The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Symbiote - вредоносное ПО для Linux, использующее eBPF и LD_PRELOAD для скрытия

10.06.2022 07:47

Исследователи из компаний Intezer и BlackBerry обнаружили вредоносное ПО, получившее кодовое имя Symbiote и используемое для внедрения бэкдоров и rootkit-ов на скомпрометированные серверы, работающих под управлением Linux. Вредоносное ПО было выявлено на системах финансовых учреждений ряда стран Латинской Америки. Для установки Symbiote в систему атакующий должен иметь root-доступ, который может быть получен, например, в результате эксплуатации неисправленных уязвимостей или утечки учётных записей. Symbiote позволяет закрепить своё присутствие в системе после взлома для проведения дальнейших атак, скрытия активности других вредоносных приложений и организации перехвата конфиденциальных данных.

Особенностью Symbiote является распространение в форме разделяемой библиотеки, которая подгружается во время запуска всех процессов при помощи механизма LD_PRELOAD и подменяет некоторые вызовы стандартной библиотеки. Обработчики подменённых вызовов скрывают связанную с бэкдором активность, например, исключают отдельные элементы в списке процессов, блокируют доступ к определённым файлам в /proc, скрывают файлы в каталогах, исключают вредоносную разделяемую библиотеку в выводе ldd (выполняется перехват функции execve и анализ вызовов с переменной окружения LD_TRACE_LOADED_OBJECTS), не показывают связанные с вредоносной активностью сетевые сокеты. Для защиты от инспектирования трафика осуществляется переопределение функций библиотеки libpcap, фильтрация чтения /proc/net/tcp и подстановка дополнительного кода в загружаемые в ядро BPF-программы, что позволяет скрыть сетевую активность бэкдора от анализаторов, запускаемых на той же системе позднее.

Symbiote также позволяет обойти некоторые анализаторы активности в файловой системе, так как кража конфиденциальных данных может осуществляться не на уровне открытия файлов, а через перехват операций чтения из этих файлов в легитимных приложениях (например, подмена библиотечных функций позволяет перехватить ввод пользователем пароля или загружаемые из файла данные с ключом доступа). Для организации удалённого входа Symbiote перехватывает некоторые PAM-вызовы (Pluggable Authentication Module), что позволяет подключиться к системе через SSH с определёнными атакующими учётными данными. Предусмотрена также скрытая возможность повышения своих привилегий до пользователя root через установку переменной окружения HTTP_SETTHIS.

  1. Главная ссылка к новости (https://www.intezer.com/blog/r...)
  2. OpenNews: Вредоносное ПО, поражающее NetBeans для внедрения бэкдоров в собираемые проекты
  3. OpenNews: Выявлен новый rootkit для Linux, подменяющий функции libc
  4. OpenNews: Новый rootkit для Linux, осуществляющий подстановку вредоносного кода в HTTP-трафик
  5. OpenNews: Linux-бэкдор, организующий скрытый канал связи в легитимном сетевом трафике
  6. OpenNews: RotaJakiro - новое вредоносное ПО для Linux, маскирующееся под процесс systemd
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/57328-mallware
Ключевые слова: mallware, backdoor, rootkit
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (226) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, n00by (ok), 08:45, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –23 +/
    "Разделяемые библиотеки позволяют быстро исправлять ошибки" - говорили они, не шибко понимая, что говорят.
     
     
  • 2.4, Аноним (4), 08:50, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +19 +/
    ну тут дело же в полученном изначально root-доступе, а не в самом механизме динамических библиотек
     
     
  • 3.6, n00by (ok), 08:55, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Дело в том, что я сейчас напишу "читайте Хоглунда", а эксперты по руткитам полезут в поисковик.
     
     
  • 4.56, Аноним (56), 12:41, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Я эксперт, только что вернулся из поисковика. При чём тут хоккей?!
     
     
  • 5.61, n00by (ok), 13:00, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Однофамилец того хоккеиста написал книжку про руткиты. Описал решаемые ими задачи и привёл примеры реализации. Переведена на русский язык. Вот здесь должно быть из неё код https://github.com/bowlofstew/rootkit.com/tree/master/hoglund
     
     
  • 6.100, Аноним (-), 17:54, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > https://github.com/bowlofstew/rootkit.com/tree/master/hoglund
    > #include<windows.h>

    В тему.

     
  • 6.102, Аноним (-), 18:38, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > #include "ntddk.h"

    Это что, для маздая? Очень тематично пля, мне очень интересно как гадить в NTшный кернел, аж два раза.

     
     
  • 7.103, Аноним (-), 18:39, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    p.s. я буду рефрешить коменты до ответа. Я буду рефрешить коменты до ответа. Я буду рефрешить коменты до ответа...
     
     
  • 8.127, n00by (ok), 09:52, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ответа кому Смысл вести с вами дискуссии На что вы, господа безымянные теорети... текст свёрнут, показать
     
     
  • 9.131, InuYasha (??), 10:22, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Может, это те ребята, которые пишут Dow do I wrote root kit for Linux на Stac... текст свёрнут, показать
     
     
  • 10.138, n00by (ok), 11:21, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вы хотеть, пожалуйста, посетить эту ссылка https github com search q linux roo... большой текст свёрнут, показать
     
  • 9.168, Аноним (-), 19:46, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Понимаешь, человек, от ТЕБЯ много СПАМА Бесполезного и или офтопичного Ты спам... большой текст свёрнут, показать
     
     
  • 10.187, n00by (ok), 11:55, 12/06/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я отвечаю на твои бессмысленные сообщения, поскольку мне с такими как ты придётс... большой текст свёрнут, показать
     
     
  • 11.223, torvn77 (ok), 02:01, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Этот хак с LD_PRELOAD работает с правами обычного пользователя с правами которог... текст свёрнут, показать
     
     
  • 12.225, n00by (ok), 07:54, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Напоминаю Unix-way каждая программа хорошо делает своё дело 1 эксплоит - по... большой текст свёрнут, показать
     
  • 3.38, Аноним (38), 11:43, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А не наоборот? Впрочем в линуксе всё прекрасно: тут вам и разделяемые библиотеки, тут вам и пакетные менеджеры, тут вам и наркоманский FHS... Всё для человека, ага.
     
     
  • 4.46, n00by (ok), 12:02, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Unix way - одна программа (не обсуждается в ветке) хорошо получает рут доступ, другая программа (руткит, обсуждается здесь и сейчас) хорошо закрепляется, для чего скрывает своё присутствие. Вот что прекрасно. :)
     
  • 4.109, Аноним (-), 21:21, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Пакетный менеджер имеет свои плюсы Допустим в zlib нашли баг Я поставил патчен... большой текст свёрнут, показать
     
     
  • 5.125, Аноним (-), 01:56, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Я поставил патченый пакет. Все программы в моей системе автоматически отвалились

    Исправил, не благодари

     
     
  • 6.169, Аноним (-), 19:51, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> Я поставил патченый пакет. Все программы в моей системе автоматически отвалились
    > Исправил, не благодари

    Нехрен арчем и гентой в проде пользоваться. В нормальных дистрах майнтайнеры вот реально только вулн запалчат - и все! Чему там вообще отваливаться? Предпосылок нет. Заодно так наверное чуть понятнее почему у вменяемых дистров вместо гонки за свежаком специфичные полися по типу того что между релизами как максимум минорные версии подтягивают, но никаких крупных инноваций. Вот как раз чтобы прод не разваливался как у арчегент.

     
     
  • 7.220, Аноним (220), 20:24, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Накушался я этой стабильности в свое время. Так, навскидку пример: дебиан то ли 5, то ли 6 версии. Аська у которой полсотни рабочих контактов, майлру эту самую аську покупает и что-то меняет в протоколе. Дебиановский pidgin, само собой, работать по нему перестает. Этим контактам по фигу, у них винда - обновили свои клиенты и дальше живут (у кого-то миранда, у кого-то &RQ, у кого и официальный). А в дебиане или ставь пакет от убунты (с непредсказуемыми глюками по итогу), или собирай свежак из сорцов, или жди следующую стабильную версию этого самого дебиан годик-другой. В итоге плюнул, поставил винду и забыл про все эти дела как страшный сон
     
  • 5.128, Аноним (38), 09:55, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Допустим в zlib нашли баг. Я поставил патченый пакет. Все программы в моей системе автоматически исправлены.

    Об этом должен беспокоиться разработчик конкретной программы, а не разработчик ОС или тем более пользователь. Не?

     
     
  • 6.141, Аноним (141), 12:03, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Единое окружение операционной системы собирает разработчик ОС, а не автор конкретной программы, автор программы не знает кто, где и как будет программу использовать.
     
     
  • 7.144, Аноним (38), 12:23, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вот поэтому самая правильная схема -- "ОС отдельно, программы отдельно".
     
     
  • 8.152, n00by (ok), 16:14, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В этом месте возникает конфликт интересов Есть специальный человек - майнтайнер... текст свёрнут, показать
     
  • 8.157, Аноним (-), 17:33, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Дистрибутив AltMinixZverBD отдельно ... текст свёрнут, показать
     
  • 8.172, Аноним (-), 20:07, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не, спасибо, я видел как это в маздае работает Крайним почему-то я оказываюсь, ... текст свёрнут, показать
     
     
  • 9.175, Аноним (38), 21:09, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну не знаю По-моему ситуация когда пользовательские приложения делят либы с о... текст свёрнут, показать
     
     
  • 10.181, Аноним (-), 03:16, 12/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А по моему 1 В моем случае деление на систему и пользовательские приложен... большой текст свёрнут, показать
     
     
  • 11.196, Аноним (38), 14:07, 12/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А остальной код вы проверили, вдруг в других местах тоже есть уязвимости Запуск... текст свёрнут, показать
     
  • 11.203, Neon (??), 03:42, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Заменив либу на фикшеную, можно ВСЁ поломать Классно поменяли ... текст свёрнут, показать
     
  • 10.221, Аноним (220), 20:31, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Поздравляю, ты изобрел FreeBSD с ее делением на distributions и ports... текст свёрнут, показать
     
     
  • 11.226, n00by (ok), 08:10, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, теперь я понял эти постоянные нападки на BSD В GNU Linux именно свобод... текст свёрнут, показать
     
     
  • 12.228, Аноним (-), 17:26, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    За что, среди прочего, фряху и люблю Есть минимальный набор из загрузчика, ядра... текст свёрнут, показать
     
     
  • 13.230, n00by (ok), 17:55, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Что бы что-то перехватить в монолитном исполняемом файле, врезать инструкции пер... текст свёрнут, показать
     
  • 6.171, Аноним (-), 20:04, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема в том что в результате 1 Все отдано на откуп легиону каких-то раздолб... большой текст свёрнут, показать
     
     
  • 7.229, Аноним (-), 17:35, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так не пользуйся ненужным, в чем проблема-то? Если найдется уязвимость в каком-нибудь kernel32.dll - мелкомягкие ее сами закроют и в случае с динамической линковкой для тебя ничего не меняется.
     
  • 3.104, Аноним (-), 18:42, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а не в самом механизме динамических библиотек

    А еще злодей может имя файла использовать левое, название процесса непаливное назначать, и только подумайте - скачать и запустить файлы.

    Если динамические либы плохи, тогда надо и наглухо readonly filesystem, а лучше и запуск программ для надежности запретить. Вдруг гамнюки что-то в RW подмонтировать смогут?!

     
  • 2.12, n00by (ok), 10:21, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Жаль, что не получается составить список экспертов Стесняются отметиться явно ... большой текст свёрнут, показать
     
     
  • 3.19, Аноним (-), 11:02, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    busybox
     
     
  • 4.26, n00by (ok), 11:27, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ход мыслей правилен, но уровень абстракции не тот. См. ldd 'which busybox'
     
     
  • 5.30, Аноним (-), 11:31, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Статически слинкован, например с каким-нибудь экзотическим libc, который в добавок не знает про всякие переменные окружения LD_*
     
     
  • 6.32, n00by (ok), 11:36, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, это решение. Но фанаты не одобряют.
     
     
  • 7.36, Аноним (-), 11:41, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Да, это решение.

    Это решение только проблемы с LD_PRELOAD. А злоумышленник с рутом так и сидит в системе, по крайней мере до перезагрузк


     
     
  • 8.42, n00by (ok), 11:57, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Что и обсуждается в данной ветке ... текст свёрнут, показать
     
     
  • 9.50, Аноним (-), 12:14, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В какой, в которой ключи ищут ... текст свёрнут, показать
     
     
  • 10.53, n00by (ok), 12:22, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В ветке, которая началась с моего сообщения 8470 1 Оно так понравилось экспер... текст свёрнут, показать
     
     
  • 11.55, Аноним (-), 12:35, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Если обсуждают, что угодно, то изначальный тезис противоречивый, то есть троллин... текст свёрнут, показать
     
     
  • 12.62, n00by (ok), 13:02, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Противоречий в тезисе нет Цитата в кавычках верна, проблема с ошибками в библ... текст свёрнут, показать
     
     
  • 13.70, Аноним (-), 13:30, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вопросов больше не имею ... текст свёрнут, показать
     
     
  • 14.72, n00by (ok), 13:38, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот и не надо зафлуживать ветку, если сказать по сути нечего Затроллили его, бе... текст свёрнут, показать
     
  • 3.20, Аноним (20), 11:04, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А если разрешать подгрузку только таких библиотек, у которых есть цифровая подпись?
     
     
  • 4.21, Аноним (-), 11:09, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Что мешает подписать, если уже есть root-доступ?
     
     
  • 5.22, n00by (ok), 11:15, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так подписи будет раздавать RHBM. ;)
     
     
  • 6.23, Аноним (-), 11:21, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > RHBM

    Не знаю кто это, но проверять тоже он будет или система, в которой кто-то шарится с рут-доступом (добавил свой свой сертификат и подписал им же - "доверенно")?

     
     
  • 7.24, n00by (ok), 11:24, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Куда именно добавил?
     
     
  • 8.25, Аноним (-), 11:26, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В систему, которая проверяет ... текст свёрнут, показать
     
     
  • 9.27, n00by (ok), 11:28, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Куда именно в систему, которая проверяет ... текст свёрнут, показать
     
     
  • 10.35, Аноним (-), 11:39, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Куда надо Конкретика должна исходить от того, кто предложил способ защиты злоум... текст свёрнут, показать
     
     
  • 11.43, n00by (ok), 11:58, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Защищающийся должен защитить систему Атакующему он ничего не должен ... текст свёрнут, показать
     
     
  • 12.45, Аноним (-), 12:01, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Какой из пользователей с UID 0 защитник, какой - атакующий ... текст свёрнут, показать
     
     
  • 13.47, n00by (ok), 12:04, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ищите ключи ... текст свёрнут, показать
     
     
  • 14.49, Аноним (-), 12:12, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    К кому запрос, к пользователю - защитнику или атакующему, который нашел ключ , ... текст свёрнут, показать
     
     
  • 15.52, n00by (ok), 12:20, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я понимаю, что ключ пока никто не нашёл Совсем нет вариантов ... текст свёрнут, показать
     
     
  • 16.54, Аноним (-), 12:30, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Злоумышленник с рутом - это кто Тот, кто не нашел ключ Пока нет конкретики, ... текст свёрнут, показать
     
     
  • 17.63, n00by (ok), 13:08, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вопрос в 8470 21 Что мешает подписать, если уже есть root-доступ Предложен... текст свёрнут, показать
     
     
  • 18.69, Аноним (-), 13:27, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Хочешь сказать, ключей в системе нет Внесистемные инструменты Хотя, что мешает... текст свёрнут, показать
     
     
  • 19.74, n00by (ok), 13:41, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Социальная инженерия не работает Не нашли ключи, не подписали, закрепиться пред... текст свёрнут, показать
     
     
  • 20.77, Аноним (-), 14:05, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Еще один верный тезис Интересно, как в систему попали Защищающийся должен до... текст свёрнут, показать
     
  • 21.82, n00by (ok), 15:12, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Кто Вы Нафантазировали, что куда-то попали На этом фантазия закончилась Мне ... текст свёрнут, показать
     
  • 22.146, Аноним (146), 12:59, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что ты оффтопщик - админ подкроватного IIS-сервера, который сам не знает ... текст свёрнут, показать
     
  • 23.147, n00by (ok), 13:33, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, ты не угадал, у меня нет IIS-сервера под кроватью Сначала расскажи, почему... текст свёрнут, показать
     
  • 24.148, Аноним (-), 14:01, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Что мне находить Отключение integrity, когда у меня есть рут Прописывание в за... текст свёрнут, показать
     
  • 25.151, n00by (ok), 15:57, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Теряешь контекст Требовал конкретику У меня она есть и давно в виде кода К да... большой текст свёрнут, показать
     
  • 26.153, Аноним (-), 16:55, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это ты давно потерял контекст Раздул проблему LD_PRELOAD до размеров слона Т... текст свёрнут, показать
     
  • 27.158, n00by (ok), 18:50, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ты не проблема вовсе Если ты не готов к конструктивному диалогу по вопросу LD_P... текст свёрнут, показать
     
  • 28.161, Аноним (-), 19:03, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Какой конструктив, если ты не даешь никакой конкретики Вместо этого скачешь то ... текст свёрнут, показать
     
  • 29.163, n00by (ok), 19:15, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Успокойся уже Сделай 10 вдохов Сделал Теперь читай дальше В 8470 21 ты со... большой текст свёрнут, показать
     
  • 30.167, Аноним (-), 19:37, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Руткит - это кит , который работает как рут С точки зрения системы ничем не ... текст свёрнут, показать
     
  • 31.188, n00by (ok), 12:08, 12/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Аноним - это им я , которого нет С точки зрения системы у твоего мнения не... текст свёрнут, показать
     
  • 6.105, Аноним (-), 18:43, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Так подписи будет раздавать RHBM. ;)

    Пока-что я сам себе подписи на кернельные модули раздаю. А в чем проблема так же с либами и бинарями сделать?

     
     
  • 7.129, n00by (ok), 10:16, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Для Вас не вижу проблем, коль сходу предлагаете решение. Исходники открыты, можно дорабатывать. А вот этим, у кого вся свобода заключается в "лишь бы не как в венде" и трендовых сетах иконок, RH/IBM и будет подписывать.
     
  • 6.204, Neon (??), 03:45, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А кто будет проверять контролера ?
     
     
  • 7.209, n00by (ok), 08:32, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Сами подписывайте, если никому не доверяете. Исходники открыты, возможность есть.
     
  • 5.28, Аноним (28), 11:28, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Подписывают на отдельном хосте, не подключенном к сети с рутуемыми серверами.
     
  • 4.29, n00by (ok), 11:29, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, это один из вариантов. Но надо понимать, что в прошлый раз в итоге развития идеи появился SecureBoot. :)
     
     
  • 5.48, Аноним (20), 12:07, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А если прямо им и воспользоваться, не мудрствуя лукаво...
     
     
  • 6.107, Аноним (-), 21:02, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > А если прямо им и воспользоваться, не мудрствуя лукаво...

    Полная версия идеи секурбута так то проверять ВСЕХ на цепочке

    ROM->бут->кернел->программы/либы

    ROM не меняемый (накристальный или в R/O флехе). Это делает его anchor'ом которому можно доверять, если он знает доверяемый ключ. Он проверяет загрузчик. А тот ядро. Для продолжения цепочки ядро может отказаться запускать неподписанные программы. А (подписаный) лоадер динамических либ мог бы проверять и подпись либы, не грузя ее если подписи нет.

    Таки да, полная реализация сложновата и ВСЕ дырки законоаптить в системе где о таком СРАЗУ не думали все же не очень просто. Поэтому ИНОГДА секурбутчиков посещают приколы с обломами.

     
  • 3.137, InuYasha (??), 10:51, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Предлагаешь отключить _dl_map_object_deps всем-всем-всем из юзерспейса?
    (с сисколами и проганьем под линукс знаком не очень)
     
     
  • 4.139, n00by (ok), 11:41, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем сразу запрещать. Было интересно, сколько возникнет подобных вопросов ("что с этим делать") и вариантов решений. Например, можно переименовать LD_PRELOAD... или перевести на русский.)
     
     
  • 5.155, Аноним (-), 16:59, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Например, можно переименовать LD_PRELOAD

    Вот это уровень!

     
     
  • 6.160, n00by (ok), 19:02, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> Например, можно переименовать LD_PRELOAD
    > Вот это уровень!

    А то. Сджипиэлил из #30:

    "не знает про всякие переменные окружения LD_*"

    ;)

     
     
  • 7.164, Аноним (-), 19:19, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > "переименовать" = "не знать"

    "Научный подход" security by obscurity в действии!

     
     
  • 8.166, n00by (ok), 19:25, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да Зеркало то работает Вон как ты себя разоблачаешь ... текст свёрнут, показать
     
  • 2.60, Аристарх (??), 12:54, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Строго говоря, замена одной неисправной библиотечки не является уязвимостью, ЕСЛИ систему не писал бы кретuн Трольвадс! Это нормальная, рабочая операция, где главная проблема - защита оригинальной либы и руками одобренная замена. Ну то есть если вирус полезет её заменять, ему даст отлуп защита файлов. И даже если через неё он проскочит и запросит замену, система обязана иметь отдельный, защищённый модуль, ПЕРСОНАЛЬНО и ИНТЕРАКТИВНО спрашивающий, можно ли заменить вот эту одну либу.
    Да, звучит как-то параноидально, но только так можно держать систему стабильной.
     
     
  • 3.66, n00by (ok), 13:11, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Торвальдс написал ядро. Здесь обсуждается механизм в пространстве пользователя. Советую извиниться за слова в адрес Линуса.
     
     
  • 4.73, Аноним (-), 13:40, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Здесь обсуждается механизм в пространстве пользователя.

    Только в пространстве пользователя, любой пользователь полностью изолирован от внешнего мира. Даже для того чтобы вывести "привет, мир" нужно дергать сискол.

     
     
  • 5.75, n00by (ok), 13:47, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Даже для того чтобы вывести "привет, мир" нужно дергать сискол.

    Самое удивительное, что руткит при этом не подгузится.

     
     
  • 6.78, Аноним (-), 14:16, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Самое удивительное, что руткит при этом не подгузится.

    Как догадался, получил дамп выполненных в ring0 инструкций, проанализировал на вредоносность выполненные команды (полных по Тьюрингу)?

     
     
  • 7.81, n00by (ok), 15:11, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > я смотрю в сообщение №12 и вижу фигу.

    Бывает. Продолжайте собирать пакетики.

     
     
  • 8.83, Аноним (146), 15:30, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И что там надо увидеть То что, если поменять логику glibc, то glibc ведет себ... текст свёрнут, показать
     
     
  • 9.85, n00by (ok), 15:43, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    С какой конкретно целью Вы пытаетесь произвести подмену предмета обсуждения в ве... текст свёрнут, показать
     
     
  • 10.87, Аноним (-), 15:58, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Если есть рут доступ, можно подменить вызовы glibc своим механизмом LD_PRELOA... текст свёрнут, показать
     
     
  • 11.92, n00by (ok), 16:16, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    То есть цель озвучить не можете, но хотите пофлудить о сферическом коне в вакуум... текст свёрнут, показать
     
     
  • 12.94, Аноним (-), 16:33, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Продолжай скакать с ветки на ветку, обвиняя Вы пытаетесь произвести подмену пре... текст свёрнут, показать
     
     
  • 13.130, n00by (ok), 10:20, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Зер гуд, Вольдемар Я, я, дас штиммт Тебе полагается тёплый суп ... текст свёрнут, показать
     
  • 3.110, Michael Shigorin (ok), 21:23, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ПЕРСОНАЛЬНО и ИНТЕРАКТИВНО спрашивающий

    Может, ещё книжку для укладки на энтер услужливо подсовывающий?

    Торвальдс не обидится, поскольку не прочёт -- а вот Даннинг с Крюгером где-то ехидно ухмыляются...

     
  • 2.90, Аноним (90), 16:01, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да, позволяют.

    Это ты смотрю не шибко понимаешь что такое разделяемые библиотеки.

     
     
  • 3.93, n00by (ok), 16:20, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Чего мне понимать - в новости подробно описана "разделяемая библиотека":

    скрывают связанную с бэкдором активность
    исключают отдельные элементы в списке процессов
    блокируют доступ к определённым файлам в /proc
    скрывают файлы в каталогах
    исключают вредоносную разделяемую библиотеку в выводе ldd
    не показывают связанные с вредоносной активностью сетевые сокеты.

    Видите такого суслика у себя? Нет. А он есть.

     
  • 2.101, Аноним (-), 18:35, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > "Разделяемые библиотеки позволяют быстро исправлять ошибки" - говорили они,

    А таки позволяют. И еще обеспечивают code reuse. Мсье вероятно фанат игогошных бинарников с хелловорлдом весом 6 мегабайтов. Без динамических либ это получается как-то так.

    p.s. а LF_PRELOAD таки довольно легко палится вещами типа "ps wwwaxe", так что руткит воображение не поражает.

     
     
  • 3.111, Michael Shigorin (ok), 21:24, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > p.s. а LF_PRELOAD таки довольно легко палится вещами типа "ps wwwaxe"

    Некоторые, кстати, троянят procps, но не psmisc...

     
     
  • 4.142, n00by (ok), 12:14, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это они не открыли Бритву Оккама - не надо прятать то, чего нет. Есть же ещё один хороший удобный механизм - DKMS.
     
  • 3.132, n00by (ok), 10:26, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> "Разделяемые библиотеки позволяют быстро исправлять ошибки" - говорили они,
    > А таки позволяют. И еще обеспечивают code reuse. Мсье вероятно фанат игогошных
    > бинарников с хелловорлдом весом 6 мегабайтов. Без динамических либ это получается
    > как-то так.

    Мсье, очевидно, теоретик. У меня на Си++ std::cout << "хелловорлд"; получался в 25 кб.

    > p.s. а LF_PRELOAD таки довольно легко палится вещами типа "ps wwwaxe", так
    > что руткит воображение не поражает.

    Воображение поражает - что LF_PRELOAD это уровень ЧаВо на хеккерном форуме, оно работает, а эксперты зарывают голову в землю, подобно страусам.

     
     
  • 4.156, Аноним (-), 17:09, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > У меня на Си++ std::cout << "хелловорлд"; получался в 25 кб.

    ldd покажешь?

     
     
  • 5.159, n00by (ok), 18:54, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Она не понимает PE/COFF.
     
     
  • 6.162, Аноним (-), 19:12, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Она не понимает PE/COFF.

    В тему.

     
     
  • 7.165, n00by (ok), 19:20, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> Она не понимает PE/COFF.
    > В тему.

    Ещё бы. Ведь это _у_тебя_ исполняемый файл 6 гигабайт и масса руткитов закрепляется штатным методом, будто бы так и надо, поэтому я клятый виндузятник. =) Ты думаешь, что я в Линуксе так не смогу сделать? Потому что сам не можешь.

     
     
  • 8.170, Аноним (-), 20:01, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ты не виляй хвостом, показывай импорты и экспорты или как у там у вас оффтопщико... текст свёрнут, показать
     
     
  • 9.189, n00by (ok), 12:12, 12/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем я буду что-то тебе показывать У меня нет давно Венды как и того экзешника... текст свёрнут, показать
     
     
  • 10.193, Аноним (146), 12:48, 12/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Может ты сперва напишешь привет мир используя именно std cout , потом будешь... текст свёрнут, показать
     
     
  • 11.194, n00by (ok), 13:17, 12/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Может ты внимательно прочтёшь 8470 132 У меня на Си std cout хелловор... текст свёрнут, показать
     
     
  • 12.195, Аноним (146), 13:37, 12/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Типичный оффтопщик, который пришел в тему про linux, и понтуется, что читал оффт... текст свёрнут, показать
     
     
  • 13.197, n00by (ok), 14:42, 12/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Рекомендую тебе вести себя крайне осторожно, особенно с оценками, пока ты не осо... текст свёрнут, показать
     
     
  • 14.198, Аноним (146), 15:41, 12/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Оценщик об оценках Держишь уровень ... текст свёрнут, показать
     
     
  • 15.208, n00by (ok), 08:21, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Напоминаю, в 8470 101 ты описал свой маня-мирок, в котором хелловорлд весит 6... текст свёрнут, показать
     
     
  • 16.210, Аноним (146), 09:09, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ты, давай, показывай свой привет с использованием include iostream , котор... текст свёрнут, показать
     
     
  • 17.212, n00by (ok), 09:38, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ты мог бы уже сам найти, если бы умел немножко покликать мышкой и читать исходни... текст свёрнут, показать
     
     
  • 18.213, Аноним (146), 10:40, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это std или поделка студента , который залез в namespace std Разве это не ... текст свёрнут, показать
     
     
  • 19.214, n00by (ok), 11:20, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Почему ты решил, что я буду объяснять тебе, что такое стандартная библиотека Си ... текст свёрнут, показать
     
     
  • 20.215, Аноним (146), 11:31, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что ты не знаешь, что такое стандартная библиотека Си Нельзя залезат... текст свёрнут, показать
     
  • 21.216, n00by (ok), 13:19, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Что бы я начал что-то тебе объяснять, тебе следует меня заинтересовать Вот сейч... большой текст свёрнут, показать
     
  • 22.217, Анонин (?), 13:54, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    https eel is c draft namespace std 1 На остальное, подтверждающее уровень, от... текст свёрнут, показать
     
  • 23.219, n00by (ok), 15:25, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что ты за свои слова отвечать не способен в принципе, как уже было с под... текст свёрнут, показать
     
  • 21.231, n00by (ok), 11:38, 15/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, ты заметил, что ответил как Анонин - с н на конце Мне интересно, это ... текст свёрнут, показать
     

     ....большая нить свёрнута, показать (133)

  • 1.2, n00by (ok), 08:47, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Вот это в мире ненавистной Венды называется "нубкит" (поскольку там перехват системных вызовов в пространстве пользователя требует модификацию кода, что является источником ошибок). А в Linux - вполне грамотное решение, соответствующее архитектуре ОС.
     
     
  • 2.31, Аноним (28), 11:34, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >подменяет некоторые вызовы стандартной библиотеки

    А не системные вызовы.

     
     
  • 3.40, n00by (ok), 11:49, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Надысь тут один специалист по Венде спрашивал, что такое "подсистема Win32". Так вот, там системный вызов "открытие файла" делается не командой int 2Eh, как могло бы показаться из лингвистической кальки с syscall или sysenter, а по условной цепочке kernel32.dll -> ntdll.dll -> SSDT в ntoskrnl.exe (это очень похоже на WinE, если не считать ядро).

    И перехватываться может в любом её месте. Если кто-то пропатчил SSDT - это уже не нубкит.

    При этом kernel32.dll и ntdll.dll - это стандартные библиотеки.

     
  • 2.41, Big Robert TheTables (?), 11:57, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    диэлэл-хайджакин это называется в венде.
     
  • 2.89, Аноним (90), 16:00, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А кого интересует мир венды в котором ничерта толком не работает. А дизайн с дефолтной темой вообще взрыв мозга. Белые рамки окон на белом фоне других окон. Это звиздец больным надо быть.

    Про то что этим гауном зависающим всё при компиляции на всех ядрах вообще пользоваться нельзя.

     
     
  • 3.91, n00by (ok), 16:03, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да что там окна, попробуйте хотя бы инъекцию dll по Рихтеру сделать, что бы скрыть заражение системы... а тут сразу красивый механизм, ОС для программистов же.
     
     
  • 4.116, Аноним (-), 23:06, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Да что там окна, попробуйте хотя бы инъекцию dll по Рихтеру сделать,
    > что бы скрыть заражение системы... а тут сразу красивый механизм, ОС
    > для программистов же.

    У винды есть и некий почти полный эквивалент LD_PRELOAD через реестр вроде. Хотя могу и прогнать, давно интересовался.

     
     
  • 5.133, n00by (ok), 10:34, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Там в реестре наверняка много всякого интересного, и даже тело трояна можно найти. Насколько понимаю, злоупотребление эквивалентом им немножко надоело: Starting in Windows 8, the AppInit_DLLs infrastructure is disabled when secure boot is enabled. https://docs.microsoft.com/en-us/windows/win32/dlls/secure-boot-and-appinit-dl
     
     
  • 6.173, Аноним (-), 20:25, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот сколько я себя помню, в винде всегда было более 9000 способов налететь на... большой текст свёрнут, показать
     
     
  • 7.190, n00by (ok), 12:34, 12/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Во всяком случае в свое время я смог в винде делать стелс-процессы
    > которые тупо не видно в менеджере задач. Заметь, без руткитов -
    > просто абибосом штатного лоадера странными извратами с форматом файлов и необычным
    > запуском. Черт знает чем оно меня считало, вероятно или еще не
    > запущенным или уже завершенным процессом, в то время как код по
    > факту работает - только не приписан ни к чему, во всяком
    > случае, в штатном таскменеджере его просто нет.

    Вот именно, что чёрт знает. Тут стоит читать не Хоглунда, а начинать с Рихтера, или кто там объясняет, что процесс - это такой объект ядра. Со всеми вытекающими.

     
  • 3.96, Аноним (96), 17:20, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Цвет рамок окон, конечно, имеет прямейшее отношение к дискуссии.
     
  • 3.122, Аноним (-), 00:58, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >  А дизайн с дефолтной темой вообще взрыв мозга. Белые рамки окон на белом фоне других окон. Это звиздец больным надо быть

    Поставь себе третьегном, не мучайся

     
  • 3.227, Аноним (227), 17:03, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так и не поймешь, трололо или фанбой из 90х
     

  • 1.3, Аноним (3), 08:48, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Дальше будет только хуже :(
     
  • 1.7, Аноним (7), 08:55, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    А ссылка на исходники где?
     
     
  • 2.67, Адмирал Майкл Роджерс (?), 13:12, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Насколько я могу помнить, исходные коды подобного программного обеспечения, как правило, имеют гриф "Для служебного пользования" или более строгий.
     

  • 1.8, Аноним (8), 09:41, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    когда мамкины хакепы полностью освоят ebpf, тогда линукс будет дырявее винды
     
     
  • 2.34, Аноним (28), 11:38, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Но для пользования eDPF у нормальных пацанов нужен root. А если есть root, то и eBPF не особо нужен. Можно и свой собственный модуль ядра подгрузить, как и раньше делалось.
     
     
  • 3.106, Аноним (-), 18:45, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, только у приличных людей там ща подписи на модули навешены. И тебе еще ключ потребуется, мой или дистровский. Где ж ты его возьмешь, ксакеп?
     
     
  • 4.178, Аноним (178), 23:19, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Далеко у всех приличных людей? Подписывать модули это уже почти ракетная наука.
     
     
  • 5.182, Аноним (-), 03:29, 12/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Далеко у всех приличных людей? Подписывать модули это уже почти ракетная наука.

    Эта ракетная наука для стоковых модулей вообше билдсистемой кернела ворочается совсем без напрягов с моей стороны. А сторонние модули подписывать так то довольно исключительная ситуация, хорошо что она очень явно и отдельно делается, гарантирует что случайно черти-что врядли пролезет. А какой смысл в подписях если их лепить на любой мутный трэш? Ну вон майковскими ключами подписана часть малвари, а отзывать ключи не будем дескать - у легитимных юзеров загрузка системы сломается!!!111 Оно мне в таком виде надо? Пусть майки такую безопасТность своим виндохомчкам впаривают :)

     
  • 4.205, Neon (??), 03:48, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А кто будет проверять подписантам ? Или джентльменам принято верить на слово ?
     
  • 2.88, Аноним (90), 15:58, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не будет. Дырявее и корявее венды уже не будет ничего.
     
     
  • 3.124, Аноним (-), 01:53, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Дырка номер 100500 в линупce, но плохая все равно винда. Чотаржу
     
     
  • 4.179, Аноним (178), 23:20, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ты ещё далеко не все вендовые пересчитал.
     
     
  • 5.184, InuYasha (??), 11:04, 12/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В винде не дыры, а отверстия!
     

  • 1.9, EuPhobos (ok), 09:49, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Еще никогда <s>Штирлиц</s> товарищ майор не был так близко к провалу (с)
     
  • 1.11, Аноним (11), 10:20, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > Для установки Simbiote в систему атакующий должен иметь root-доступ

    Офигенный вирус. Реквестирую сырцы под копилефт лицензией.

     
     
  • 2.17, Аноним (38), 10:40, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "... root-доступ, который может быть получен, например, в результате эксплуатации неисправленных уязвимостей или утечки учётных записей".
     
  • 2.71, Аноним (71), 13:36, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    уже ничего особенного, дыры типа как в polkit
     

  • 1.18, Аноним (18), 10:49, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Simbiote также позволяет обойти некоторые анализаторы активности в файловой системе, так как кража конфиденциальных данных может осуществляться не на уровне открытия файлов, а через перехват операций чтения из этих файлов в легитимных приложениях (например, подмена библиотечных функций позволяет перехватить ввод пользователем пароля или загружаемые из файла данные с ключом доступа).

    Оригинально.

     
  • 1.33, Аноним (33), 11:38, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > Вредоносное ПО было выявлено на системах финансовых учреждений ряда стран Латинской Америки.

    Интересно, кто бы мог это написать и для чего ещё оно используется? 🤔

     
     
  • 2.37, Аноним (28), 11:42, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    След русских хакеров :)
     
     
  • 3.44, Аноним (-), 11:58, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нанятых бразильским центробанком по поручению спецслужб.
     
  • 2.64, Аноним (64), 13:09, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    NSA, for example.
     

  • 1.39, Аноним (28), 11:44, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Так Simbiote или Symbiote?
     
  • 1.51, Аноним (51), 12:18, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Где скачать?

    // b.

     
     
  • 2.113, Michael Shigorin (ok), 21:28, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Где скачать?
    > // b.

    У себя в ЛА-банке, очевидно.

     

  • 1.57, Аристарх (??), 12:46, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    "...например, исключают отдельные элементы в списке процессов" - вот почему бараноЛинукс - не "нечаянная революция", а "чаянная безалаберность" троечника Трольвадса!

    В системе ВСЕГДА должен быть отдельный "нерушимый", незаменяемый API для таких дел, где системщик может со 100% уверенностью сказать, что именно и откуда загружено в системе.

     
     
  • 2.65, Аноним (65), 13:09, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да, как грамотный подход в BSD.
     
     
  • 3.121, Аноним (-), 00:40, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Да, как грамотный подход в BSD.

    Он обычно оказывается не от мира сего. И единственная причина по которой джо неуловим - он всем похрен. А когда все же каким-то чудом не похрен, случается как в рассылке опенбсд с виртуалками.

     
  • 2.97, Аноним (96), 17:23, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Пока кто-то не встроил свой фильтр в этот API и не оказалось, что системщик получает данные, но просто не все.
     
  • 2.114, Michael Shigorin (ok), 21:31, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > троечника Трольвадса!

    Вы так и будете старательно доказывать, что лично Вам не натянуть даже кол?

    (нет, можете, конечно, представить опровержение в виде доказательства концепции хотя бы в псевдокоде для псевдожелеза -- не забыв указать, что именно должно уметь псевдожелезо -- но сдаётся мне, что, конечно, не можете)

     
  • 2.118, Аноним (-), 23:13, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В системе ВСЕГДА должен быть отдельный "нерушимый", незаменяемый API для таких дел,
    > где системщик может со 100% уверенностью сказать, что именно и откуда
    > загружено в системе.

    И каждый первый хацкер будет пытаться это апи перехватить. Потому что нерушимый софт это прикольно конечно, но 100% уверенность в этом может испытывать только полный профан.

     
  • 2.206, Neon (??), 03:50, 13/06/2022 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 3.211, hefenud (ok), 09:26, 13/06/2022 Скрыто ботом-модератором     [к модератору]
  • +/
     

     ....ответы скрыты (7)

  • 1.58, Онаним (?), 12:48, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    А вот и встроенный бэкдор ёBPF снова пригодился.
     
     
  • 2.59, Онаним (?), 12:49, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Основной плюс ёBPF в том, что теперь бэкдоры могут одинаково хорошо работать на всех ядрах, даже модуль собирать не надо :D
     
     
  • 3.95, solardiz (ok), 16:53, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Вне контекста верно, но как я понимаю к данному бекдору не относится - в новости здесь он описан ошибочно (отправил модераторам правку, но что-то она никак не появится). Этот бекдор лишь пассивно (то есть в ответ на событие) добавляет свой BPF-код в начало загружаемых анализаторами трафика BPF-программ (если кто-то такой анализатор запустит). Сам же бекдор активно (то есть как инициатор действия) (e)BPF не использует и никакой (e)BPF-программы по своей инициативе не загружает.
     
     
  • 4.108, Аноним (-), 21:06, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    То есть эта штука еще и патчер eBFP программ? А вот это уже креативно, LD_PRELOAD так то сам по себе баян.
     
  • 4.115, Michael Shigorin (ok), 21:33, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > (отправил модераторам правку, но что-то она никак не появится)

    Спасибо!

    "и подстановка дополнительного кода в загружаемые в ядро BPF-программы" -- это уже Ваш текст?

     
     
  • 5.119, solardiz (ok), 00:28, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да. Спасибо. И можно на ты.
     

  • 1.68, YetAnotherOnanym (ok), 13:14, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Развесистая штуковина. Походу, толковые ребята писали.
     
     
  • 2.80, anonymous (??), 15:03, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вы про eBPF?
     

  • 1.76, Аноним12345 (?), 13:53, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    хакеры не спят
     
  • 1.79, гоквч (?), 14:44, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Хакер и солонка
     
  • 1.84, Аноним (84), 15:34, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    почему никто ещё не задумался отчего такой путь обнаружен пока только в фин.учреждениях латинских стран? кто больше всех заинтересован в получении информации и контроля над системами в данном регионе?
     
     
  • 2.143, mos87 (ok), 12:21, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    жырно шо аж Михоил не стал клевать
     

  • 1.112, Andy (??), 21:26, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как такую срань найти ?
     
     
  • 2.117, Аноним (-), 23:09, 10/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Как такую срань найти ?

    Для начала зазырить переменные окружения любым известным вам способом и если там LD_PRELOAD, и это не вы прописали - у вас, скорее всего, какая-то пакость.

     
     
  • 3.135, n00by (ok), 10:47, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тут лучше не любым известным, а загрузив чистую систему с внешнего накопителя.
     
     
  • 4.149, Andy (??), 15:03, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Дык при загрузке с флешки LD_Preload будет с флешки
    А смотреть на всхаченной системе - так там и окружение можно подправить ;)
     
     
  • 5.150, n00by (ok), 15:52, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Дык при загрузке с флешки LD_Preload будет с флешки

    В чистой системе?

     
  • 5.154, швондер (?), 16:57, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Как вариант, запустить что-либо с LD_PRELOAD и убедиться в том, что свой LD_PRELOAD виден у запущенного процесса. Но опять же - возможна чистка только определенной вгружаемой библиотечки. Поэтому ваш LD_PRELOAD будет отображаться в /proc/pid/environ, искомый нет. Подключившись к процессу с gdb возможно чтение environ в первом фрейме. Но вообще переменная environ может быть недостоверна - её тоже вполне по силам чистить.

    Далее, вгруженная библиотека должна быть видна в /proc/пид/maps - с теми же соображениями о степени доверия к результатам любого чтения.
    Таким образом, надо убедиться в первую очередь в том, что чтение не подменено. Это можно пробовать сделать через сравнение числа потраченных инструкций цпу - время выполнения - на заведомо чистой и целевой системах. выполнять  perf record/stat и опираться на счетчик выполненных инструкций.

     
     
  • 6.192, n00by (ok), 12:47, 12/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Руткит фильтрует чтение из /proc/пид/maps
    По поводу детекта замером времени исполнения - это может сработать в общем случае с майнером. При чтении /proc/пид/maps будет два переключения контекста и сколько кода выполняться в ядре? Это к вопросу о погрешности измерений. Фильтация, насколько понимаю, это несколько машинных инструкций в цикле.
     
     
  • 7.199, швондер (?), 16:40, 12/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Руткит фильтрует чтение из /proc/пид/maps
    > По поводу детекта замером времени исполнения - это может сработать в общем
    > случае с майнером. При чтении /proc/пид/maps будет два переключения контекста и
    > сколько кода выполняться в ядре? Это к вопросу о погрешности измерений.
    > Фильтация, насколько понимаю, это несколько машинных инструкций в цикле.

    у вас неверное понимание.

     
     
  • 8.207, n00by (ok), 08:10, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я так полагаю, Вы где-то уже апробировали предлагаемую методику, раз такое заявл... текст свёрнут, показать
     
  • 6.235, n00by (ok), 08:15, 16/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >  Таким образом, надо убедиться в первую очередь в том, что чтение
    > не подменено. Это можно пробовать сделать через сравнение числа потраченных инструкций
    > цпу - время выполнения - на заведомо чистой и целевой системах.
    > выполнять  perf record/stat и опираться на счетчик выполненных инструкций.

    Поскольку не последовало внятного объяснения, как предполагается обеспечить достаточную точность измерений, внесу некоторую ясность. Выше предлагается вариант обнаружения по косвенным признакам. Обычно (RkU, Gmer, AVZ и т.п.) вместо этого производили сканирование памяти, искали факт подмены инструкций. Грубо говоря, реализовывался некий аналог системного загрузчика: читали исполняемые файлы с накопителя, но вместо копирования в ОЗУ производили сравнение. Такой метод помимо обнаружения позволял снять хуки (перехват). Однако, руткиты противодействовали - подменяли содержимое чистых файлов при чтении. Варианты с измерением времени обсуждались, но о рабочих реализациях мне не известно, если не считать вариантов с контролем указателя инструкций в планировщике.

     
  • 2.134, n00by (ok), 10:44, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Классический способ по мотивам RootkitRevealer Руссиновича: пишем приложение, которое получает список загруженных библиотек. На Си. Собираем в двух вариантах: обычная линковка и статическая без внешних библиотек вообще (т.е. и без загрузчика). Получаем два списка. Сравниваем. Имеем ввиду, что ядерные руткиты так не детектируются.
     
     
  • 3.174, Аноним (-), 20:35, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Еще можно врубить мозг - и черт с ним с русиновичем - у нас тут линукс же Читае... большой текст свёрнут, показать
     
     
  • 4.191, n00by (ok), 12:45, 12/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > печать не требует сисколов вообще

    К каким ножкам процессора подпаиваем принтер?

     
  • 2.232, Аноним (232), 15:15, 15/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    1. Подписываешь чистые бинари и библиотеки.

    2. Запускаешь:
    tail -f /var/log/....log

    3. Делаешь:
    echo 'appraise func=MMAP_CHECK mask=MAY_EXEC' >> '/proc/sys/kernel/security/ima/policy'

    4. Ищешь в логах аудита.

    А чтобы ее вообще не было надо / держать в режиме только для чтения.

     
     
  • 3.233, n00by (ok), 15:46, 15/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > А чтобы ее вообще не было надо / держать в режиме только
    > для чтения.

    Это всего лишь вопрос времени, когда руткиты начнут писать на накопитель в обход драйвера ФС.

     
     
  • 4.236, Аноним (236), 19:28, 23/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А мы не только ФС в режиме только для чтения держим, но и само блочное устройство:

    blockdev --setro /dev/sda7

    Не анекдот, а правда:

    "Мне потеринг когдато говорил, что сыстемдЫ он пишет, чтобы всем удобно было корень держать в режиме только для чтения."

     
     
  • 5.237, n00by (ok), 06:48, 24/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И запуск драйверов заблокировали. И изучили накопленный опыт атак на альтернативную ОС. И доказали корректность существующего кода ядра (а что понапишут на Rust - то компилятор "верифицирует").

    Вот это тоже не анекдот, а правда: "сама концепция открытого кода подразумевает, что злоумышленник может иметь к нему доступ, и следовательно, сознательно искать и находить уязвимости в нем."

    Это пишет к.т.н. в аннотации доклада на osdev. Зачем он пишет про открытый код и про доступ? Не знает про fuzzing и IDA Pro, или для чего?

     

  • 1.120, srgazh (ok), 00:28, 11/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    систему атакующий должен иметь root-доступ -- да уж
     
     
  • 2.177, Аноним (71), 21:33, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    рассказать способы, или сам загуглишь новости о многолетних дырах?
     
     
  • 3.186, InuYasha (??), 11:26, 12/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Расскажи мне. Мне очень нужно 8ой ведроид рутануть.
     

  • 1.123, pavlinux (ok), 01:09, 11/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Для установки Symbiote в систему атакующий должен иметь root-доступ

    Дальше не читал

     
     
  • 2.136, n00by (ok), 10:51, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > как только атакующий получил root доступ, следует  ̶р̶а̶з̶д̶в̶и̶н̶  перестать читать.

    Зер гуд, Вольдемар!

     
  • 2.176, Аноним (71), 21:32, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > иметь root-доступ

    да хоть через дыры в polkit! заиметь сейчас рут - вообще не проблема.

     
     
  • 3.202, pavlinux (ok), 21:46, 12/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> иметь root-доступ
    > да хоть через дыры в polkit! заиметь сейчас рут - вообще не
    > проблема.

    3аймей, хyцкep йoпт https://git.kernel.org/

     

  • 1.126, microsoft (?), 08:16, 11/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хорошая реклама. Где мне его взять?
     
     
  • 2.145, n00by (ok), 12:35, 11/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    У Микрософта же. https://github.com/search?q=LD_PRELOAD+rootkit
     

  • 1.140, mos87 (ok), 11:44, 11/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    неплохо
     
  • 1.180, У меня вопрос (?), 23:59, 11/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Решил поизучать сети. Поставил в Ubuntu анализатор Wireshark.

    При первом запуске он выдал сообщение:

    > couldn't run /usr/bin/dumpcap in child process: permission denied

    В инете посоветовали ввести в консоль:

    > sudo chmod +x /usr/bin/dumpcap

    Помогло. Но что такое dumpcap? Это что-то системное, или относится только к Wireshark? Почему при установке Wireshark оно автоматом не настраивается на пользователя? Почему надо дополнительно вводить такую команду? Не навредит ли это безопасности?

     
     
  • 2.183, Аноним (-), 03:39, 12/06/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    man dumpcap не пробовали Это прога из комплекта wireshark для захвата сетевог... большой текст свёрнут, показать
     
     
  • 3.200, Аноним (-), 20:45, 12/06/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    А я один юзер в системе, домашний комп. :D
     
     
  • 4.218, Аноним (146), 14:11, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, ты - один из юзеров в системе, который думает, что он - Один или един.
     
  • 4.222, Аноним (220), 20:47, 13/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    cat /etc/passwd
     
  • 4.224, torvn77 (ok), 02:09, 14/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А почему wireshark dumpcap через sudo не запускает?
     
     
  • 5.234, Аноним (-), 23:32, 15/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не знаю, я не пробовал. Я запускаю Wireshark ярлыком.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру