтов".
В реальном мире такое - при использовании статического связывания со стандартной библиотекой Си++ - весит существенно меньше сотни килобайт. Если убрать от "Си" "плюсы", окажется ещё меньше.Я тебе больше скажу: в твоём маня-мирке тормозят "жирные смузи-жавасткрипты", а на деле загрузка на каждый чих ненужной библиотеки за 20 лет разогрела Землю на один градус.
> В реальном мире такое - при использовании статического связывания со стандартной библиотекой Си++ - весит существенно меньше сотни килобайт.Ты, давай, показывай свой "привет" с использованием `#include <iostream>`, который "существенно меньше сотни килобайт" без "разделяемых библиотек, которые позволяют быстро исправлять ошибки".
> в твоём маня-мирке
Оценщик об оценках
>> В реальном мире такое - при использовании статического связывания со стандартной библиотекой Си++ - весит существенно меньше сотни килобайт.
> Ты, давай, показывай свой "привет" с использованием `#include <iostream>`, который "существенно
> меньше сотни килобайт" без "разделяемых библиотек, которые позволяют быстро исправлять
> ошибки".Ты мог бы уже сам найти, если бы умел немножко покликать мышкой и читать исходники.
Но мне интересно, что ты сейчас скажешь вот на это https://code.google.com/archive/p/ontl/wikis/HelloWorld.wiki
1. Гугль побил форматирование?
2. Это не то!
3. Клятый виндузятник!
4. ...>> в твоём маня-мирке
> Оценщик об оценках"а нас то за шо?" (ц)
> со стандартной библиотекой Си++
> ontlЭто `std` или поделка "студента", который залез в `namespace std`?
> Клятый виндузятник!
Разве это не так? Ты не дал ни одного своего примера для linux.
>> со стандартной библиотекой Си++
>> ontl
> Это `std` или поделка "студента", который залез в `namespace std`?Почему ты решил, что я буду объяснять тебе, что такое стандартная библиотека Си++? Пока я вижу в "диалоге" фанатика, который не способен найти и прочесть исходники. У тебя нет даже имени.
>> Клятый виндузятник!
> Разве это не так? Ты не дал ни одного своего примера для
> linux.Кому? И зачем? Ты там что-то хотел подписать, но сдулся и поэтому принялся тупо флудить.
> Почему ты решил, что я буду объяснять тебе, что такое стандартная библиотека Си++?Потому что ты не знаешь, что такое "стандартная библиотека Си++".
Нельзя залезать в `namespace std` - это UB. Надеюсь автор ontl это знает. Также я не разобрал все ключи вызова cl, но `/GR-` нагуглил - это отключение rtti, это тоже мимо стандартной библиотеки с++, это не с++
Держишь уровень.
>> Почему ты решил, что я буду объяснять тебе, что такое стандартная библиотека Си++?
> Потому что ты не знаешь, что такое "стандартная библиотека Си++".Что бы я начал что-то тебе объяснять, тебе следует меня заинтересовать. Вот сейчас я читаю про тоталитарные секты, очень интересно наблюдать, как третий день неизвестно кто хочет доказать мне непонятно что.
Если бы ты представился как, например, Степанов, я бы твою оценку принял во внимание, а пока...
> Нельзя залезать в `namespace std` - это UB.
Пока ты не смог дать релевантную цитату стандарта и как либо связать данное заявление с вышеприведённым примером.
> Надеюсь автор ontl это
> знает. Также я не разобрал все ключи вызова cl, но `/GR-`
> нагуглил - это отключение rtti, это тоже мимо стандартной библиотеки с++,
> это не с++Пока ты показал, что не готов говорить о conforming implementation. Если для тебя /GR- - критерий, значит у Микрософт нет стандартной библиотеки. Похоже, ты всеми силами пытаешься склеить шаблон, но от твоего мнения объективная возможность получить для std::cout <<"привет"; исполняемый файл в 25 кб не исчезнет.
> Держишь уровень.
Что бы тебя зеркалить, надобно в некоторой мере соответствовать.
https://eel.is/c++draft/namespace.std#1> Unless otherwise specified, the behavior of a C++ program is undefined if it adds declarations or definitions to namespace std or to a namespace within namespace std.
На остальное, подтверждающее уровень, отвечать не буду
> https://eel.is/c++draft/namespace.std#1
>> Unless otherwise specified, the behavior of a C++ program is undefined if it adds declarations or definitions to namespace std or to a namespace within namespace std.
> На остальное, подтверждающее уровень, отвечать не будуПотому что ты за свои слова отвечать не способен в принципе, как уже было с "подпишу". На всякий случай понадеюсь, что у тебя от перевозбуждения на слово "секта" возникла когнитивная слепота, и повторю:
"Пока ты не смог ... и как либо связать данное заявление с вышеприведённым примером."
Кстати, ты заметил, что ответил как Анонин - с "н" на конце? Мне интересно, это ты осознанно сделал, или "случайно" в процессе спора с объективной реальностью.
Вот это в мире ненавистной Венды называется "нубкит" (поскольку там перехват системных вызовов в пространстве пользователя требует модификацию кода, что является источником ошибок). А в Linux - вполне грамотное решение, соответствующее архитектуре ОС.
>подменяет некоторые вызовы стандартной библиотекиА не системные вызовы.
Надысь тут один специалист по Венде спрашивал, что такое "подсистема Win32". Так вот, там системный вызов "открытие файла" делается не командой int 2Eh, как могло бы показаться из лингвистической кальки с syscall или sysenter, а по условной цепочке kernel32.dll -> ntdll.dll -> SSDT в ntoskrnl.exe (это очень похоже на WinE, если не считать ядро).И перехватываться может в любом её месте. Если кто-то пропатчил SSDT - это уже не нубкит.
При этом kernel32.dll и ntdll.dll - это стандартные библиотеки.
диэлэл-хайджакин это называется в венде.
А кого интересует мир венды в котором ничерта толком не работает. А дизайн с дефолтной темой вообще взрыв мозга. Белые рамки окон на белом фоне других окон. Это звиздец больным надо быть.Про то что этим гауном зависающим всё при компиляции на всех ядрах вообще пользоваться нельзя.
Да что там окна, попробуйте хотя бы инъекцию dll по Рихтеру сделать, что бы скрыть заражение системы... а тут сразу красивый механизм, ОС для программистов же.
> Да что там окна, попробуйте хотя бы инъекцию dll по Рихтеру сделать,
> что бы скрыть заражение системы... а тут сразу красивый механизм, ОС
> для программистов же.У винды есть и некий почти полный эквивалент LD_PRELOAD через реестр вроде. Хотя могу и прогнать, давно интересовался.
Там в реестре наверняка много всякого интересного, и даже тело трояна можно найти. Насколько понимаю, злоупотребление эквивалентом им немножко надоело: Starting in Windows 8, the AppInit_DLLs infrastructure is disabled when secure boot is enabled. https://docs.microsoft.com/en-us/windows/win32/dlls/secure-b...
> Там в реестре наверняка много всякого интересного, и даже тело трояна можно найти.Ну вот сколько я себя помню, в винде всегда было более 9000 способов налететь на грабли. Для меня винды - слишком сложная, мутная, проприетарная и в целом недружественная система. Я не пользуюсь этим - и никогда не буду уже, имхо.
> https://docs.microsoft.com/en-us/windows/win32/dlls/secure-b...
У меня винды нет, мне честно говоря ортогонально. Но я не удивлюсь если окажется еще 20 способов приколоться, половина всеми забытые с времен какого-нибудь Win3.x небось.
Во всяком случае в свое время я смог в винде делать стелс-процессы которые тупо не видно в менеджере задач. Заметь, без руткитов - просто абибосом штатного лоадера странными извратами с форматом файлов и необычным запуском. Черт знает чем оно меня считало, вероятно или еще не запущенным или уже завершенным процессом, в то время как код по факту работает - только не приписан ни к чему, во всяком случае, в штатном таскменеджере его просто нет.
Поскольку я не малварщик я лишь развел пару знакомых админов которые долго чесали репу как это вообще в таком виде возможно. Линукс кстати подобными методами развести не удалось, хоть в процессе я и научился похожие "странные гибриды". Но там что бы я ни делал, задача всегда засчитывается и так чтобы ее совсем не было в типовых списках без вот именно хака - так вроде не бывает.
> Во всяком случае в свое время я смог в винде делать стелс-процессы
> которые тупо не видно в менеджере задач. Заметь, без руткитов -
> просто абибосом штатного лоадера странными извратами с форматом файлов и необычным
> запуском. Черт знает чем оно меня считало, вероятно или еще не
> запущенным или уже завершенным процессом, в то время как код по
> факту работает - только не приписан ни к чему, во всяком
> случае, в штатном таскменеджере его просто нет.Вот именно, что чёрт знает. Тут стоит читать не Хоглунда, а начинать с Рихтера, или кто там объясняет, что процесс - это такой объект ядра. Со всеми вытекающими.
Цвет рамок окон, конечно, имеет прямейшее отношение к дискуссии.
> А дизайн с дефолтной темой вообще взрыв мозга. Белые рамки окон на белом фоне других окон. Это звиздец больным надо бытьПоставь себе третьегном, не мучайся
Так и не поймешь, трололо или фанбой из 90х
Дальше будет только хуже :(
А ссылка на исходники где?
Насколько я могу помнить, исходные коды подобного программного обеспечения, как правило, имеют гриф "Для служебного пользования" или более строгий.
когда мамкины хакепы полностью освоят ebpf, тогда линукс будет дырявее винды
Но для пользования eDPF у нормальных пацанов нужен root. А если есть root, то и eBPF не особо нужен. Можно и свой собственный модуль ядра подгрузить, как и раньше делалось.
Ага, только у приличных людей там ща подписи на модули навешены. И тебе еще ключ потребуется, мой или дистровский. Где ж ты его возьмешь, ксакеп?
Далеко у всех приличных людей? Подписывать модули это уже почти ракетная наука.
> Далеко у всех приличных людей? Подписывать модули это уже почти ракетная наука.Эта ракетная наука для стоковых модулей вообше билдсистемой кернела ворочается совсем без напрягов с моей стороны. А сторонние модули подписывать так то довольно исключительная ситуация, хорошо что она очень явно и отдельно делается, гарантирует что случайно черти-что врядли пролезет. А какой смысл в подписях если их лепить на любой мутный трэш? Ну вон майковскими ключами подписана часть малвари, а отзывать ключи не будем дескать - у легитимных юзеров загрузка системы сломается!!!111 Оно мне в таком виде надо? Пусть майки такую безопасТность своим виндохомчкам впаривают :)
А кто будет проверять подписантам ? Или джентльменам принято верить на слово ?
Не будет. Дырявее и корявее венды уже не будет ничего.
Дырка номер 100500 в линупce, но плохая все равно винда. Чотаржу
Ты ещё далеко не все вендовые пересчитал.
В винде не дыры, а отверстия!
Еще никогда <s>Штирлиц</s> товарищ майор не был так близко к провалу (с)
> Для установки Simbiote в систему атакующий должен иметь root-доступОфигенный вирус. Реквестирую сырцы под копилефт лицензией.
"... root-доступ, который может быть получен, например, в результате эксплуатации неисправленных уязвимостей или утечки учётных записей".
уже ничего особенного, дыры типа как в polkit
>Simbiote также позволяет обойти некоторые анализаторы активности в файловой системе, так как кража конфиденциальных данных может осуществляться не на уровне открытия файлов, а через перехват операций чтения из этих файлов в легитимных приложениях (например, подмена библиотечных функций позволяет перехватить ввод пользователем пароля или загружаемые из файла данные с ключом доступа).Оригинально.
> Вредоносное ПО было выявлено на системах финансовых учреждений ряда стран Латинской Америки.Интересно, кто бы мог это написать и для чего ещё оно используется? 🤔
След русских хакеров :)
Нанятых бразильским центробанком по поручению спецслужб.
NSA, for example.
Так Simbiote или Symbiote?
Где скачать?// b.
> Где скачать?
> // b.У себя в ЛА-банке, очевидно.
"...например, исключают отдельные элементы в списке процессов" - вот почему бараноЛинукс - не "нечаянная революция", а "чаянная безалаберность" троечника Трольвадса!В системе ВСЕГДА должен быть отдельный "нерушимый", незаменяемый API для таких дел, где системщик может со 100% уверенностью сказать, что именно и откуда загружено в системе.
Да, как грамотный подход в BSD.
> Да, как грамотный подход в BSD.Он обычно оказывается не от мира сего. И единственная причина по которой джо неуловим - он всем похрен. А когда все же каким-то чудом не похрен, случается как в рассылке опенбсд с виртуалками.
Пока кто-то не встроил свой фильтр в этот API и не оказалось, что системщик получает данные, но просто не все.
> троечника Трольвадса!Вы так и будете старательно доказывать, что лично Вам не натянуть даже кол?
(нет, можете, конечно, представить опровержение в виде доказательства концепции хотя бы в псевдокоде для псевдожелеза -- не забыв указать, что именно должно уметь псевдожелезо -- но сдаётся мне, что, конечно, не можете)
> В системе ВСЕГДА должен быть отдельный "нерушимый", незаменяемый API для таких дел,
> где системщик может со 100% уверенностью сказать, что именно и откуда
> загружено в системе.И каждый первый хацкер будет пытаться это апи перехватить. Потому что нерушимый софт это прикольно конечно, но 100% уверенность в этом может испытывать только полный профан.
Линус был блатной мажор при дедушке профессоре. Вот и позволял себе лишнее. Попробовал бы простой студент спорить с профессором и ругаться с ним. Мигом бы вылетел бы со свистом.
Что ты несешь?Торвальдс никогда не учился у Таненбаума, блин! Таненбаум преподавал не то что в другом ВУЗе, но в другой стране даже.
И, да, в нормальных ВУЗах можно и нужно спорить с преподами, но тебе этого не понять
А вот и встроенный бэкдор ёBPF снова пригодился.
Основной плюс ёBPF в том, что теперь бэкдоры могут одинаково хорошо работать на всех ядрах, даже модуль собирать не надо :D
Вне контекста верно, но как я понимаю к данному бекдору не относится - в новости здесь он описан ошибочно (отправил модераторам правку, но что-то она никак не появится). Этот бекдор лишь пассивно (то есть в ответ на событие) добавляет свой BPF-код в начало загружаемых анализаторами трафика BPF-программ (если кто-то такой анализатор запустит). Сам же бекдор активно (то есть как инициатор действия) (e)BPF не использует и никакой (e)BPF-программы по своей инициативе не загружает.
То есть эта штука еще и патчер eBFP программ? А вот это уже креативно, LD_PRELOAD так то сам по себе баян.
> (отправил модераторам правку, но что-то она никак не появится)Спасибо!
"и подстановка дополнительного кода в загружаемые в ядро BPF-программы" -- это уже Ваш текст?
Да. Спасибо. И можно на ты.
Развесистая штуковина. Походу, толковые ребята писали.
Вы про eBPF?
хакеры не спят
Хакер и солонка
почему никто ещё не задумался отчего такой путь обнаружен пока только в фин.учреждениях латинских стран? кто больше всех заинтересован в получении информации и контроля над системами в данном регионе?
жырно шо аж Михоил не стал клевать
Как такую срань найти ?
> Как такую срань найти ?Для начала зазырить переменные окружения любым известным вам способом и если там LD_PRELOAD, и это не вы прописали - у вас, скорее всего, какая-то пакость.
Тут лучше не любым известным, а загрузив чистую систему с внешнего накопителя.
Дык при загрузке с флешки LD_Preload будет с флешки
А смотреть на всхаченной системе - так там и окружение можно подправить ;)
> Дык при загрузке с флешки LD_Preload будет с флешкиВ чистой системе?
Как вариант, запустить что-либо с LD_PRELOAD и убедиться в том, что свой LD_PRELOAD виден у запущенного процесса. Но опять же - возможна чистка только определенной вгружаемой библиотечки. Поэтому ваш LD_PRELOAD будет отображаться в /proc/pid/environ, искомый нет. Подключившись к процессу с gdb возможно чтение environ в первом фрейме. Но вообще переменная environ может быть недостоверна - её тоже вполне по силам чистить.Далее, вгруженная библиотека должна быть видна в /proc/пид/maps - с теми же соображениями о степени доверия к результатам любого чтения.
Таким образом, надо убедиться в первую очередь в том, что чтение не подменено. Это можно пробовать сделать через сравнение числа потраченных инструкций цпу - время выполнения - на заведомо чистой и целевой системах. выполнять perf record/stat и опираться на счетчик выполненных инструкций.
Руткит фильтрует чтение из /proc/пид/maps
По поводу детекта замером времени исполнения - это может сработать в общем случае с майнером. При чтении /proc/пид/maps будет два переключения контекста и сколько кода выполняться в ядре? Это к вопросу о погрешности измерений. Фильтация, насколько понимаю, это несколько машинных инструкций в цикле.
> Руткит фильтрует чтение из /proc/пид/maps
> По поводу детекта замером времени исполнения - это может сработать в общем
> случае с майнером. При чтении /proc/пид/maps будет два переключения контекста и
> сколько кода выполняться в ядре? Это к вопросу о погрешности измерений.
> Фильтация, насколько понимаю, это несколько машинных инструкций в цикле.у вас неверное понимание.
Я так полагаю, Вы где-то уже апробировали предлагаемую методику, раз такое заявляете. В таком случае хотелось бы ознакомиться с какими-то подробностями, что бы понять, что именно и насколько неверно я понимаю.
> Таким образом, надо убедиться в первую очередь в том, что чтение
> не подменено. Это можно пробовать сделать через сравнение числа потраченных инструкций
> цпу - время выполнения - на заведомо чистой и целевой системах.
> выполнять perf record/stat и опираться на счетчик выполненных инструкций.Поскольку не последовало внятного объяснения, как предполагается обеспечить достаточную точность измерений, внесу некоторую ясность. Выше предлагается вариант обнаружения по косвенным признакам. Обычно (RkU, Gmer, AVZ и т.п.) вместо этого производили сканирование памяти, искали факт подмены инструкций. Грубо говоря, реализовывался некий аналог системного загрузчика: читали исполняемые файлы с накопителя, но вместо копирования в ОЗУ производили сравнение. Такой метод помимо обнаружения позволял снять хуки (перехват). Однако, руткиты противодействовали - подменяли содержимое чистых файлов при чтении. Варианты с измерением времени обсуждались, но о рабочих реализациях мне не известно, если не считать вариантов с контролем указателя инструкций в планировщике.
Классический способ по мотивам RootkitRevealer Руссиновича: пишем приложение, которое получает список загруженных библиотек. На Си. Собираем в двух вариантах: обычная линковка и статическая без внешних библиотек вообще (т.е. и без загрузчика). Получаем два списка. Сравниваем. Имеем ввиду, что ядерные руткиты так не детектируются.
> Классический способ по мотивам RootkitRevealer Руссиновича: пишем приложение, которое
> получает список загруженных библиотек. На Си. Собираем в двух вариантах: обычная
> линковка и статическая без внешних библиотек вообще (т.е. и без загрузчика).
> Получаем два списка. Сравниваем. Имеем ввиду, что ядерные руткиты так не
> детектируются.Еще можно врубить мозг - и черт с ним с русиновичем - у нас тут линукс же. Читаем ман на execve и кто такой env по факту. Пишем тупую как дрова программу печатающую свой env, который структурно что-то типа argv[] по смыслу. Т.е. просто регион в памяти, его печать не требует сисколов вообще, перехватывать так то нечего. И вот это очень на руку.
А в чем пойнт? Даже если руткитчик попортит вывод ps и проч, если он глобально себя всем впихивает - пропатчить кус памяти с env, да еще после запуска программы, когда левая либа нам уже вгрузилась, но мы еще не получили инициативу (довольно узкое окно возможностей) не то чтобы невозможно, но технически довольно неудобно, не совсем очевидно и есть шанс что руткитчик про это тупо забыл или в силу возни забил. Конечно это не панацея, но чем более неожиданный фокус мы сделаем, тем менее вероятно что у руткита там "все схвачено".
> печать не требует сисколов вообщеК каким ножкам процессора подпаиваем принтер?
1. Подписываешь чистые бинари и библиотеки.2. Запускаешь:
tail -f /var/log/....log3. Делаешь:
echo 'appraise func=MMAP_CHECK mask=MAY_EXEC' >> '/proc/sys/kernel/security/ima/policy'4. Ищешь в логах аудита.
А чтобы ее вообще не было надо / держать в режиме только для чтения.
> А чтобы ее вообще не было надо / держать в режиме только
> для чтения.Это всего лишь вопрос времени, когда руткиты начнут писать на накопитель в обход драйвера ФС.
А мы не только ФС в режиме только для чтения держим, но и само блочное устройство:blockdev --setro /dev/sda7
Не анекдот, а правда:
"Мне потеринг когдато говорил, что сыстемдЫ он пишет, чтобы всем удобно было корень держать в режиме только для чтения."
И запуск драйверов заблокировали. И изучили накопленный опыт атак на альтернативную ОС. И доказали корректность существующего кода ядра (а что понапишут на Rust - то компилятор "верифицирует").Вот это тоже не анекдот, а правда: "сама концепция открытого кода подразумевает, что злоумышленник может иметь к нему доступ, и следовательно, сознательно искать и находить уязвимости в нем."
Это пишет к.т.н. в аннотации доклада на osdev. Зачем он пишет про открытый код и про доступ? Не знает про fuzzing и IDA Pro, или для чего?
систему атакующий должен иметь root-доступ -- да уж
рассказать способы, или сам загуглишь новости о многолетних дырах?
Расскажи мне. Мне очень нужно 8ой ведроид рутануть.
> Для установки Symbiote в систему атакующий должен иметь root-доступДальше не читал
> как только атакующий получил root доступ, следует ̶р̶а̶з̶д̶в̶и̶н̶ перестать читать.Зер гуд, Вольдемар!
> иметь root-доступда хоть через дыры в polkit! заиметь сейчас рут - вообще не проблема.
>> иметь root-доступ
> да хоть через дыры в polkit! заиметь сейчас рут - вообще не
> проблема.3аймей, хyцкep йoпт https://git.kernel.org/
Хорошая реклама. Где мне его взять?
У Микрософта же. https://github.com/search?q=LD_PRELOAD+rootkit
неплохо
Решил поизучать сети. Поставил в Ubuntu анализатор Wireshark.При первом запуске он выдал сообщение:
> couldn't run /usr/bin/dumpcap in child process: permission denied
В инете посоветовали ввести в консоль:
> sudo chmod +x /usr/bin/dumpcap
Помогло. Но что такое dumpcap? Это что-то системное, или относится только к Wireshark? Почему при установке Wireshark оно автоматом не настраивается на пользователя? Почему надо дополнительно вводить такую команду? Не навредит ли это безопасности?
> Помогло. Но что такое dumpcap? Это что-то системное, или относится только к Wireshark?"man dumpcap" не пробовали? Это прога из комплекта wireshark для захвата сетевого трафа :)
> Почему при установке Wireshark оно автоматом не настраивается на пользователя?
> Почему надо дополнительно вводить такую команду? Не навредит ли это безопасности?Потому что весьма деликатная штука. Видите ли, загребание вообще совсем всего трафика - делает юзера почти богом в системе. В том аспекте что он может перехватывать трафик других юзеров и все такое. В многопользовательской системе по умолчанию такое паскудство как бы не ожидается.
Как я понимаю - у вас теперь вообще любой пользователь может полностью перехватывать сетевой траф. Что довольно так себе с точки зрения безопасности. По изначальной задумке это должен мочь только привилегированый пользователь (root). Но да, пуск wireshark под рутом чреват другим моментом: в случае багов в самом wireshark атакующий в случае чего убедит его что-то левое сделать с правами рута, что тоже так себе.
Технически пакетный менеджер ставит пакеты в контексте рута, и я не уверен что он вообще знает какой именно юзер его пнул чтобы именно ему дать повышенные права. Хотя может быть это и можно. В общем там на самом деле довольно хитрая проблема безопасности.
А я один юзер в системе, домашний комп. :D
Нет, ты - один из юзеров в системе, который думает, что он - Один или един.
cat /etc/passwd
А почему wireshark dumpcap через sudo не запускает?
Не знаю, я не пробовал. Я запускаю Wireshark ярлыком.