forum.opennet.ru

Составление сообщения

Исходное сообщение

"Комплекс вредоносного ПО Дроворуб заражает ОС Linux"
Отправлено n00by, 21-Авг-20 09:41

>> Беда "зеркала" в том, что я то как раз не держал тебя
>> за неспособного, несмотря на отсутствие опыта. Если я утверждаю "элементарно", значит
>> ты элементарно реализуешь детект. Если я сходу скажу решение -- тебе
>> это в лучшем случае ничего не даст.
> Из того что ты понаписал выше, я вижу, что если взять дебуггер
> с дизассемблером, можно задетектить.
Это путь, по которому пошли вышеупомянутые Gmer/RkU. Они (автоматически) сканируют память в поисках модификаций машинного кода. Содержат дизассемблер, находят в теле (начале) функции команду jmp и сигнализируют о признаках руткита. То есть ищутся признаки известных вариантов хуков. Проблема подхода (как и всякого решения для частных случаев) в том, что следующий руткит вместо jmp ставит условные push addr + ret, и детектор ничего подозрительного не находит.
Вероятно, на этот путь тебя сбил листинг iterate_dir. Он приведён с другой целью -- показать, что хук функции приводит к краху системы (в редких случаях, потому исполнитель об ошибочности решения не знает, либо на качество ему плевать).
>[оверквотинг удален]
> зарыться в библиотечную функцию, дебажа свою программу -- это просто маст-хэв,
> без этого сессию дебага можно считать несостоявшейся. Но даже при таких
> средствах, чтобы отловить малварь нужны специальные навыки или много времени. Назвать
> это "элементарно" я бы не назвал.
> Поэтому я и задаю вопросы, те самые которые задаю: как? Элементарно, в
> моём понимании, это скрипт detect-all-the-active-malware.sh, который выдаст мне список
> руткитов, бекдоров, майнеров и прочей пурги, которая в моей системе присутствует.
> Я не знаю о существовании такого скрипта, но ты говоришь, что
> тем не менее есть элементарный способ. Как так? Может быть ты
> знаешь где такой скрипт взять?
Скрипт для обнаружения Дроворуба ты можешь написать сам. В отличие от авторов упомянутых детекторов, ты владеешь необходимой теоретической базой (поскольку не раз говорил о валидации кода транслятором Rust; но в данном случае так глубоко копать не надо). Есть алгоритм, есть его имплементация (именно она и ищется в подходе выше). Есть побочный эффект, он же наблюдаемый результат. Анализировать машинные команды -- да, не тривиально. Значит правильнее искать наблюдаемый результат работы руткита, а именно отсутствие файла. Если ты такой скрипт не напишешь, значит просто не хочешь, ленишься, есть дела важнее и так далее, но те эпитеты, которыми я наградил scamпелировавшего Дроволом, к тебе не применимы.

Исходное сообщение
"Комплекс вредоносного ПО Дроворуб заражает ОС Linux" Отправлено n00by, 21-Авг-20 09:41
>> Беда "зеркала" в том, что я то как раз не держал тебя >> за неспособного, несмотря на отсутствие опыта. Если я утверждаю "элементарно", значит >> ты элементарно реализуешь детект. Если я сходу скажу решение -- тебе >> это в лучшем случае ничего не даст. > Из того что ты понаписал выше, я вижу, что если взять дебуггер > с дизассемблером, можно задетектить. Это путь, по которому пошли вышеупомянутые Gmer/RkU. Они (автоматически) сканируют память в поисках модификаций машинного кода. Содержат дизассемблер, находят в теле (начале) функции команду jmp и сигнализируют о признаках руткита. То есть ищутся признаки известных вариантов хуков. Проблема подхода (как и всякого решения для частных случаев) в том, что следующий руткит вместо jmp ставит условные push addr + ret, и детектор ничего подозрительного не находит. Вероятно, на этот путь тебя сбил листинг iterate_dir. Он приведён с другой целью -- показать, что хук функции приводит к краху системы (в редких случаях, потому исполнитель об ошибочности решения не знает, либо на качество ему плевать). >[оверквотинг удален] > зарыться в библиотечную функцию, дебажа свою программу -- это просто маст-хэв, > без этого сессию дебага можно считать несостоявшейся. Но даже при таких > средствах, чтобы отловить малварь нужны специальные навыки или много времени. Назвать > это "элементарно" я бы не назвал. > Поэтому я и задаю вопросы, те самые которые задаю: как? Элементарно, в > моём понимании, это скрипт detect-all-the-active-malware.sh, который выдаст мне список > руткитов, бекдоров, майнеров и прочей пурги, которая в моей системе присутствует. > Я не знаю о существовании такого скрипта, но ты говоришь, что > тем не менее есть элементарный способ. Как так? Может быть ты > знаешь где такой скрипт взять? Скрипт для обнаружения Дроворуба ты можешь написать сам. В отличие от авторов упомянутых детекторов, ты владеешь необходимой теоретической базой (поскольку не раз говорил о валидации кода транслятором Rust; но в данном случае так глубоко копать не надо). Есть алгоритм, есть его имплементация (именно она и ищется в подходе выше). Есть побочный эффект, он же наблюдаемый результат. Анализировать машинные команды -- да, не тривиально. Значит правильнее искать наблюдаемый результат работы руткита, а именно отсутствие файла. Если ты такой скрипт не напишешь, значит просто не хочешь, ленишься, есть дела важнее и так далее, но те эпитеты, которыми я наградил scamпелировавшего Дроволом, к тебе не применимы.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру