https://slinkov.ru/openforum/vsluhforumID3/127726.html Исследователи из компаний Intezer и BlackBerry обнаружили вредоносное ПО, получившее кодовое имя Simbiote и используемое для внедрения бэкдоров и rootkit-ов на скомпрометированные серверы, работающих под управлением Linux. Вредоносное ПО было выявлено на системах финансовых учреждений ряда стран Латинской Америки. Для установки Simbiote в систему атакующий должен иметь root-доступ, который может быть получен, например, в результате эксплуатации неисправленных уязвимостей или утечки учётных записей. Simbiote позволяет закрепить своё присутствие в системе после взлома для проведения дальнейших атак, скрытия активности других вредоносных приложений и организации перехвата конфиденциальных данных...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57328<br> https://slinkov.ru/openforum/vsluhforumID3/127726.html#237 Fri, 24 Jun 2022 03:48:47 GMT И запуск драйверов заблокировали. И изучили накопленный опыт атак на альтернативную ОС. И доказали корректность существующего кода ядра (а что понапишут на Rust - то компилятор "верифицирует").<br><br>Вот это тоже не анекдот, а правда: "сама концепция открытого кода подразумевает, что злоумышленник может иметь к нему доступ, и следовательно, сознательно искать и находить уязвимости в нем."<br><br>Это пишет к.т.н. в аннотации доклада на osdev. Зачем он пишет про открытый код и про доступ? Не знает про fuzzing и IDA Pro, или для чего?<br> https://slinkov.ru/openforum/vsluhforumID3/127726.html#236 Thu, 23 Jun 2022 16:28:41 GMT А мы не только ФС в режиме только для чтения держим, но и само блочное устройство:<br><br>blockdev --setro /dev/sda7<br><br>Не анекдот, а правда:<br><br>"Мне потеринг когдато говорил, что сыстемдЫ он пишет, чтобы всем удобно было корень держать в режиме только для чтения."<br> https://slinkov.ru/openforum/vsluhforumID3/127726.html#235 Thu, 16 Jun 2022 05:15:28 GMT &gt; Таким образом, надо убедиться в первую очередь в том, что чтение <br>&gt; не подменено. Это можно пробовать сделать через сравнение числа потраченных инструкций <br>&gt; цпу - время выполнения - на заведомо чистой и целевой системах. <br>&gt; выполнять perf record/stat и опираться на счетчик выполненных инструкций.<br><br>Поскольку не последовало внятного объяснения, как предполагается обеспечить достаточную точность измерений, внесу некоторую ясность. Выше предлагается вариант обнаружения по косвенным признакам. Обычно (RkU, Gmer, AVZ и т.п.) вместо этого производили сканирование памяти, искали факт подмены инструкций. Грубо говоря, реализовывался некий аналог системного загрузчика: читали исполняемые файлы с накопителя, но вместо копирования в ОЗУ производили сравнение. Такой метод помимо обнаружения позволял снять хуки (перехват). Однако, руткиты противодействовали - подменяли содержимое чистых файлов при чтении. Варианты с измерением времени обсуждались, но о рабочих реализациях мне не известно, если не считать вариантов https://slinkov.ru/openforum/vsluhforumID3/127726.html#234 Wed, 15 Jun 2022 20:32:11 GMT Не знаю, я не пробовал. Я запускаю Wireshark ярлыком.<br> https://slinkov.ru/openforum/vsluhforumID3/127726.html#233 Wed, 15 Jun 2022 12:46:03 GMT &gt; А чтобы ее вообще не было надо / держать в режиме только <br>&gt; для чтения.<br><br>Это всего лишь вопрос времени, когда руткиты начнут писать на накопитель в обход драйвера ФС.<br> https://slinkov.ru/openforum/vsluhforumID3/127726.html#232 Wed, 15 Jun 2022 12:15:53 GMT 1. Подписываешь чистые бинари и библиотеки.<br><br>2. Запускаешь:<br>tail -f /var/log/....log<br><br>3. Делаешь:<br>echo 'appraise func=MMAP_CHECK mask=MAY_EXEC' &gt;&gt; '/proc/sys/kernel/security/ima/policy'<br><br>4. Ищешь в логах аудита.<br><br>А чтобы ее вообще не было надо / держать в режиме только для чтения.<br> https://slinkov.ru/openforum/vsluhforumID3/127726.html#231 Wed, 15 Jun 2022 08:38:20 GMT Кстати, ты заметил, что ответил как Анонин - с "н" на конце? Мне интересно, это ты осознанно сделал, или "случайно" в процессе спора с объективной реальностью.<br> https://slinkov.ru/openforum/vsluhforumID3/127726.html#230 Tue, 14 Jun 2022 14:55:48 GMT Что бы что-то перехватить в монолитном исполняемом файле, врезать инструкции перехода на свой код, в общем случае потребуется дизассемблер и гарантии, что модифицируемый код не исполняется. Т.е. девятый "Б" сходит со сцены. Гуру учит так не делать исходя из борьбы за всё хорошее против всего плохого. Ведь не просто Linux, а GNU/Linux. Этот момент я прохлопал, поскольку мало интересуюсь лицензиями.<br> https://slinkov.ru/openforum/vsluhforumID3/127726.html#229 Tue, 14 Jun 2022 14:35:33 GMT Ну так не пользуйся ненужным, в чем проблема-то? Если найдется уязвимость в каком-нибудь kernel32.dll - мелкомягкие ее сами закроют и в случае с динамической линковкой для тебя ничего не меняется. <br>