Новый способ внедрения rootkit в Linux ядро

15/04/2009 11:58

Anthony Lineberry подготовил для конференции Black Hat Europe, проходящей в Амстердаме с 14 по 17 апреля, доклад с демонстрацией нового способа внедрения RootKit-кода в работающее ядро Linux системы, пишет opennet.ru. Суть метода основана на использовании интерфейса /dev/mem для прямой подстановки злонамеренного кода в области памяти ядра с организацией переброса управления непосредственно из любого участка кода. Например, возможно внедрение обработчиков нужных системных вызовов, не использующих какие-либо стандартные методы перехвата, что существенно усложняет обнаружение rootkit-а и значительно упрощает его код. Ранее rootkit обычно оформлялся в виде замаскированного модуля ядра, перехватывающего управление через LSM интерфейс или таблицу прерываний. Кроме того, для перехвата управления предлагалось задействовать отладочные функций процессора, интегрировать код в монитор виртуальных машин, внедрить код в BIOS (через перепрошивку Flash) или использовать уязвимость в CPU Intel и запустить код в режиме SMM, более привилегированном, чем код ядра ОС, выполняющийся в нулевом кольце защиты (Ring 0). Новый метод основан на идее Silvio Cesare, предложившего более 10 лет назад простой способ для накладывания патчей на Linux ядро без остановки работы системы, через прямое изменение частей ядра посредством /dev/mem интерфейса для доступа к физической памяти.
Доклад в формате PDF