This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

紫Linux的rootkit新闻的“反驳:提供了一些可笑的安心”

Filed Under: Featured, Linux, Malware

大约两个星期前,张贴在Full Disclosure邮件列表上公布了新的Linux rootkit的。

事实上,张贴不只是宣布的恶意软件,但包含一个完全正常的工作样本。

对于那些不熟悉的在线公路和小道的信息安全, 完整的信息披露是一些机构。

由于清单本身所指出的,“轻松的气氛中[...]提供了一些的漫画救济和某些行业八卦”,但警告说,“大部分职位是毫无价值的胡言乱语,所以寻找宝石需要耐心。”

虽然我通常不会纵容开放,向公众传播的恶意代码,危害不大的,在这种情况下进行。该rootkit不扩散或自行安装,并连接到一个特定版本的Linux。

(如果你有兴趣在这种恶意软件的详细信息,您可以阅读发表的适度神秘的美国一家名为Crowdstrike的一个一步一步的分析 。)

但是,什么是rootkit?这是新的东西到Linux呢?

不尽然。

朱利安·阿桑奇,例如,更好地了解龟缩在厄瓜多尔大使馆在伦敦,上世纪90年代末在一个透明和可否认的磁盘加密系统工作。该系统在Linux上运行,其中包括,利用rootkit技术。

事实上,长期的rootkit最初是从UNIX世界。它描述了一系列的软件工具,黑客可能使用到进入系统,获取管理员权限(,称为获取root权限后,超级用户帐户,称为根目录 ),然后隐藏他的存在。

这些日子,然而,rootkit攻击是最常见的与Windows。任何现代的rootkit是关键的“功能”,而不是它获得的管理访问权限 - 这是没有必要的恶意软件,但它肯定是非常方便的 - 但它提供了一个层的隐形。烟幕,如果你喜欢,对检测。

这个新的rootkit检测Sophos的产品Troj / SrvInjRk的-A,采用了各种隐藏技术,并针对Windows的恶意软件挂羊头卖狗肉,可造成相同的排序,可以造成对Linux,也提醒我们。

Windows和Linux(和OS X,对于这个问题),从一个高层次的体系结构的角度来看,更相似,而不是不同的。

粗略地讲,操作系统被一分为二。

有一个用户态部分,其中程序运行,如您的Web服务器,您的照片编辑器和记事本。而且那里的一个核心部分,这你能想到的一个“管理员管理员”,管理一切 - 记忆体,使用的CPU,磁盘和其他硬件设备的访问,以及它计划得到运行的,和什么他们被允许做。

因此,恶意软件,可以加载在内核里 - 这个rootkit一样 - 有许多优点。首先,它是在平等的基础上运行的其他内核代码管理的更高级别,权限较低的用户级安全。其次,它会看,在设计上,调整和修改,一切来自于用户态和返回到它。

例如,Troj / SrvInjRk之后A负载,它修补了一些内核的系统功能。你可以看到这里的补丁:

的的功能vfs_readvfs_readdir处理的文件和目录(VFS 虚拟文件系统 )的访问。随便修改这些内核函数,这是犯了严重危险的,当然,但恶意软件的作者,它已经足够好了。

和通过挂钩tcp_sendmsg,恶意软件可以检查网络数据包后,他们已经被发送您的Web服务器,并修改它们“飞行中”的包含恶意内容。这意味着恶意的内容,甚至从来没有在用户态 - 既不存在磁盘上,也不在内存中。

有趣的是,恶意软件,包含了一系列的854个IP它拒绝修改后的内容发送的数量和范围。这份名单是一个折衷的混合,它包括谷歌的服务器和看起来像手机,但它提醒我们它是多么容易为网络犯罪分子世界呈现两面的外观。

如果搜索引擎发现你的恶意软件,而它们蜘蛛,如果系统管理员或网页设计师没有看到改变的内容,甚至当他们正在寻找的变化,你的恶意软件可能会生存忽视更长的时间。

你能不能感染了恶意软件,不知道这件事吗?

好消息是,这是不可能的。

你需要运行Linux内核标记为2.6.32-5-amd64的 -这几乎意味着64位版本的Debian挤压6.0.0。你就会有意想不到的内核模块,名为/ lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko的

我们不知道这件事情。 Crowdstrike表明,“[B]二叉树的工具,技术和程序,以及一些背景信息,我们不能公开披露,俄罗斯为基础的攻击是可能的,”但,那种未经证实的建议并没有真正的帮助。

总之,我们可能永远不会知道是谁写了这件事情。但它是一个存在的证明,对于那些谁否认Linux的恶意软件的可能性。

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog