|
Обнародован новый метод создания руткитов для Linux. |
|
Автор H@wk!
|
|
20:04:2009 г. |
Американский Linux-эксперт Энтони Лайнберри (Anthony Lineberry), в своей презентации на Black Hat Europe, конференции по безопасности, проходящей в Амстердаме, объявил о том, что скоро он выложит для публичного доступа библиотеку libmemrk. По его словам, библиотека работает как в 32-битном, так и в 64-битном окружении. Эта библиотека предоставляет разработчикам руткитов новый способ скрыть файлы или процессы или же взаимодействовать с сетевым трафиком.
Фокус в том, что не нуждаясь в расширенных правах, libmemrk использует драйвер устройства /dev/mem для записи произвольного кода из пользовательского пространства в основную память. Подробные шаги, необходимые для для успешной атаки, проводимой libmemrk, Лайнберри описал в официальном докладе Malicious Code Injection via /dev/mem. Там же он говорит, что в виртуальном окружении атака не будет удачной, поскольку гипервизор ведёт себя не так, как реальное оборудование.
Этот способ с использованием интерфейса /dev/mem не является полностью оригинальным. В статье Linux on-the-fly kernel patching without LKM, опубликованной на Phrack ещё в 2001 году, описывался аналогичный способ с использованием /dev/kmem/. Её авторы уже тогда обдумывали возможности использования /dev/mem, но до реальной проверки дело не дошло.
Источник...
Просмотров: 545
 Ваш коментарий будет первым | |
|
