Анти-руткит для Userland-RootKit Azazel «на коленке»
Вот шикарная новость от пользователя
ValdikSS
—
Новый Userland-RootKit Azazel
. Позволю себе процитировать первый абзац:
Таким образом, в рутките используется штатная возможность подгружать через
Хочу узнать как
Источник:Хабрахабр, Информационная безопасность
ValdikSS
—
Новый Userland-RootKit Azazel
. Позволю себе процитировать первый абзац:
Возможно вы слышали про руткиты Jynx и Jynx2. Это так называемые userland-руткиты, они используют возможность переменной LD_PRELOAD, которая позволяет подгружать любые библиотеки до того, как будет запущена программа. Они уже относительно старые, но все еще хорошо работают.
2 дня назад, Github-пользователь Chokepoint выложил rootkit Azazel. Он основан на исходном коде Jynx и имеет много новых фич:
Антиотладочные механизмы
Скрытие от unhide, lsof, ps, ldd
Скрытие файлов и директорий
Скрытие удаленных подключений
Скрытие процессов
Скрытие логинов
Скрытие от локального сниффинга трафика через PCAP
2 бекдора с полноценными шеллами (с PTY):
— Crypthook accept()-бекдор
— Обычный accept()-бекдор
PAM-бекдор для аутентификации под любым пользователем
Очистка логов utmp/wtmp для PTY
Обфускация строк скомпилированной библиотеки через xor.
Таким образом, в рутките используется штатная возможность подгружать через
LD_PRELOAD любую библиотеку. Встаёт вопрос, а можно ли это как-то контролировать?Хочу узнать как
Источник:Хабрахабр, Информационная безопасность
