Pull to refresh

DR Linux 2.6 — руткит принципиально нового типа

Reading time 2 min
Views 730
Еще вчера появилась новость о новом рутките для Linux, реализующий аппаратный перехват управления ОС. Странно, что до сих пор хабрасообщество не осветило данный факт. Думаю что это событие многих заинтересует. Для тех, кто не любит ходить по ссылкам ниже привожу полный текст новости.

Узнать как такое возможно

Компания Immunity, Inc., занимающаяся исследованиями в области компьютерной безопасности, выпустила руткит DR Linux 2.6 (Debug Register Rootkit для Linux ядра 2.6.x), реализующего принципиально новую технику скрытия сетевых сокетов, файлов и процессов злоумышленника. В рутките (rootkit) также предусмотрена возможность удаленного управления, через специально разработанный бэкдор, работающий в виде скрытого пользовательского процесса.

Кроме того, автоматически скрываются дочерние процессы и сокеты, порождаемые спрятанными программами, при этом для таких программ все скрытые руткитом ресурсы являются открытыми. Установка DR Linux 2.6 производится через загрузку модуля ядра.

Вместо классического перехвата обработки системных вызовов или таблицы прерываний (IDT), которые легко обнаруживается утилитами для анализа системы на предмет наличия скрытого ПО, в рутките DR Linux использованы возможности трассировки и отладки в современных процессоров (IA32). DR получает управление, через установку на обработчики системных вызовов аппаратных точек останова (breakpoint), а на определенные области памяти ядра — ловушек (trap).

В качестве защиты, создателям Linux дистрибутивов рекомендуется организовать контроль доступа к отладочным регистрам процессора. Другой метод в выявлении руткита, связан с возможностью анализа признаков загрузки модуля ядра (в следующей версии руткита будет реализована защита от данного метода обнаружения).


Еще раз повторюсь, это кросспост новости отсюда.
Здесь можно скачать DR Linux 2.6.
Оригинал заявления.

В свою очередь хотел бы поинтересоваться у специалистов: стоит ли опасаться появления аналогичных продуктов для других ОС: BSD-семейства и Windows?
Tags:
Hubs:
+29
Comments 19
Comments Comments 19

Articles