forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выявлен новый rootkit для Linux, подменяющий функции libc"
Отправлено opennews, 07-Сен-16 10:32

Компания Trend Micro выявила (http://blog.trendmicro.com/trendlabs-security-intelligence/p... новое семейство руткитов, получивших название Umbreon в честь одноимённого покемона (https://en.wikipedia.org/wiki/List_of_Pok%C3%A9mon... который прячется в темноте. Единичные следы внедрения Umbreon прослеживаются с начала 2015 года, но сейчас руткит появился в свободной продаже на черном рынке. Umbreon поражает Linux-системы на базе архитектур x86, x86_64 и ARM, и относится к руткитам третьего кольца защиты, функционирующим только в пространстве пользователя. Для скрытия своего присутствия, вместо перехвата системных вызовов на уровне ядра, Umbreon осуществляет подмену функций стандартной библиотеки libc.

Подмена функций осуществляется на этапе связывания, путём подстановки библиотеки /usr/share/libc.so.*.[i686|x86_64|v6l].ld-2.22.so, переопределяющей функции libc. Библиотека прописывается в конфигурационный файл "/etc/ld.so.*" (где "*" случайный набор букв, например, /etc/ld.so.thVkfEQ), который, в свою очередь, подменяет в загрузчике /lib/x86_64-linux-g строку "/etc/ld.so.preload", что приводит к автоматической загрузке вредоносной библиотеки при запуске любого исполняемого файла.

Umbreon предоставляет обработчики для функций работы с файлами (open, opendir, read, write, chdir и т.п.), записи в лог (syslog, audit*), запуска исполняемых файлов (execve, execvp), аутентификации через PAM (pam_authenticate, pam_open_session), работы с базой пользователей (getpwnam, getpgid, getpwuid), работы с процессами (get_procname, kill), обработки сетевых соединений (socket, netstat) и т.д., всего перехватывается более 100 функций.

Контролируя выполнение данных функций Umbreon тщательно вырезает из потока данных информацию о своих компонентах (например, не показывает свои файлы и скрывает процессы), а также обеспечивает скрытый вход (работает в том числе через SSH), путём перехвата функций PAM и добавления скрытого пользователя, присутствие которого в /etc/passwd вырезается из вывода при выполнении операций чтения.
В комплект также входит бэкдор Espereon, названный в честь другого покемона, который обеспечивает обратное сетевое соединение к хосту атакующего при обнаружении в TCP-пакетах определённого ключа активации. Espereon постоянно слушает сетевой трафик на сетевом интерфейсе при помощи libpcap.

Для обнаружения и удаления руткита можно использовать инструменты анализа содержимого ФС, напрямую обращающиеся через системные вызовы, минуя функции libc. Также можно загрузиться c LiveCD, примонтировать дисковые разделы и оценить наличие подозрительных файлов /etc/ld.so.*, /usr/lib/libc.so.* и /usr/share/libc.so.*.

URL: http://blog.trendmicro.com/trendlabs-security-intelligence/p.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=45095

Исходное сообщение
"Выявлен новый rootkit для Linux, подменяющий функции libc" Отправлено opennews, 07-Сен-16 10:32
Компания Trend Micro выявила (http://blog.trendmicro.com/trendlabs-security-intelligence/p... новое семейство руткитов, получивших название Umbreon в честь одноимённого покемона (https://en.wikipedia.org/wiki/List_of_Pok%C3%A9mon... который прячется в темноте. Единичные следы внедрения Umbreon прослеживаются с начала 2015 года, но сейчас руткит появился в свободной продаже на черном рынке. Umbreon поражает Linux-системы на базе архитектур x86, x86_64 и ARM, и относится к руткитам третьего кольца защиты, функционирующим только в пространстве пользователя. Для скрытия своего присутствия, вместо перехвата системных вызовов на уровне ядра, Umbreon осуществляет подмену функций стандартной библиотеки libc. Подмена функций осуществляется на этапе связывания, путём подстановки библиотеки /usr/share/libc.so..[i686\|x86_64\|v6l].ld-2.22.so, переопределяющей функции libc. Библиотека прописывается в конфигурационный файл "/etc/ld.so." (где "" случайный набор букв, например, /etc/ld.so.thVkfEQ), который, в свою очередь, подменяет в загрузчике /lib/x86_64-linux-g строку "/etc/ld.so.preload", что приводит к автоматической загрузке вредоносной библиотеки при запуске любого исполняемого файла. Umbreon предоставляет обработчики для функций работы с файлами (open, opendir, read, write, chdir и т.п.), записи в лог (syslog, audit), запуска исполняемых файлов (execve, execvp), аутентификации через PAM (pam_authenticate, pam_open_session), работы с базой пользователей (getpwnam, getpgid, getpwuid), работы с процессами (get_procname, kill), обработки сетевых соединений (socket, netstat) и т.д., всего перехватывается более 100 функций. Контролируя выполнение данных функций Umbreon тщательно вырезает из потока данных информацию о своих компонентах (например, не показывает свои файлы и скрывает процессы), а также обеспечивает скрытый вход (работает в том числе через SSH), путём перехвата функций PAM и добавления скрытого пользователя, присутствие которого в /etc/passwd вырезается из вывода при выполнении операций чтения. В комплект также входит бэкдор Espereon, названный в честь другого покемона, который обеспечивает обратное сетевое соединение к хосту атакующего при обнаружении в TCP-пакетах определённого ключа активации. Espereon постоянно слушает сетевой трафик на сетевом интерфейсе при помощи libpcap. Для обнаружения и удаления руткита можно использовать инструменты анализа содержимого ФС, напрямую обращающиеся через системные вызовы, минуя функции libc. Также можно загрузиться c LiveCD, примонтировать дисковые разделы и оценить наличие подозрительных файлов /etc/ld.so., /usr/lib/libc.so. и /usr/share/libc.so.*. URL: http://blog.trendmicro.com/trendlabs-security-intelligence/p.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=45095

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Компания Trend Micro выявила (http://blog.trendmicro.com/trendlabs-security-intelligence/pokemon-themed-umbreon-linux-rootkit-hits-x86-arm-systems/) 
> новое семейство руткитов, получивших название Umbreon в честь одноимённого покемона (https://en.wikipedia.org/wiki/List_of_Pok%C3%A9mon_%28152%E2%80%93201%29#Umbreon), 
> который прячется в темноте. Единичные следы внедрения Umbreon прослеживаются с начала 
> 2015 года, но сейчас руткит появился в свободной продаже на черном 
> рынке. Umbreon поражает Linux-системы на базе архитектур x86, x86_64 и ARM, 
> и относится к руткитам третьего кольца защиты, функционирующим только в пространстве 
> пользователя. Для скрытия своего присутствия, вместо перехвата системных вызовов на уровне 
> ядра, Umbreon осуществляет подмену функций стандартной библиотеки libc.

> Подмена функций осуществляется на этапе связывания, путём подстановки библиотеки /usr/share/libc.so.*.[i686|x86_64|v6l].ld-2.22.so, 
> переопределяющей функции libc. Библиотека прописывается в конфигурационный файл "/etc/ld.so.*" 
> (где "*" случайный набор букв, например, /etc/ld.so.thVkfEQ), который, в свою очередь, 
> подменяет в загрузчике /lib/x86_64-linux-g строку "/etc/ld.so.preload", что приводит 
> к автоматической загрузке вредоносной библиотеки при запуске любого исполняемого файла.

> Umbreon предоставляет обработчики для функций работы с файлами (open, opendir, read, write, 
> chdir и т.п.), записи в лог (syslog, audit*), запуска исполняемых файлов 
> (execve, execvp), аутентификации через PAM (pam_authenticate, pam_open_session), работы 
> с базой пользователей (getpwnam, getpgid, getpwuid), работы с процессами (get_procname, 
> kill), обработки сетевых соединений (socket, netstat) и т.д., всего перехватывается более 
> 100 функций.

> Контролируя выполнение данных функций Umbreon тщательно вырезает из потока данных информацию 
> о своих компонентах (например, не показывает свои файлы и скрывает процессы), 
> а также обеспечивает скрытый вход (работает в том числе через SSH), 
> путём перехвата функций PAM и добавления скрытого пользователя, присутствие которого в 
> /etc/passwd вырезается из вывода при выполнении операций чтения.

> В комплект также входит бэкдор Espereon, названный в честь другого покемона, который 
> обеспечивает обратное сетевое соединение к хосту атакующего при обнаружении в TCP-пакетах 
> определённого ключа активации. Espereon постоянно слушает сетевой трафик на сетевом интерфейсе 
> при помощи libpcap.

> Для обнаружения и удаления руткита можно использовать инструменты анализа содержимого 
> ФС, напрямую обращающиеся через системные вызовы, минуя функции libc. Также можно 
> загрузиться c LiveCD, примонтировать дисковые разделы и оценить наличие подозрительных 
> файлов /etc/ld.so.*, /usr/lib/libc.so.* и /usr/share/libc.so.*.

> URL: http://blog.trendmicro.com/trendlabs-security-intelligence/pokemon-themed-umbreon-linux-rootkit-hits-x86-arm-systems/

> Новость: http://www.opennet.ru/opennews/art.shtml?num=45095

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру