Выпущен Linux-руткит нового типа

Выпущен Linux-руткит нового типа

DR Linux 2.6 реализукт принципиально новую технику скрытия сетевых сокетов, файлов и процессов злоумышленника.

Компания Immunity, Inc., занимающаяся исследованиями в области компьютерной безопасности, выпустила руткит DR Linux 2.6 (Debug Register Rootkit для Linux ядра 2.6.x), реализующего принципиально новую технику скрытия сетевых сокетов, файлов и процессов злоумышленника. В рутките (rootkit) также предусмотрена возможность удаленного управления, через специально разработанный бэкдор, работающий в виде скрытого пользовательского процесса.

Кроме того, автоматически скрываются дочерние процессы и сокеты, порождаемые спрятанными программами, при этом для таких программ все скрытые руткитом ресурсы являются открытыми. Установка DR Linux 2.6 производится через загрузку модуля ядра.

Вместо классического перехвата обработки системных вызовов или таблицы прерываний (IDT), которые легко обнаруживается утилитами для анализа системы на предмет наличия скрытого ПО, в рутките DR Linux использованы возможности трассировки и отладки в современных процессоров (IA32). DR получает управление, через установку на обработчики системных вызовов аппаратных точек останова (breakpoint), а на определенные области памяти ядра - ловушек (trap).

В качестве защиты, создателям Linux дистрибутивов рекомендуется организовать контроль доступа к отладочным регистрам процессора. Другой метод в выявлении руткита, связан с возможностью анализа признаков загрузки модуля ядра (в следующей версии руткита будет реализована защита от данного метода обнаружения).


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!