SKY-net

Компания Immunity, Inc., занимающаяся исследованиями в области компьютерной безопасности, выпустила руткит DR Linux 2.6 (Debug Register Rootkit для Linux ядра 2.6.x), реализующего принципиально новую технику скрытия сетевых сокетов, файлов и процессов злоумышленника. В рутките (rootkit) также предусмотрена возможность удаленного управления, сквозь специально разработанный бэкдор, работающий в виде скрытого пользовательского процесса.

Кроме того, автоматически скрываются дочерние процессы и сокеты, порождаемые спрятанными программами, при этом для таких программ все скрытые руткитом ресурсы являются открытыми. Установка DR Linux 2.6 производится сквозь загрузку модуля ядра.

Вместо классического перехвата обработки системных вызовов или таблицы прерываний (IDT), которые легко обнаруживается утилитами для анализа системы на предмет наличия скрытого ПО, в рутките DR Linux использованы потенциал трассировки и отладки в современных процессоров (IA32). DR получает управление, сквозь установку на обработчики системных вызовов аппаратных точек останова (breakpoint), а на определенные области памяти ядра - ловушек (trap).

В качестве защиты, создателям Linux дистрибутивов рекомендуется организовать контроль доступа к отладочным регистрам процессора. Другой метод в выявлении руткита, связан с возможностью анализа признаков даунлоада модуля ядра (в следующей версии руткита будет реализована защита от данного метода обнаружения).

www.securitylab.ru

Опубликовано 07.09.2008 23:21 и размещено в рубрике Безопасность. Вы можете следить за комментариями, подписавшись на RSS 2.0 ленту этого сообщения. Комментирование закрыто.

публикации сходной тематики

• Число Linux-дистрибутивов на базе RHEL 5 растет
• Яндекс запустил зеркало Linux-дистрибутивов и пакетов
• IBM и Red Hat совместно улучшают Linux-ядро
• Linux 2.4.34.3, 2.4.34.4
• Обновлен Linux-стандарт LSB (Linux Standard Base) 3.1