紫Linux的rootkit新闻的“反驳:提供了一些可笑的安心”

大约两个星期前,张贴在Full Disclosure邮件列表上公布了新的Linux rootkit的。

事实上,张贴不只是宣布的恶意软件,但包含一个完全正常的工作样本。

对于那些不熟悉的在线公路和小道的信息安全, 完整的信息披露是一些机构。

由于清单本身所指出的,“轻松的气氛中[…]提供了一些的漫画救济和某些行业八卦”,但警告说,“大部分职位是毫无价值的胡言乱语,所以寻找宝石需要耐心。”

虽然我通常不会纵容开放,向公众传播的恶意代码,危害不大的,在这种情况下进行。该rootkit不扩散或自行安装,并连接到一个特定版本的Linux。

(如果你有兴趣在这种恶意软件的详细信息,您可以阅读发表的适度神秘的美国一家名为Crowdstrike的一个一步一步的分析 。)

但是,什么是rootkit?这是新的东西到Linux呢?

不尽然。

朱利安·阿桑奇,例如,更好地了解龟缩在厄瓜多尔大使馆在伦敦,上世纪90年代末在一个透明和可否认的磁盘加密系统工作。该系统在Linux上运行,其中包括,利用rootkit技术。

事实上,长期的rootkit最初是从UNIX世界。它描述了一系列的软件工具,黑客可能使用到进入系统,获取管理员权限(,称为获取root权限后,超级用户帐户,称为根目录 ),然后隐藏他的存在。

这些日子,然而,rootkit攻击是最常见的与Windows。任何现代的rootkit是关键的“功能”,而不是它获得的管理访问权限 – 这是没有必要的恶意软件,但它肯定是非常方便的 – 但它提供了一个层的隐形。烟幕,如果你喜欢,对检测。

这个新的rootkit检测Sophos的产品Troj / SrvInjRk的-A,采用了各种隐藏技术,并针对Windows的恶意软件挂羊头卖狗肉,可造成相同的排序,可以造成对Linux,也提醒我们。

Windows和Linux(和OS X,对于这个问题),从一个高层次的体系结构的角度来看,更相似,而不是不同的。

粗略地讲,操作系统被一分为二。

有一个用户态部分,其中程序运行,如您的Web服务器,您的照片编辑器和记事本。而且那里的一个核心部分,这你能想到的一个“管理员管理员”,管理一切 – 记忆体,使用的CPU,磁盘和其他硬件设备的访问,以及它计划得到运行的,和什么他们被允许做。

因此,恶意软件,可以加载在内核里 – 这个rootkit一样 – 有许多优点。首先,它是在平等的基础上运行的其他内核代码管理的更高级别,权限较低的用户级安全。其次,它会看,在设计上,调整和修改,一切来自于用户态和返回到它。

例如,Troj / SrvInjRk之后A负载,它修补了一些内核的系统功能。你可以看到这里的补丁:

的的功能vfs_readvfs_readdir处理的文件和目录(VFS 虚拟文件系统 )的访问。随便修改这些内核函数,这是犯了严重危险的,当然,但恶意软件的作者,它已经足够好了。

和通过挂钩tcp_sendmsg,恶意软件可以检查网络数据包后,他们已经被发送您的Web服务器,并修改它们“飞行中”的包含恶意内容。这意味着恶意的内容,甚至从来没有在用户态 – 既不存在磁盘上,也不在内存中。

有趣的是,恶意软件,包含了一系列的854个IP它拒绝修改后的内容发送的数量和范围。这份名单是一个折衷的混合,它包括谷歌的服务器和看起来像手机,但它提醒我们它是多么容易为网络犯罪分子世界呈现两面的外观。

如果搜索引擎发现你的恶意软件,而它们蜘蛛,如果系统管理员或网页设计师没有看到改变的内容,甚至当他们正在寻找的变化,你的恶意软件可能会生存忽视更长的时间。

你能不能感染了恶意软件,不知道这件事吗?

好消息是,这是不可能的。

你需要运行Linux内核标记为2.6.32-5-amd64的 -这几乎意味着64位版本的Debian挤压6.0.0。你就会有意想不到的内核模块,名为/ lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko的

我们不知道这件事情。 Crowdstrike表明,“[B]二叉树的工具,技术和程序,以及一些背景信息,我们不能公开披露,俄罗斯为基础的攻击是可能的,”但,那种未经证实的建议并没有真正的帮助。

总之,我们可能永远不会知道是谁写了这件事情。但它是一个存在的证明,对于那些谁否认Linux的恶意软件的可能性。