OpenChaos/Malware Linux

From C4 Wiki
< OpenChaos
Revision as of 21:27, 11 November 2004 by Tho (talk | contribs) (added a bit content)
Jump to: navigation, search

Folien des OpenChaos unter File:Openchaos-malware-unix.pdf

runtime kernel patching

Die Techniken wird im zugehörigen Phrack-Artikel beschrieben
  • /dev/kmem - Capability SYS_RAWIO wird benötigt für Zugriff, ausserdem +rw
  • Fünf Schritte:
    • Suche in /dev/kmem nach der Adresse der sys-call-table und Position von kmalloc()
    • Ersetze Position von "ungebrauchtem" sys-call mit Adresse von kmalloc()
    • Call kmalloc() um Kernelspeicher zu reservieren
    • Kopiere code vom rootkit in freien Speicherbereich
    • Modifiziere sys-call-table wieder und Aufruf des codes
  • SucKIT ändert pointer auf sys-call-table in der IDT

Verstecken von Modulen

  • Löschen des Moduls aus der Modulliste: Ändern des Pointers aus der linked list (adore)
cleaner.c:
int init_module()
{
    if (__this_module.next)
            __this_module.next = __this_module.next->next;
    return 0;
}


  • Verändern des Virtual Filesystems (VFS) (adore-ng)
  • "parasitic module infection" (adore-ng - optional)
Verändern eines anderen Moduls, sehr ähnlich zu Virus
Die Technik wird im zugehörigen Phrack-Artikel beschrieben
  • "runtime-kernel patching" (suckit) (copy der syscall table ...IDT)
  • "static kernel patching" - im Kernelimage code ablegen
Die Technik wird im zugehörigen Phrack-Artikel beschrieben

Sebek

  • baut sk_buff struct und schickt sie an Device
  • stealth communication
  • vielleicht in rootkit einbauen?

Virus

  • ELF header infection
  • RST.B Virus

rootkit hunter

grsec

  • grsec, trusted path execution, benutzer können keine programme ausführen, die sie schreiben können

Antivirus Virus Linux

  • f-prot
  • clamav
  • hb-antivir