Поиск руткитов в модулях ядра : Tyton

Загружаемые модули ядра, сокращенно LKM, являются неотъемлемой частью ядра Linux.

Как правило, LKM используются для добавления поддержки нового оборудования (в качестве драйверов устройств) или файловых систем или для добавления дополнительных системных вызовов.

Без LKM операционная система должна была бы включать все возможные ожидаемые функции.

Это невозможно сделать при разработке платформы, которая будет использоваться со всем, от смартфона до сервера.

LKM предоставляют дополнительную функциональность ядру и, соответственно, пользователю компьютера и могут быть безопасно добавлены или удалены, когда они необходимы или не нужны.

К сожалению, эта функциональность может быть использована для создания вредоносных программ, а именно руткитов режима ядра.

Руткиты в режиме ядра Linux значительно сложнее обнаружить, чем большинство других вредоносных программ, если они выполняются должным образом, так как предоставляемые ими функциональные возможности демонстрируют некорректную модель доверия пользователя к информации, которую возвращает его или ее система.

Поэтому разработка нескольких методов обнаружения  более продвинутых руткитов принесет пользу системным администраторам во всем мире.

Обнаруженные Титоном Атаки:

  • Скрытые модули
  • Syscall Table Hooking
  • Перехват сетевых протоколов
  • Netfilter Hooking
  • Индексы нулевого процесса
  • Процесс Fops Hooking
  • Перехват таблицы дескрипторов прерываний

Зависимости

  • Ядро Linux 4.4.0-31 или выше
  • Соответствующие заголовки ядра Linux
  • GCC
    make
  • Libnotify
  • Libsystemd
  • Конфигурация пакета
  • GTK3

Скачать Tyton

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40