This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

레토르트 불타는 : 리눅스 루트킷 뉴스는 "일부 재밌를 제공합니다"

Filed Under: Featured, Linux, Malware

약 2 주 전, 전체 공개 메일 링리스트에 게시는 새로운 리눅스 루트킷을 발표했다.

사실, 게시는 악성 코드를 발표하지만, 완벽한 작업 샘플을 포함하지 않았다.

온라인 고속도로 및 정보 보안 byways에 익숙하지 않은 분들을 위해 전체 공개는 기관의 일입니다.

목록 자체가 지적으로, "편안한 분위기 [...] 어떤 만화 구조 및 특정 산업 가십을 제공합니다"하지만한다는 점을 유의하십시오 "대부분의 게시물이 가치가 침을 흘리다 있으므로, 보석을 찾는 것은 인내심이 걸립니다."

나는 보통 악성 코드의 오픈, 공공 보급을 조장하지 않아하는 동안, 작은 손상이 경우에 이루어졌다. 루트킷은 전파 나 자체를 설치하고 리눅스의 특정 버전에 연결되어 있지 않습니다.

(이 악성 코드의 세부 사항에 관심이 있다면, 당신은 읽을 수 단계별로 분석 Crowdstrike라는 적당한 신비한 미국 회사에서 발행합니다.)

하지만 루트킷는 무엇인가? 이 리눅스에 새로운 것을입니까?

전혀 요.

줄리안 Assange는 예를 들어, 지금은 더 투명하고 부인할에 일, 런던에서 에콰도르 대사관에 숨어되고 알려진 디스크 암호화 시스템을 1990 년대 말에. 이 시스템은 다른 이들에게, 리눅스에서 실행하고, 사용 루트킷 기술을했다.

사실, 용어 루트킷은 원래 UNIX의 세계에서 왔어. 그것은 해커가 시스템에 침입 관리 액세스 권한을 (슈퍼 유저 계정을 한 후, 루트 발생으로 알려진, 루트라고도 함) 취득 후 자신의 존재를 숨기려면 사용할 수 있습니다 소프트웨어 도구의 집합을 설명했다.

요즘 그러나, 루트킷 가장 많이 윈도우와 연결되어 있습니다. 그것은 확실히 매우 편리합니다하지만 이는, 악성 코드에 대한 필요가 없습니다 - -하지만 스텔스의 계층을 제공하는 모든 현대적인 루트킷의 키 "기능"는 관리 액세스를 획득하는하지 않습니다. smokescreen, 당신이 감지에 대해, 그렇게하고 싶으면.

Troj / SrvInjRk-A와 같은 소포스 제품에서 발견이 새로운 루트킷는 Windows에 대한 연철 할 수 있습니다 악성 코드 속임수의 동일한 종류가 너무, 리눅스에 대한 연철 할 수있는 기술을 숨기고의 전체 다양한 사용 우리를 상기시켜줍니다.

Windows 및 Linux (및 OS X, 그 문제에 대한)는 높은 수준의 건축의 관점에서, 그들은 다른 것보다 훨씬 더 비슷합니다.

대충 말하면, 운영 체제는 두 나뉩니다.

프로그램은 귀하의 웹 서버, 사진 편집기, 메모장으로 실행 유저 랜드 부분은있다. 메모리, CPU 사용, 디스크 및 기타 하드웨어 장치에 대한 액세스뿐만 아니라, 어떤 프로그램을 실행하게, 그리고 - 그리고 커널은 다른 모든을 관리 할 수​​있는 "관리자의 관리자"로 생각할 수 부분은이 그들은 할 수 있습니다.

따라서 커널 내부에로드 할 수 있습니다 악성 코드 -이 루트킷이 그렇듯는 - 장점을 가지고 있습니다. 첫째는, 높은 수준 공헌 유저 랜드의 보안을 관리하는 다른 커널 코드에 동등한 가고있어. 둘째, 볼, 그리고 디자인에 의해 조정하고, 수정하고, 유저 랜드에서 제공하거나에 반환되는 모든 거요.

예를 들어, Troj / SrvInjRk-A로드 후에는 커널 시스템 기능의 번호를 패치. 여기에서 패치를 볼 수 있습니다 :

파일 및 디렉토리 (VFS는 가상 파일 시스템의 약자)에 접근 할 수있는 함수 vfs_readvfs_readdir 거래. 부담이 좋아하는 커널 함수를 수정하는 것은 물론, horrendously 위험하지만, 악성 코드 작성자를 위해, 충분입니다.

그리고 tcp_sendmsg에 훅을 넣었하여 악성 코드들이 웹 서버에 의해 전송 된 후 네트워크 패킷을 검사하고, 악의적 인 내용을 포함하는 '비행'을 수정 할 수 있습니다. 도 디스크에 나 메모리에 -이 악성 콘텐츠도 유저 랜드에 존재하지 않을 것을 의미합니다.

흥미롭게도, 악성 코드 854 IP 번호와 그 수정 내용을 보내 거부하는 범위의 목록이 포함되어 있습니다. 목록은 사이버 범죄자는 세계 두 얼굴의 모습을 제시하는 것이 얼마나 쉬운는 Google 서버와 어떤 휴대 전화처럼 모두를 수행하지만 우리에게 상기시켜줍니다 포함하여 절충 조화입니다.

그들은 스파이더있는 동안 검색 엔진이 악성 코드를 탐지하지 않을 경우, 그리고 그들이 변화를 지켜 보는 거 경우에도 시스템 관리자 나 웹 디자이너가 변경된 내용을 표시되지 않는 경우, 사용자에게 악성 코드는 아마도 더 이상에 주목 살아남을 것입니다.

이 악성 코드에 감염에 대해 모르는 걸까요?

좋은 소식 가능성이야입니다.

당신은 2.6.32-5-amd64의 라벨 리눅스 커널을 실행해야하는거야 - 거의 데비안 당겨 6.0.0의 64 비트 버전을 의미한다. 그리고 당신은 / lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko라는 예상치 못한 커널 모듈을해야합니다.

우리는 이번 일이 어디 출신인지 알고하지 않습니다. Crowdstrike가 제안 즉, "[B] 도구, 기술, 절차 고용 우리가 공개적으로 공개 할 수있는 몇 가지 배경 정보에 ased, 러시아 기반 공격자가, 가능성이"하지만 입증 제안의 종류가 정말 도움이되지 않습니다.

즉, 우리는 아마도 누가이 일을 쓴 모르한다. 그러나 리눅스 악성 코드의 가장 가능성을 부정하는 사​​람들을위한 하나 더 존재 증거입니다.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog