This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

FLAMING ответ: Linux Новости руткит »предоставляет некоторые комические"

Filed Under: Featured, Linux, Malware

Около двух недель назад, размещенной на Полный список рассылки Раскрытие объявил о новой Linux руткита.

Действительно, объявление не просто объявить о вредоносных программ, но включен полностью рабочий образец.

Для тех, кто не знаком с интернет автомобильных дорог и переулков информационной безопасности, полного раскрытия что-то из учреждения.

В самом списке указывает на то, "спокойной атмосфере [...] дает некоторые комические и некоторые сплетни промышленности", но с оговоркой, что "большая часть сообщений бесполезны чушь, так что найти драгоценные камни, требуется терпение".

Хотя обычно я не оправдываю открытым, публичным распространением вредоносного кода, мало вреда было сделано в данном случае. Руткит не распространяется или установить себя, и привязана к конкретной версии Linux.

(Если вы заинтересованы в подробности данной вредоносной программой, вы можете прочитать шаг за шагом анализа опубликованных умеренно таинственной американской компанией под названием Crowdstrike).

Но что такое руткит? Это что-то новое для Linux?

Вовсе нет.

Джулиан Ассанж, например, сейчас более известна за то, что скрывается в Эквадоре посольства в Лондоне, работал на прозрачных и спорный система шифрования диска в конце 1990-х годов. Эта система работала на Linux, среди прочего, и сделал методов использования руткитов.

Действительно, термин руткит изначально пришли из мира UNIX. Он описал набор программных инструментов хакер мог бы использовать для взлома системы, приобретает административный доступ (известный как получение корень, после учетной записи суперпользователя, называется корневым), а затем скрыть свое присутствие.

В эти дни, однако, руткитов чаще всего связаны с Windows. Ключ "особенность" любого современного руткит не то, что он приобретает административный доступ - который не является необходимым для вредоносных программ, хотя это, конечно, очень удобно - но что она обеспечивает уровень скрытности. Дымовая завеса, если хотите, от обнаружения.

Этот новый руткит, обнаружены продукты Sophos как Troj / SrvInjRk-A, используется целый ряд методов скрывался, и напоминает нам, что такое же вредоносного обмана, которые могут быть кованого против Windows, можно кованого против Linux, тоже.

Окна и Linux (и OS X, если на то пошло) являются, с высоким уровнем архитектурной точки зрения, гораздо более похожи, чем они отличаются.

Грубо говоря, операционная система разделена на две части.

Там в части пользовательского уровня, где программы запуска, такие как веб-сервер, графический редактор, и блокнот. И есть ядро ​​части, которые вы можете думать как "администратора администратора", чтобы управлять все остальное - память, использование процессора, доступ к дискам и других устройств, а также, какие программы получают бежать, и то, что они могут делать.

Таким образом, вредоносные программы, которые можно загрузить в ядре - как это делает руткит - имеет ряд преимуществ. Во-первых, он работает на равных с другими код ядра, который управляет безопасности более высокого уровня, менее привилегированные пользовательских. Во-вторых, он добирается, чтобы видеть, и по дизайну, для настройки и изменения, все, что исходит от пользовательских или возвращаются к нему.

Например, после Troj / SrvInjRk-нагрузки, она исправляет ряд функций ядра системы. Вы можете видеть, патчи здесь:

Функции vfs_read и vfs_readdir сделки с доступом к файлам и каталогам (VFS расшифровывается как виртуальная файловая система). Случайно изменения этих функций ядра, как это страшно рискованно, конечно, но для вредоносных автор, это достаточно хорошо.

И, зацепив tcp_sendmsg, вредоносная программа имеет возможность проверить сетевые пакеты, после того как они были переданы на ваш веб-сервер, а также изменять их "на лету", чтобы включить вредоносного контента. Это означает, что вредоносный контент даже не существует в пространстве пользователя - ни на дисках, ни в памяти.

Интересно, что вредоносная программа содержит список из 854 номеров и IP-диапазонов, к которым она отказывается посылать изменение содержания. Список эклектичный микс, в том числе, как это делает Google и серверов, а что смотреть, как мобильные телефоны, но это напоминает нам, как легко это для киберпреступников представить двуликий появление в мире.

Если поисковые системы не определить свой вредоносных программ, пока они пауков, и если системный администратор или веб-дизайнеры не видят измененным содержанием, даже когда они, глядя на изменения, ваши вредоносных программ будет, вероятно, выжить незамеченным дольше.

Могли бы вы быть заражен данной вредоносной программой и не знать об этом?

Хорошей новостью является то, что это маловероятно.

Вы должны были бы быть запущен Linux ядра 2.6.32 помечены-5-amd64 - это в значительной степени означает, что 64-разрядные версии Debian Squeeze 6.0.0. И вы будете иметь неожиданные модуль ядра называется / lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko.

Мы не знаем, где эта вещь пришла. Crowdstrike предполагает, что, "[b] ased на средства, методы и процедуры, используемые и некоторую справочную информацию, мы не можем обнародовать, Россия на основе злоумышленник, скорее всего,« но такого рода необоснованные предложения действительно не помогает.

Короче говоря, мы, вероятно, никогда не знаю, кто написал эту вещь. Но это еще одно доказательство существования для тех, кто отрицает саму возможность вредоносных программ Linux.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog