Анти-руткит для Userland-RootKit Azazel «на коленке»

Вот шикарная новость от пользователя
ValdikSS
—
Новый Userland-RootKit Azazel
. Позволю себе процитировать первый абзац:

Возможно вы слышали про руткиты Jynx и Jynx2. Это так называемые userland-руткиты, они используют возможность переменной LD_PRELOAD, которая позволяет подгружать любые библиотеки до того, как будет запущена программа. Они уже относительно старые, но все еще хорошо работают.
2 дня назад, Github-пользователь Chokepoint выложил rootkit Azazel. Он основан на исходном коде Jynx и имеет много новых фич:

Антиотладочные механизмы
Скрытие от unhide, lsof, ps, ldd
Скрытие файлов и директорий
Скрытие удаленных подключений
Скрытие процессов
Скрытие логинов
Скрытие от локального сниффинга трафика через PCAP
2 бекдора с полноценными шеллами (с PTY):
— Crypthook accept()-бекдор
— Обычный accept()-бекдор
PAM-бекдор для аутентификации под любым пользователем
Очистка логов utmp/wtmp для PTY
Обфускация строк скомпилированной библиотеки через xor.

Таким образом, в рутките используется штатная возможность подгружать через LD_PRELOAD любую библиотеку. Встаёт вопрос, а можно ли это как-то контролировать?


Хочу узнать как


 Источник:Хабрахабр, Информационная безопасность

Перейти на сайт

Похожие новости

• Как выйти из IT?.. и пойти слесарем на завод. Моя попыточка дауншифтинга [45]
• Наше общение нам больше не принадлежит. Размышляю как ИИ создаст альтернативу для Telegram без VPN и прослушки
• [Перевод] Квантовый апокалипсис грядёт: можно начинать бояться
• «Сделка сложится как по нотам»: новая рекламная кампания М2
• «Плохие парни работают просто»: пентестеры разбирают реальные кейсы
• КУСь нашего контрагента
• Какие форматы контента в топе у застройщиков во всех соцсетях
• B2B без писем и звонков: как автоматизация упрощает бизнес-процессы
• Каждую четвёртую онлайн-покупку в России привлекают кэшбэк и программы лояльности
• Как я строил антифрод-систему для ставок: неожиданные сложности и решения