Компания Immunity, Inc., занимающаяся исследованиями в области компьютерной безопасности, выпустила руткит DR Linux
2.6 (Debug Register Rootkit для Linux ядра 2.6.x), реализующего
принципиально новую технику скрытия сетевых сокетов, файлов и процессов
злоумышленника. В рутките (rootkit) также предусмотрена возможность
удаленного управления, через специально разработанный бэкдор,
работающий в виде скрытого пользовательского процесса. Кроме того, автоматически скрываются дочерние процессы и
сокеты, порождаемые спрятанными программами, при этом для таких
программ все скрытые руткитом ресурсы являются открытыми. Установка DR
Linux 2.6 производится через загрузку модуля ядра.
Вместо классического перехвата обработки системных вызовов или
таблицы прерываний (IDT), которые легко обнаруживается утилитами для
анализа системы на предмет наличия скрытого ПО, в рутките DR Linux
использованы возможности трассировки и отладки в современных
процессоров (IA32). DR получает управление, через установку на
обработчики системных вызовов аппаратных точек останова (breakpoint), а
на определенные области памяти ядра - ловушек (trap).
В качестве защиты, создателям Linux дистрибутивов рекомендуется
организовать контроль доступа к отладочным регистрам процессора. Другой
метод в выявлении руткита, связан с возможностью анализа признаков
загрузки модуля ядра (в следующей версии руткита будет реализована
защита от данного метода обнаружения).
|