Форум StopLinux

О пресловутом арийско-чистом Линуксе, неподверженном никаким предательствам своего пользователя...

Выявлен новый rootkit для Linux, подменяющий функции libc

Компания Trend Micro выявила новое семейство руткитов, получивших название Umbreon в честь одноимённого покемона, который прячется в темноте. Следы разработки Umbreon прослеживаются с начала 2015 года, а сейчас руткит появился в свободной продаже на черном рынке. Umbreon может быть установлен атакующими на Linux-системы на базе архитектур x86, x86_64 и ARM, в том числе на встраиваемые платформы, такие как платы Raspberry Pi и беспроводные маршрутизаторы.

Umbreon относится к руткитам третьего кольца защиты, функционирующим только в пространстве пользователя. Для скрытия своего присутствия, вместо перехвата системных вызовов на уровне ядра, Umbreon осуществляет подмену функций стандартной библиотеки libc. Подмена функций осуществляется на этапе связывания, путём подстановки библиотеки /usr/share/libc.so.*.[i686|x86_64|v6l].ld-2.22.so, переопределяющей функции libc. Библиотека прописывается в конфигурационный файл "/etc/ld.so.*" (где "*" случайный набор букв, например, /etc/ld.so.thVkfEQ), который, в свою очередь, подменяет в загрузчике /lib/x86_64-linux-g строку "/etc/ld.so.preload", что приводит к автоматической загрузке вредоносной библиотеки при запуске любого исполняемого файла.

Руткит предоставляет обработчики для функций работы с файлами (open, opendir, read, write, chdir и т.п.), записи в лог (syslog, audit*), запуска исполняемых файлов (execve, execvp), аутентификации через PAM (pam_authenticate, pam_open_session), работы с базой пользователей (getpwnam, getpgid, getpwuid), работы с процессами (get_procname, kill), обработки сетевых соединений (socket, netstat) и т.д. Всего перехватывается более 100 функций.

Контролируя выполнение данных функций Umbreon тщательно вырезает из потока данных информацию о своих компонентах (например, не показывает свои файлы и скрывает процессы), а также обеспечивает скрытый вход (работает в том числе через SSH), путём перехвата функций PAM и добавления скрытого пользователя, присутствие которого в /etc/passwd вырезается из вывода при выполнении операций чтения. Следы вычищаются достаточно качественно, например, дополнительные настройки компоновщика вырезаются даже из вывода трассировки, т.е. не видны при использовании таких инструментов как strace. Так как Umbreon не в состоянии перехватить системный вызов ptrace(), чистка производится на этапе вывода результата, через перехват функций vprintf, __vfprintf_chk и fputs_unlocked.

В комплект также входит бэкдор Espereon, названный в честь покемона с большими ушами. Espereon обеспечивает обратное сетевое соединение к хосту атакующего при обнаружении в TCP-пакетах определённого ключа активации. Espereon постоянно слушает сетевой трафик на сетевом интерфейсе при помощи libpcap и скрывается под прикрытием Umbreon. Скрываются не только процессы и трафик, но и сетевая активность, благодаря перехвату функций got_packet и pcap_loop.

Для обнаружения и удаления руткита можно использовать инструменты анализа содержимого ФС, напрямую обращающиеся через системные вызовы, минуя функции libc. Также можно загрузиться c LiveCD, примонтировать дисковые разделы и оценить наличие подозрительных файлов /etc/ld.so.*, /usr/lib/libc.so.* и /usr/share/libc.so.*.

Копипаста с опеннет.ру

Ну а в прочем - всё хорошо, прекрасная маркиза...

На шкафу лежит пирожок. Можешь сдуть пыль и съесть..

В основе Марксизма - критика политэкономии Бэкона. Так и называется: Критика политэконмии. - Автор Карл Маркс.

По теме: пока Берклианцам интересно, BSD будет вяло перетекать из одной субстанции в другую. Линух более динамичен, менее консервативен и гораздо симпатичнее. На предмет целостности системы: - в чём прикол, если чуть более половины программ на десктопе под BSD работают в режиме совместимости с линухом? BSD - серверная система в своей основе и во всей своей стабильности без гуёв она чиста от линуха. Запил для стола - это всего лишь попытка, может быть когда-нибудь родящая некую платформу для Беркли. Хотя работать можно хоть в Minix, но вопрос в том, насколько это оправдано внутренними потребностями юзера и целями для таких усилий. То, что она монолитная - как раз сообразуется с направленностью на большие объёмы однообразных алгоритмов обработки внешних запросов (то есть - серверный сегмент рынка). Для работы в непосредственном контакте с юзером предназначены объектно-ориентированные интерфейсы, которые BSD противоречат в самом принципе взаимодействия. Продвинутые системы стремятся не к монолитности и целостности, а к изменчивости,  к сокращению пути коммутации и к упрощению взаимодействия объектов, частью которых уже по факту являются органы чувств человека.

Не всегда так. До юзеров иногда доходит 2х110 без нуля. - это зависит от комутации на районном трансе. 380 - это трёхфазная сеть, до транса, а с него - как електрику главному выгоднее. Я сталкивался с такой хитростью не один раз, в основном в сельской местности. Умом Россию не понять. Бывает и по 3000 до транса и 2х110 - после. А ещё есть три фазы без нуля (именно те три провода), с нулём - четыре тянут. Есть четыре и на всех по 110 В - тогда только токоискателем и вольтметром разберёшься, уколовшись об четвёртый провод с фазой :-))

ну надо же,  а я через ms office с предпросмотром тоже легко на принтер отправляю и голову не морочу  со string_ами

То есть, тебе нужна система, как программисту, а не как конечному пользователю? Дык windows предназначена для десктопного использования конечным пользователем.

в реальном режиме используется кэш-память первого уровня, второго уровня - для программ, и + прямая адресация оперативной памяти.  Юникс может использовать кэш-память только в порядке очереди в соответствии с привилегиями процессов. Ну не помещается он в 640 кб. ему надо больше, а значит и времени больше.

Да представляешь, я тоже пользуюсь программами и даже их запускаю когда мне это нужно. А если требуется выполнить пакетные операции то верно подмечено, что PowerShell выполняет все функции и даже более развит, чем bash

привет линуксойду... Мне лень объяснять. изучи мат. часть

Так ты о скорости или об объёме памяти, которой юниксу требуется больше и он потому неможет работать в реальном режиме?

Нортон значительно расширял функциональные возможности DOS и практически выполнял роль оболочки.