This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

المشتعلة معوجة: لينكس الأخبار الجذور الخفية "يوفر بعض الراحة هزلية"

Filed Under: Featured, Linux, Malware

قبل نحو اسبوعين، أعلنت نشرها على قائمة كاملة الكشف عن الجذور الخفية البريدية الجديدة لينكس.

في الواقع، لم يعلن نشر البرمجيات الخبيثة فقط، ولكن شمل عينة كامل للعمل.

لأولئك الذين لا دراية الطرق السريعة والشوارع الجانبية على الانترنت أمن المعلومات، الكشف الكامل هو شيء من مؤسسة.

كما يشير إلى القائمة نفسها، و"أجواء مريحة [...] يوفر بعض الراحة هزلية وبعض القيل والقال الصناعة"، ولكن مع التحذير من أن "معظم الوظائف هي الهراء لا قيمة لها، حتى العثور على الأحجار الكريمة يأخذ الصبر."

وبينما أنا لا تتغاضى عن عادة مفتوحة، ونشر العامة من الشيفرات الخبيثة، تسبب في ضرر يذكر في هذه الحالة. والجذور الخفية لا ينتشر أو تثبيت نفسها، ويرتبط إصدار محدد من لينكس.

(إذا كنت مهتما في تفاصيل هذه البرامج الضارة، يمكنك قراءة تحليل خطوة بخطوة التي نشرتها شركة أمريكية غامضة إلى حد دعا Crowdstrike.)

ولكن ما هو الجذور الخفية؟ هل هذا شيء جديد لينكس؟

لا على الإطلاق.

جوليان أسانج، على سبيل المثال، والآن المعروف لمن احتجازها في السفارة إكوادور في لندن، عملت على الشفافية ويمكن انكارها نظام التشفير القرص في نهاية من 1990s. ركض هذا النظام على لينكس، وغيرها، وجعل تقنيات الجذور الخفية الاستخدام.

والواقع أن مصطلح الجذور الخفية جاء أصلا من العالم UNIX. وصفت مجموعة من أدوات البرمجيات القراصنة قد تستخدم لاقتحام نظام، والحصول على حق الوصول الإداري (المعروفة باسم الحصول على الجذر، بعد حساب المستخدم الخارق، ودعا الجذر)، ومن ثم إخفاء وجوده.

في هذه الأيام، ومع ذلك، هي الأكثر شيوعا المرتبطة الجذور الخفية مع نظام التشغيل Windows. المفتاح "ميزة" في أي الجذور الخفية الحديثة ليست أنه يكتسب الوصول الإداري - التي ليس من الضروري البرمجيات الخبيثة، على الرغم من أنه هو بالتأكيد مفيد جدا - ولكن أنه يوفر طبقة من الشبح. ستار من الدخان، إذا شئتم، ضد الكشف.

هذه الجذور الخفية جديدة، منتجات سوفوس الكشف عنها من قبل كما Troj / SrvInjRk A-، ويستخدم مجموعة متنوعة كاملة من تقنيات الاختباء، ويذكرنا التي يمكن أن يسببها نفس النوع من الخداع البرامج الضارة التي يمكن أن يسببها ضد يندوز لينكس ضد أيضا.

ويندوز لينكس (وOS X، لهذه المسألة) هي، من وجهة نظر معمارية رفيعة المستوى، أكثر مما هي مشابهة مختلفة.

تحدث فضفاضة، يتم تقسيم نظام التشغيل في البلدين.

هناك جزء يوزرلاند، حيث برامج تشغيل مثل خادم الويب الخاص بك، لديك محرر الصورة، وNOTEPAD. وهناك جزء النواة، والتي يمكن ان يخطر لك بأنه "المسؤول المسؤول"، لإدارة كل شيء آخر - الذاكرة، استخدام وحدة المعالجة المركزية، والوصول إلى الأقراص وغيرها من الأجهزة، فضلا عن البرامج التي تحصل لتشغيل، وما يسمح لهم القيام به.

ذلك البرامج الضارة التي يمكن تحميل داخل النواة - كما يفعل هذا الجذور الخفية - لديها عدد من المزايا. أولا، انها تعمل على قدم المساواة إلى رمز kernel الأخرى التي تدير أمن يوزرلاند أعلى مستوى أقل حظا. ثانيا، فإنه يحصل أن نرى، و، حسب التصميم، وتعديل لقرص، كل ما يأتي من يوزرلاند أو يتم إرجاعها إلى ذلك.

على سبيل المثال، بعد SrvInjRk-Troj / الأحمال، فإنه بقع عددا من وظائف النظام النواة. تستطيع أن ترى في بقع هنا:

وظائف vfs_read والتعامل مع vfs_readdir الوصول إلى الملفات والدلائل (VFS لتقف على نظام الملفات الظاهرية). تعديل عرضا تلك ظائف النواة مثل هذا أمر محفوف بالمخاطر بشكل مرعب، وبطبيعة الحال، ولكن لمؤلف البرمجيات الخبيثة، انها جيدة بما فيه الكفاية.

وربط tcp_sendmsg، والبرمجيات الخبيثة قادر على فحص حزم الشبكة بعد لقد أحيلت من قبل خادم الويب الخاص بك، وتعديلها "في رحلة" لتضمين محتوى ضار. وهذا يعني أن محتوى ضار أبدا موجود حتى في يوزرلاند - لا على القرص ولا في الذاكرة.

ومن المثير للاهتمام، والبرمجيات الخبيثة يحتوي على قائمة من 854 أرقام IP والتي تتراوح انها ترفض ان ترسل محتوى تعديلها. والقائمة عبارة عن مزيج انتقائي، بما في ذلك كما يفعل كل من خوادم Google وما تبدو مثل الهواتف النقالة، لكنه يذكرنا كم هو سهل لمجرمي الإنترنت لتقديم مظهر ذات وجهين للعالم.

إذا محركات البحث لا بقعة البرامج الضارة الخاصة بك في حين انهم spidering، وإذا مسؤولي النظام أو مصممي المواقع الإلكترونية لا تتغير رؤية المحتوى حتى عندما تبحث عن من التغييرات، سوف البقاء على قيد الحياة الخاصة بك البرمجيات الخبيثة ربما لفترة أطول دون أن يلاحظها أحد.

ويمكن أن يصاب لك هذه البرامج الضارة وليس يعلم ذلك؟

والخبر السار هو، وهذا هو المرجح.

كنت بحاجة إلى أن يتم تشغيل نواة لينكس 2.6.32 المسمى-5-AMD64 - أن يعني الكثير جدا الإصدار 64 بت من الضغط ديبيان 6.0.0. وسيكون لديك وحدة النواة غير متوقعة دعا / lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko.

ونحن لا نعرف من أين جاء هذا الشيء من. Crowdstrike تشير إلى أن، "[ب] ased على الأدوات والتقنيات، والإجراءات المستخدمة وبعض المعلومات الأساسية أننا لا نستطيع الكشف عن علنا، مهاجم روسيا القائم على الأرجح،" ولكن هذا النوع من الاقتراح لا أساس لها لا يساعد حقا.

وباختصار، فإننا ربما لا تعلم من كتب هذا الشيء. لكنه هو واحد يثبت وجود أكثر لأولئك الذين ينكرون إمكانية جدا من البرمجيات الخبيثة لينكس.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog