forum.opennet.ru - "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD

"Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_PRELOAD для скрытия"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_PRELOAD для скрытия"	+/–
Сообщение от opennews (ok), 10-Июн-22, 08:45
Исследователи из компаний Intezer и BlackBerry обнаружили вредоносное ПО, получившее кодовое имя Simbiote и используемое для внедрения бэкдоров и rootkit-ов на скомпрометированные серверы, работающих под управлением Linux. Вредоносное ПО было выявлено на системах финансовых учреждений ряда стран Латинской Америки. Для установки Simbiote в систему атакующий должен иметь root-доступ, который может быть получен, например, в результате эксплуатации неисправленных уязвимостей или утечки учётных записей. Simbiote позволяет закрепить своё присутствие в системе после взлома для проведения дальнейших атак, скрытия активности других вредоносных приложений и организации перехвата конфиденциальных данных... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57328
Ответить \| Правка \| Cообщить модератору

Оглавление

Разделяемые библиотеки позволяют быстро исправлять ошибки - говорили они, не ш, n00by (ok), 08:45 , 10-Июн-22, (1) –23

ну тут дело же в полученном изначально root-доступе, а не в самом механизме дина, Аноним (4), 08:50 , 10-Июн-22, (4) +19

Дело в том, что я сейчас напишу читайте Хоглунда , а эксперты по руткитам полез, n00by (ok), 08:55 , 10-Июн-22, (6) +4

Я эксперт, только что вернулся из поисковика При чём тут хоккей , Аноним (56), 12:41 , 10-Июн-22, (56) +7

Однофамилец того хоккеиста написал книжку про руткиты Описал решаемые ими задач, n00by (ok), 13:00 , 10-Июн-22, (61) +3

В тему , Аноним (-), 17:54 , 10-Июн-22, (100) +1
Это что, для маздая Очень тематично пля, мне очень интересно как гадить в NTшны, Аноним (-), 18:38 , 10-Июн-22, (102) –1

p s я буду рефрешить коменты до ответа Я буду рефрешить коменты до ответа Я б, Аноним (-), 18:39 , 10-Июн-22, (103) +2

Ответа кому Смысл вести с вами дискуссии На что вы, господа безымянные теорети, n00by (ok), 09:52 , 11-Июн-22, (127)

Может, это те ребята, которые пишут Dow do I wrote root kit for Linux на Stac, InuYasha (??), 10:22 , 11-Июн-22, (131) +1

Вы хотеть, пожалуйста, посетить эту ссылка https github com search q linux roo, n00by (ok), 11:21 , 11-Июн-22, (138)

Понимаешь, человек, от ТЕБЯ много СПАМА Бесполезного и или офтопичного Ты спам, Аноним (-), 19:46 , 11-Июн-22, (168)

Я отвечаю на твои бессмысленные сообщения, поскольку мне с такими как ты придётс, n00by (ok), 11:55 , 12-Июн-22, (187) –1

Этот хак с LD_PRELOAD работает с правами обычного пользователя с правами которог, torvn77 (ok), 02:01 , 14-Июн-22, (223)

Напоминаю Unix-way каждая программа хорошо делает своё дело 1 эксплоит - пол, n00by (ok), 07:54 , 14-Июн-22, (225)

А не наоборот Впрочем в линуксе всё прекрасно тут вам и разделяемые библиотеки, Аноним (38), 11:43 , 10-Июн-22, (38) –2

Unix way - одна программа не обсуждается в ветке хорошо получает рут доступ, д, n00by (ok), 12:02 , 10-Июн-22, (46) +5
Пакетный менеджер имеет свои плюсы Допустим в zlib нашли баг Я поставил патчен, Аноним (-), 21:21 , 10-Июн-22, (109)

Исправил, не благодари, Аноним (-), 01:56 , 11-Июн-22, (125) –2

Нехрен арчем и гентой в проде пользоваться В нормальных дистрах майнтайнеры вот, Аноним (-), 19:51 , 11-Июн-22, (169)

Накушался я этой стабильности в свое время Так, навскидку пример дебиан то ли , Аноним (220), 20:24 , 13-Июн-22, (220)

Об этом должен беспокоиться разработчик конкретной программы, а не разработчик О, Аноним (38), 09:55 , 11-Июн-22, (128) +1

Единое окружение операционной системы собирает разработчик ОС, а не автор конкре, Аноним (141), 12:03 , 11-Июн-22, (141)

Вот поэтому самая правильная схема -- ОС отдельно, программы отдельно , Аноним (38), 12:23 , 11-Июн-22, (144) +3

В этом месте возникает конфликт интересов Есть специальный человек - майнтайнер, n00by (ok), 16:14 , 11-Июн-22, (152)
Дистрибутив AltMinixZverBD отдельно, Аноним (-), 17:33 , 11-Июн-22, (157)
Не, спасибо, я видел как это в маздае работает Крайним почему-то я оказываюсь, , Аноним (-), 20:07 , 11-Июн-22, (172)

Ну не знаю По-моему ситуация когда пользовательские приложения делят либы с о, Аноним (38), 21:09 , 11-Июн-22, (175) +1

А по моему 1 В моем случае деление на систему и пользовательские приложени, Аноним (-), 03:16 , 12-Июн-22, (181)

А остальной код вы проверили, вдруг в других местах тоже есть уязвимости Запуск, Аноним (38), 14:07 , 12-Июн-22, (196)
Заменив либу на фикшеную, можно ВСЁ поломать Классно поменяли , Neon (??), 03:42 , 13-Июн-22, (203) +2

Поздравляю, ты изобрел FreeBSD с ее делением на distributions и ports, Аноним (220), 20:31 , 13-Июн-22, (221)

Спасибо, теперь я понял эти постоянные нападки на BSD В GNU Linux именно свобод, n00by (ok), 08:10 , 14-Июн-22, (226)

За что, среди прочего, фряху и люблю Есть минимальный набор из загрузчика, ядра, Аноним (-), 17:26 , 14-Июн-22, (228)
Что бы что-то перехватить в монолитном исполняемом файле, врезать инструкции пер, n00by (ok), 17:55 , 14-Июн-22, (230)

Проблема в том что в результате 1 Все отдано на откуп легиону каких-то раздолба, Аноним (-), 20:04 , 11-Июн-22, (171)

Ну так не пользуйся ненужным, в чем проблема-то Если найдется уязвимость в како, Аноним (-), 17:35 , 14-Июн-22, (229)

А еще злодей может имя файла использовать левое, название процесса непаливное на, Аноним (-), 18:42 , 10-Июн-22, (104) +1

Жаль, что не получается составить список экспертов Стесняются отметиться явно , n00by (ok), 10:21 , 10-Июн-22, (12)

busybox, Аноним (-), 11:02 , 10-Июн-22, (19)

Ход мыслей правилен, но уровень абстракции не тот См ldd which busybox , n00by (ok), 11:27 , 10-Июн-22, (26)

Статически слинкован, например с каким-нибудь экзотическим libc, который в добав, Аноним (-), 11:31 , 10-Июн-22, (30) +2

Да, это решение Но фанаты не одобряют , n00by (ok), 11:36 , 10-Июн-22, (32) +1

Это решение только проблемы с LD_PRELOAD А злоумышленник с рутом так и сидит в , Аноним (-), 11:41 , 10-Июн-22, (36) +2

Что и обсуждается в данной ветке , n00by (ok), 11:57 , 10-Июн-22, (42)

В какой, в которой ключи ищут , Аноним (-), 12:14 , 10-Июн-22, (50)

В ветке, которая началась с моего сообщения 8470 1 Оно так понравилось экспер, n00by (ok), 12:22 , 10-Июн-22, (53)

Если обсуждают, что угодно, то изначальный тезис противоречивый, то есть троллин, Аноним (-), 12:35 , 10-Июн-22, (55)

Противоречий в тезисе нет Цитата в кавычках верна, проблема с ошибками в библ, n00by (ok), 13:02 , 10-Июн-22, (62) –1
Вопросов больше не имею, Аноним (-), 13:30 , 10-Июн-22, (70)
Вот и не надо зафлуживать ветку, если сказать по сути нечего Затроллили его, бе, n00by (ok), 13:38 , 10-Июн-22, (72) –1

А если разрешать подгрузку только таких библиотек, у которых есть цифровая подпи, Аноним (20), 11:04 , 10-Июн-22, (20)

Что мешает подписать, если уже есть root-доступ , Аноним (-), 11:09 , 10-Июн-22, (21) +1

Так подписи будет раздавать RHBM , n00by (ok), 11:15 , 10-Июн-22, (22) +2

Не знаю кто это, но проверять тоже он будет или система, в которой кто-то шаритс, Аноним (-), 11:21 , 10-Июн-22, (23) +1

Куда именно добавил , n00by (ok), 11:24 , 10-Июн-22, (24)

В систему, которая проверяет , Аноним (-), 11:26 , 10-Июн-22, (25)

Куда именно в систему, которая проверяет , n00by (ok), 11:28 , 10-Июн-22, (27)

Куда надо Конкретика должна исходить от того, кто предложил способ защиты злоум, Аноним (-), 11:39 , 10-Июн-22, (35)

Защищающийся должен защитить систему Атакующему он ничего не должен , n00by (ok), 11:58 , 10-Июн-22, (43)

Какой из пользователей с UID 0 защитник, какой - атакующий , Аноним (-), 12:01 , 10-Июн-22, (45)
Ищите ключи , n00by (ok), 12:04 , 10-Июн-22, (47)
К кому запрос, к пользователю - защитнику или атакующему, который нашел ключ , , Аноним (-), 12:12 , 10-Июн-22, (49)
Я понимаю, что ключ пока никто не нашёл Совсем нет вариантов , n00by (ok), 12:20 , 10-Июн-22, (52)
Злоумышленник с рутом - это кто Тот, кто не нашел ключ Пока нет конкретики, т, Аноним (-), 12:30 , 10-Июн-22, (54)
Вопрос в 8470 21 Что мешает подписать, если уже есть root-доступ Предложен , n00by (ok), 13:08 , 10-Июн-22, (63)
Хочешь сказать, ключей в системе нет Внесистемные инструменты Хотя, что мешает , Аноним (-), 13:27 , 10-Июн-22, (69)
Социальная инженерия не работает Не нашли ключи, не подписали, закрепиться пред, n00by (ok), 13:41 , 10-Июн-22, (74)
Еще один верный тезис Интересно, как в систему попали Защищающийся должен дока, Аноним (-), 14:05 , 10-Июн-22, (77)
Кто Вы Нафантазировали, что куда-то попали На этом фантазия закончилась Мне н, n00by (ok), 15:12 , 10-Июн-22, (82)
Потому что ты оффтопщик - админ подкроватного IIS-сервера, который сам не знает , Аноним (146), 12:59 , 11-Июн-22, (146)
Нет, ты не угадал, у меня нет IIS-сервера под кроватью Сначала расскажи, почему , n00by (ok), 13:33 , 11-Июн-22, (147)
Что мне находить Отключение integrity, когда у меня есть рут Прописывание в за, Аноним (-), 14:01 , 11-Июн-22, (148)
Теряешь контекст Требовал конкретику У меня она есть и давно в виде кода К да, n00by (ok), 15:57 , 11-Июн-22, (151)
Это ты давно потерял контекст Раздул проблему LD_PRELOAD до размеров слона Ты, Аноним (-), 16:55 , 11-Июн-22, (153)
Ты не проблема вовсе Если ты не готов к конструктивному диалогу по вопросу LD_P, n00by (ok), 18:50 , 11-Июн-22, (158)
Какой конструктив, если ты не даешь никакой конкретики Вместо этого скачешь то , Аноним (-), 19:03 , 11-Июн-22, (161)
Успокойся уже Сделай 10 вдохов Сделал Теперь читай дальше В 8470 21 ты соб, n00by (ok), 19:15 , 11-Июн-22, (163)
Руткит - это кит , который работает как рут С точки зрения системы ничем не , Аноним (-), 19:37 , 11-Июн-22, (167)
Аноним - это им я , которого нет С точки зрения системы у твоего мнения не, n00by (ok), 12:08 , 12-Июн-22, (188)

Пока-что я сам себе подписи на кернельные модули раздаю А в чем проблема так же, Аноним (-), 18:43 , 10-Июн-22, (105)

Для Вас не вижу проблем, коль сходу предлагаете решение Исходники открыты, можн, n00by (ok), 10:16 , 11-Июн-22, (129)

А кто будет проверять контролера , Neon (??), 03:45 , 13-Июн-22, (204)

Сами подписывайте, если никому не доверяете Исходники открыты, возможность есть, n00by (ok), 08:32 , 13-Июн-22, (209)

Подписывают на отдельном хосте, не подключенном к сети с рутуемыми серверами , Аноним (28), 11:28 , 10-Июн-22, (28) +2

Да, это один из вариантов Но надо понимать, что в прошлый раз в итоге развития , n00by (ok), 11:29 , 10-Июн-22, (29) +1

А если прямо им и воспользоваться, не мудрствуя лукаво , Аноним (20), 12:07 , 10-Июн-22, (48)

Полная версия идеи секурбута так то проверять ВСЕХ на цепочкеROM- бут- кернел- п, Аноним (-), 21:02 , 10-Июн-22, (107)

Предлагаешь отключить _dl_map_object_deps всем-всем-всем из юзерспейса с сискол, InuYasha (??), 10:51 , 11-Июн-22, (137)

Зачем сразу запрещать Было интересно, сколько возникнет подобных вопросов что, n00by (ok), 11:41 , 11-Июн-22, (139)

Вот это уровень , Аноним (-), 16:59 , 11-Июн-22, (155) +1

А то Сджипиэлил из 30 не знает про всякие переменные окружения LD_ , n00by (ok), 19:02 , 11-Июн-22, (160)

Научный подход security by obscurity в действии , Аноним (-), 19:19 , 11-Июн-22, (164) +1

Ну да Зеркало то работает Вон как ты себя разоблачаешь , n00by (ok), 19:25 , 11-Июн-22, (166)

Строго говоря, замена одной неисправной библиотечки не является уязвимостью, ЕСЛ, Аристарх (??), 12:54 , 10-Июн-22, (60) –3

Торвальдс написал ядро Здесь обсуждается механизм в пространстве пользователя , n00by (ok), 13:11 , 10-Июн-22, (66) +4

Только в пространстве пользователя, любой пользователь полностью изолирован от в, Аноним (-), 13:40 , 10-Июн-22, (73)

Самое удивительное, что руткит при этом не подгузится , n00by (ok), 13:47 , 10-Июн-22, (75)

Как догадался, получил дамп выполненных в ring0 инструкций, проанализировал на в, Аноним (-), 14:16 , 10-Июн-22, (78) –1

Бывает Продолжайте собирать пакетики , n00by (ok), 15:11 , 10-Июн-22, (81)

И что там надо увидеть То что, если поменять логику glibc, то glibc ведет себ, Аноним (146), 15:30 , 10-Июн-22, (83)

С какой конкретно целью Вы пытаетесь произвести подмену предмета обсуждения в ве, n00by (ok), 15:43 , 10-Июн-22, (85)

Если есть рут доступ, можно подменить вызовы glibc своим механизмом LD_PRELOA, Аноним (-), 15:58 , 10-Июн-22, (87)

То есть цель озвучить не можете, но хотите пофлудить о сферическом коне в вакуум, n00by (ok), 16:16 , 10-Июн-22, (92)

Продолжай скакать с ветки на ветку, обвиняя Вы пытаетесь произвести подмену пре, Аноним (-), 16:33 , 10-Июн-22, (94)
Зер гуд, Вольдемар Я, я, дас штиммт Тебе полагается тёплый суп , n00by (ok), 10:20 , 11-Июн-22, (130)

Может, ещё книжку для укладки на энтер услужливо подсовывающий Торвальдс не обид, Michael Shigorin (ok), 21:23 , 10-Июн-22, (110) +1

Да, позволяют Это ты смотрю не шибко понимаешь что такое разделяемые библиотеки , Аноним (90), 16:01 , 10-Июн-22, (90)

Чего мне понимать - в новости подробно описана разделяемая библиотека скрывают, n00by (ok), 16:20 , 10-Июн-22, (93)

А таки позволяют И еще обеспечивают code reuse Мсье вероятно фанат игогошных б, Аноним (-), 18:35 , 10-Июн-22, (101) +1

Некоторые, кстати, троянят procps, но не psmisc , Michael Shigorin (ok), 21:24 , 10-Июн-22, (111)

Это они не открыли Бритву Оккама - не надо прятать то, чего нет Есть же ещё оди, n00by (ok), 12:14 , 11-Июн-22, (142)

Мсье, очевидно, теоретик У меня на Си std cout хелловорлд получался в , n00by (ok), 10:26 , 11-Июн-22, (132) +1

ldd покажешь , Аноним (-), 17:09 , 11-Июн-22, (156)

Она не понимает PE COFF , n00by (ok), 18:54 , 11-Июн-22, (159)

В тему , Аноним (-), 19:12 , 11-Июн-22, (162)

Ещё бы Ведь это _у_тебя_ исполняемый файл 6 гигабайт и масса руткитов закрепляе, n00by (ok), 19:20 , 11-Июн-22, (165)

Ты не виляй хвостом, показывай импорты и экспорты или как у там у вас оффтопщико, Аноним (-), 20:01 , 11-Июн-22, (170)

Зачем я буду что-то тебе показывать У меня нет давно Венды как и того экзешника, n00by (ok), 12:12 , 12-Июн-22, (189)

Может ты сперва напишешь привет мир используя именно std cout , потом будешь, Аноним (146), 12:48 , 12-Июн-22, (193)

Может ты внимательно прочтёшь 8470 132 У меня на Си std cout хелловорл, n00by (ok), 13:17 , 12-Июн-22, (194)

Типичный оффтопщик, который пришел в тему про linux, и понтуется, что читал оффт, Аноним (146), 13:37 , 12-Июн-22, (195)
Рекомендую тебе вести себя крайне осторожно, особенно с оценками, пока ты не осо, n00by (ok), 14:42 , 12-Июн-22, (197)
Оценщик об оценках Держишь уровень , Аноним (146), 15:41 , 12-Июн-22, (198)
Напоминаю, в 8470 101 ты описал свой маня-мирок, в котором хелловорлд весит 6, n00by (ok), 08:21 , 13-Июн-22, (208)
Ты, давай, показывай свой привет с использованием include iostream , котор, Аноним (146), 09:09 , 13-Июн-22, (210)
Ты мог бы уже сам найти, если бы умел немножко покликать мышкой и читать исходни, n00by (ok), 09:38 , 13-Июн-22, (212)
Это std или поделка студента , который залез в namespace std Разве это не т, Аноним (146), 10:40 , 13-Июн-22, (213)
Почему ты решил, что я буду объяснять тебе, что такое стандартная библиотека Си , n00by (ok), 11:20 , 13-Июн-22, (214)
Потому что ты не знаешь, что такое стандартная библиотека Си Нельзя залезать, Аноним (146), 11:31 , 13-Июн-22, (215)
Что бы я начал что-то тебе объяснять, тебе следует меня заинтересовать Вот сейч, n00by (ok), 13:19 , 13-Июн-22, (216)
https eel is c draft namespace std 1На остальное, подтверждающее уровень, отв, Анонин (?), 13:54 , 13-Июн-22, (217)
Потому что ты за свои слова отвечать не способен в принципе, как уже было с под, n00by (ok), 15:25 , 13-Июн-22, (219)
Кстати, ты заметил, что ответил как Анонин - с н на конце Мне интересно, это , n00by (ok), 11:38 , 15-Июн-22, (231)

Вот это в мире ненавистной Венды называется нубкит поскольку там перехват сис, n00by (ok), 08:47 , 10-Июн-22, (2) +5

А не системные вызовы , Аноним (28), 11:34 , 10-Июн-22, (31)

Надысь тут один специалист по Венде спрашивал, что такое подсистема Win32 Так, n00by (ok), 11:49 , 10-Июн-22, (40) +2

диэлэл-хайджакин это называется в венде , Big Robert TheTables (?), 11:57 , 10-Июн-22, (41) +2
А кого интересует мир венды в котором ничерта толком не работает А дизайн с деф, Аноним (90), 16:00 , 10-Июн-22, (89) –1

Да что там окна, попробуйте хотя бы инъекцию dll по Рихтеру сделать, что бы скры, n00by (ok), 16:03 , 10-Июн-22, (91)

У винды есть и некий почти полный эквивалент LD_PRELOAD через реестр вроде Хотя, Аноним (-), 23:06 , 10-Июн-22, (116)

Там в реестре наверняка много всякого интересного, и даже тело трояна можно найт, n00by (ok), 10:34 , 11-Июн-22, (133)

Ну вот сколько я себя помню, в винде всегда было более 9000 способов налететь на, Аноним (-), 20:25 , 11-Июн-22, (173)

Вот именно, что чёрт знает Тут стоит читать не Хоглунда, а начинать с Рихтера, , n00by (ok), 12:34 , 12-Июн-22, (190)

Цвет рамок окон, конечно, имеет прямейшее отношение к дискуссии , Аноним (96), 17:20 , 10-Июн-22, (96) +3
Поставь себе третьегном, не мучайся , Аноним (-), 00:58 , 11-Июн-22, (122)
Так и не поймешь, трололо или фанбой из 90х, Аноним (227), 17:03 , 14-Июн-22, (227)

Дальше будет только хуже , Аноним (3), 08:48 , 10-Июн-22, (3) –3
А ссылка на исходники где , Аноним (7), 08:55 , 10-Июн-22, (7) +6

Насколько я могу помнить, исходные коды подобного программного обеспечения, как , Адмирал Майкл Роджерс (?), 13:12 , 10-Июн-22, (67) +6

когда мамкины хакепы полностью освоят ebpf, тогда линукс будет дырявее винды, Аноним (8), 09:41 , 10-Июн-22, (8) +2

Но для пользования eDPF у нормальных пацанов нужен root А если есть root, то и , Аноним (28), 11:38 , 10-Июн-22, (34) +2

Ага, только у приличных людей там ща подписи на модули навешены И тебе еще ключ, Аноним (-), 18:45 , 10-Июн-22, (106)

Далеко у всех приличных людей Подписывать модули это уже почти ракетная наука , Аноним (178), 23:19 , 11-Июн-22, (178)

Эта ракетная наука для стоковых модулей вообше билдсистемой кернела ворочается с, Аноним (-), 03:29 , 12-Июн-22, (182)

А кто будет проверять подписантам Или джентльменам принято верить на слово , Neon (??), 03:48 , 13-Июн-22, (205)

Не будет Дырявее и корявее венды уже не будет ничего , Аноним (90), 15:58 , 10-Июн-22, (88)

Дырка номер 100500 в линупce, но плохая все равно винда Чотаржу, Аноним (-), 01:53 , 11-Июн-22, (124) +4

Ты ещё далеко не все вендовые пересчитал , Аноним (178), 23:20 , 11-Июн-22, (179) –2

В винде не дыры, а отверстия , InuYasha (??), 11:04 , 12-Июн-22, (184)

Еще никогда s Штирлиц s товарищ майор не был так близко к провалу с , EuPhobos (ok), 09:49 , 10-Июн-22, (9) +2
Офигенный вирус Реквестирую сырцы под копилефт лицензией , Аноним (11), 10:20 , 10-Июн-22, (11) +3

root-доступ, который может быть получен, например, в результате эксплуатаци, Аноним (38), 10:40 , 10-Июн-22, (17) +1
уже ничего особенного, дыры типа как в polkit, Аноним (71), 13:36 , 10-Июн-22, (71) +4

Оригинально , Аноним (18), 10:49 , 10-Июн-22, (18) +1
Интересно, кто бы мог это написать и для чего ещё оно используется 129300 , Аноним (33), 11:38 , 10-Июн-22, (33) +3

След русских хакеров , Аноним (28), 11:42 , 10-Июн-22, (37) –1

Нанятых бразильским центробанком по поручению спецслужб , Аноним (-), 11:58 , 10-Июн-22, (44) +1

NSA, for example , Аноним (64), 13:09 , 10-Июн-22, (64) +2

Так Simbiote или Symbiote , Аноним (28), 11:44 , 10-Июн-22, (39) +2
Где скачать b , Аноним (51), 12:18 , 10-Июн-22, (51) +1

У себя в ЛА-банке, очевидно , Michael Shigorin (ok), 21:28 , 10-Июн-22, (113)

например, исключают отдельные элементы в списке процессов - вот почему бара, Аристарх (??), 12:46 , 10-Июн-22, (57) +1

Да, как грамотный подход в BSD , Аноним (65), 13:09 , 10-Июн-22, (65)

Он обычно оказывается не от мира сего И единственная причина по которой джо неу, Аноним (-), 00:40 , 11-Июн-22, (121) +1

Пока кто-то не встроил свой фильтр в этот API и не оказалось, что системщик полу, Аноним (96), 17:23 , 10-Июн-22, (97) +3
Вы так и будете старательно доказывать, что лично Вам не натянуть даже кол нет,, Michael Shigorin (ok), 21:31 , 10-Июн-22, (114) –1
И каждый первый хацкер будет пытаться это апи перехватить Потому что нерушимый , Аноним (-), 23:13 , 10-Июн-22, (118) +1
Скрыто модератором, Neon (??), 03:50 , 13-Июн-22, (206) –1

Скрыто модератором, hefenud (ok), 09:26 , 13-Июн-22, (211)

А вот и встроенный бэкдор ёBPF снова пригодился , Онаним (?), 12:48 , 10-Июн-22, (58) +3

Основной плюс ёBPF в том, что теперь бэкдоры могут одинаково хорошо работать на , Онаним (?), 12:49 , 10-Июн-22, (59) +6

Вне контекста верно, но как я понимаю к данному бекдору не относится - в новости, solardiz (ok), 16:53 , 10-Июн-22, (95) +4

То есть эта штука еще и патчер eBFP программ А вот это уже креативно, LD_PRELOA, Аноним (-), 21:06 , 10-Июн-22, (108) +2
Спасибо и подстановка дополнительного кода в загружаемые в ядро BPF-программы , Michael Shigorin (ok), 21:33 , 10-Июн-22, (115) +2

Да Спасибо И можно на ты , solardiz (ok), 00:28 , 11-Июн-22, (119)

Развесистая штуковина Походу, толковые ребята писали , YetAnotherOnanym (ok), 13:14 , 10-Июн-22, (68)

Вы про eBPF , anonymous (??), 15:03 , 10-Июн-22, (80) +2

хакеры не спят, Аноним12345 (?), 13:53 , 10-Июн-22, (76)
Хакер и солонка, гоквч (?), 14:44 , 10-Июн-22, (79) +2
почему никто ещё не задумался отчего такой путь обнаружен пока только в фин учре, Аноним (84), 15:34 , 10-Июн-22, (84)

жырно шо аж Михоил не стал клевать, mos87 (ok), 12:21 , 11-Июн-22, (143)

Как такую срань найти , Andy (??), 21:26 , 10-Июн-22, (112)

Для начала зазырить переменные окружения любым известным вам способом и если там, Аноним (-), 23:09 , 10-Июн-22, (117)

Тут лучше не любым известным, а загрузив чистую систему с внешнего накопителя , n00by (ok), 10:47 , 11-Июн-22, (135) +1

Дык при загрузке с флешки LD_Preload будет с флешкиА смотреть на всхаченной сист, Andy (??), 15:03 , 11-Июн-22, (149) +1

В чистой системе , n00by (ok), 15:52 , 11-Июн-22, (150)
Как вариант, запустить что-либо с LD_PRELOAD и убедиться в том, что свой LD_PREL, швондер (?), 16:57 , 11-Июн-22, (154)

Руткит фильтрует чтение из proc пид mapsПо поводу детекта замером времени испол, n00by (ok), 12:47 , 12-Июн-22, (192)

у вас неверное понимание , швондер (?), 16:40 , 12-Июн-22, (199) +1

Я так полагаю, Вы где-то уже апробировали предлагаемую методику, раз такое заявл, n00by (ok), 08:10 , 13-Июн-22, (207) +1

Поскольку не последовало внятного объяснения, как предполагается обеспечить дост, n00by (ok), 08:15 , 16-Июн-22, (235)

Классический способ по мотивам RootkitRevealer Руссиновича пишем приложение, ко, n00by (ok), 10:44 , 11-Июн-22, (134) +1

Еще можно врубить мозг - и черт с ним с русиновичем - у нас тут линукс же Читае, Аноним (-), 20:35 , 11-Июн-22, (174)

К каким ножкам процессора подпаиваем принтер , n00by (ok), 12:45 , 12-Июн-22, (191)

1 Подписываешь чистые бинари и библиотеки 2 Запускаешь tail -f var log lo, Аноним (232), 15:15 , 15-Июн-22, (232)

Это всего лишь вопрос времени, когда руткиты начнут писать на накопитель в обход, n00by (ok), 15:46 , 15-Июн-22, (233)

А мы не только ФС в режиме только для чтения держим, но и само блочное устройств, Аноним (236), 19:28 , 23-Июн-22, (236)

И запуск драйверов заблокировали И изучили накопленный опыт атак на альтернатив, n00by (ok), 06:48 , 24-Июн-22, (237)

систему атакующий должен иметь root-доступ -- да уж, srgazh (ok), 00:28 , 11-Июн-22, (120)

рассказать способы, или сам загуглишь новости о многолетних дырах , Аноним (71), 21:33 , 11-Июн-22, (177) +1

Расскажи мне Мне очень нужно 8ой ведроид рутануть , InuYasha (??), 11:26 , 12-Июн-22, (186) +2

Дальше не читал , pavlinux (ok), 01:09 , 11-Июн-22, (123) +1

Зер гуд, Вольдемар , n00by (ok), 10:51 , 11-Июн-22, (136) –1
да хоть через дыры в polkit заиметь сейчас рут - вообще не проблема , Аноним (71), 21:32 , 11-Июн-22, (176) –1

3аймей, хyцкep йoпт https git kernel org , pavlinux (ok), 21:46 , 12-Июн-22, (202) +1

Хорошая реклама Где мне его взять , microsoft (?), 08:16 , 11-Июн-22, (126)

У Микрософта же https github com search q LD_PRELOAD rootkit, n00by (ok), 12:35 , 11-Июн-22, (145)

неплохо, mos87 (ok), 11:44 , 11-Июн-22, (140)
Решил поизучать сети Поставил в Ubuntu анализатор Wireshark При первом запуске , У меня вопрос (?), 23:59 , 11-Июн-22, (180) +5

man dumpcap не пробовали Это прога из комплекта wireshark для захвата сетевог, Аноним (-), 03:39 , 12-Июн-22, (183) +5

А я один юзер в системе, домашний комп D, Аноним (-), 20:45 , 12-Июн-22, (200) +4

Нет, ты - один из юзеров в системе, который думает, что он - Один или един , Аноним (146), 14:11 , 13-Июн-22, (218)
cat etc passwd, Аноним (220), 20:47 , 13-Июн-22, (222)
А почему wireshark dumpcap через sudo не запускает , torvn77 (ok), 02:09 , 14-Июн-22, (224)

Не знаю, я не пробовал Я запускаю Wireshark ярлыком , Аноним (-), 23:32 , 15-Июн-22, (234) +1

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от n00by (ok), 10-Июн-22, 08:45 –23 +/–

"Разделяемые библиотеки позволяют быстро исправлять ошибки" - говорили они, не шибко понимая, что говорят.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #12, #60, #90, #101

2. Сообщение от n00by (ok), 10-Июн-22, 08:47 +5 +/–

Вот это в мире ненавистной Венды называется "нубкит" (поскольку там перехват системных вызовов в пространстве пользователя требует модификацию кода, что является источником ошибок). А в Linux - вполне грамотное решение, соответствующее архитектуре ОС.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #41, #89

3. Сообщение от Аноним (3), 10-Июн-22, 08:48 –3 +/–

Дальше будет только хуже :(

Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от Аноним (4), 10-Июн-22, 08:50 +19 +/–

ну тут дело же в полученном изначально root-доступе, а не в самом механизме динамических библиотек

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6, #38, #104

6. Сообщение от n00by (ok), 10-Июн-22, 08:55 +4 +/–

Дело в том, что я сейчас напишу "читайте Хоглунда", а эксперты по руткитам полезут в поисковик.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #56

7. Сообщение от Аноним (7), 10-Июн-22, 08:55 +6 +/–

А ссылка на исходники где?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #67

8. Сообщение от Аноним (8), 10-Июн-22, 09:41 +2 +/–

когда мамкины хакепы полностью освоят ebpf, тогда линукс будет дырявее винды

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34, #88

9. Сообщение от EuPhobos (ok), 10-Июн-22, 09:49 +2 +/–

Еще никогда <s>Штирлиц</s> товарищ майор не был так близко к провалу (с)

Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от Аноним (11), 10-Июн-22, 10:20 +3 +/–

> Для установки Simbiote в систему атакующий должен иметь root-доступ
Офигенный вирус. Реквестирую сырцы под копилефт лицензией.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #71

12. Сообщение от n00by (ok), 10-Июн-22, 10:21 +/–

Жаль, что не получается составить список экспертов. Стесняются отметиться явно. С точки зрения руткита - отображение актуальной информации является нежелательным поведением. Он и исправляет "ошибку" документированным способом.
> Особенностью Simbiote является распространение в форме разделяемой библиотеки,
> которая подгружается во время запуска всех процессов при помощи механизма LD_PRELOAD
> и подменяет некоторые вызовы стандартной библиотеки.
Подгружается библиотека не сама собой, а (очень грубо) вот тут:

  /* Load all the libraries specified by DT_NEEDED entries.  If LD_PRELOAD
     specified some libraries to load, these are inserted before the actual
     dependencies in the executable's searchlist for symbol resolution.  */
  {
    RTLD_TIMING_VAR (start);
    rtld_timer_start (&start);
    _dl_map_object_deps (main_map, preloads, npreloads,
             state.mode == rtld_mode_trace, 0);
    rtld_timer_accum (&load_time, start);
  }

Из этого следуют интересные выводы:
1. обобщение "всех процессов" излишне пессимистично;
2. достаточно просто реализовать детектор руткита;
3. возможно построить систему так, что она окажется не подвержена атаке.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #19, #20, #137

17. Сообщение от Аноним (38), 10-Июн-22, 10:40 +1 +/–

"... root-доступ, который может быть получен, например, в результате эксплуатации неисправленных уязвимостей или утечки учётных записей".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

18. Сообщение от Аноним (18), 10-Июн-22, 10:49 +1 +/–

>Simbiote также позволяет обойти некоторые анализаторы активности в файловой системе, так как кража конфиденциальных данных может осуществляться не на уровне открытия файлов, а через перехват операций чтения из этих файлов в легитимных приложениях (например, подмена библиотечных функций позволяет перехватить ввод пользователем пароля или загружаемые из файла данные с ключом доступа).
Оригинально.

Ответить | Правка | Наверх | Cообщить модератору

19. Сообщение от Аноним (-), 10-Июн-22, 11:02 +/–

busybox

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #26

20. Сообщение от Аноним (20), 10-Июн-22, 11:04 +/–

А если разрешать подгрузку только таких библиотек, у которых есть цифровая подпись?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #21, #29

21. Сообщение от Аноним (-), 10-Июн-22, 11:09 +1 +/–

Что мешает подписать, если уже есть root-доступ?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #22, #28

22. Сообщение от n00by (ok), 10-Июн-22, 11:15 +2 +/–

Так подписи будет раздавать RHBM. ;)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #23, #105, #204

23. Сообщение от Аноним (-), 10-Июн-22, 11:21 +1 +/–

> RHBM
Не знаю кто это, но проверять тоже он будет или система, в которой кто-то шарится с рут-доступом (добавил свой свой сертификат и подписал им же - "доверенно")?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #24

24. Сообщение от n00by (ok), 10-Июн-22, 11:24 +/–

Куда именно добавил?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #25

25. Сообщение от Аноним (-), 10-Июн-22, 11:26 +/–

В "систему, которая проверяет"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #27

26. Сообщение от n00by (ok), 10-Июн-22, 11:27 +/–

Ход мыслей правилен, но уровень абстракции не тот. См. ldd `which busybox`

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #30

27. Сообщение от n00by (ok), 10-Июн-22, 11:28 +/–

Куда именно в "систему, которая проверяет"?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #35

28. Сообщение от Аноним (28), 10-Июн-22, 11:28 +2 +/–

Подписывают на отдельном хосте, не подключенном к сети с рутуемыми серверами.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

29. Сообщение от n00by (ok), 10-Июн-22, 11:29 +1 +/–

Да, это один из вариантов. Но надо понимать, что в прошлый раз в итоге развития идеи появился SecureBoot. :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #48

30. Сообщение от Аноним (-), 10-Июн-22, 11:31 +2 +/–

Статически слинкован, например с каким-нибудь экзотическим libc, который в добавок не знает про всякие переменные окружения LD_*

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #32

31. Сообщение от Аноним (28), 10-Июн-22, 11:34 +/–

>подменяет некоторые вызовы стандартной библиотеки
А не системные вызовы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #40

32. Сообщение от n00by (ok), 10-Июн-22, 11:36 +1 +/–

Да, это решение. Но фанаты не одобряют.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #36

33. Сообщение от Аноним (33), 10-Июн-22, 11:38 +3 +/–

> Вредоносное ПО было выявлено на системах финансовых учреждений ряда стран Латинской Америки.
Интересно, кто бы мог это написать и для чего ещё оно используется? 🤔

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37, #64

34. Сообщение от Аноним (28), 10-Июн-22, 11:38 +2 +/–

Но для пользования eDPF у нормальных пацанов нужен root. А если есть root, то и eBPF не особо нужен. Можно и свой собственный модуль ядра подгрузить, как и раньше делалось.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #106

35. Сообщение от Аноним (-), 10-Июн-22, 11:39 +/–

Куда надо. Конкретика должна исходить от того, кто предложил способ защиты злоумышленника с рут-доступом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #43

36. Сообщение от Аноним (-), 10-Июн-22, 11:41 +2 +/–

> Да, это решение.
Это решение только проблемы с LD_PRELOAD. А злоумышленник с рутом так и сидит в системе, по крайней мере до перезагрузк

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #42

37. Сообщение от Аноним (28), 10-Июн-22, 11:42 –1 +/–

След русских хакеров :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #44

38. Сообщение от Аноним (38), 10-Июн-22, 11:43 –2 +/–

А не наоборот? Впрочем в линуксе всё прекрасно: тут вам и разделяемые библиотеки, тут вам и пакетные менеджеры, тут вам и наркоманский FHS... Всё для человека, ага.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #46, #109

39. Сообщение от Аноним (28), 10-Июн-22, 11:44 +2 +/–

Так Simbiote или Symbiote?

Ответить | Правка | Наверх | Cообщить модератору

40. Сообщение от n00by (ok), 10-Июн-22, 11:49 +2 +/–

Надысь тут один специалист по Венде спрашивал, что такое "подсистема Win32". Так вот, там системный вызов "открытие файла" делается не командой int 2Eh, как могло бы показаться из лингвистической кальки с syscall или sysenter, а по условной цепочке kernel32.dll -> ntdll.dll -> SSDT в ntoskrnl.exe (это очень похоже на WinE, если не считать ядро).
И перехватываться может в любом её месте. Если кто-то пропатчил SSDT - это уже не нубкит.
При этом kernel32.dll и ntdll.dll - это стандартные библиотеки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

41. Сообщение от Big Robert TheTables (?), 10-Июн-22, 11:57 +2 +/–

диэлэл-хайджакин это называется в венде.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

42. Сообщение от n00by (ok), 10-Июн-22, 11:57 +/–

>> Да, это решение.
> Это решение только проблемы с LD_PRELOAD.
Что и обсуждается в данной ветке.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #50

43. Сообщение от n00by (ok), 10-Июн-22, 11:58 +/–

Защищающийся должен защитить систему. Атакующему он ничего не должен.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #45

44. Сообщение от Аноним (-), 10-Июн-22, 11:58 +1 +/–

Нанятых бразильским центробанком по поручению спецслужб.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

45. Сообщение от Аноним (-), 10-Июн-22, 12:01 +/–

Какой из пользователей с UID=0 защитник, какой - атакующий?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #47

46. Сообщение от n00by (ok), 10-Июн-22, 12:02 +5 +/–

Unix way - одна программа (не обсуждается в ветке) хорошо получает рут доступ, другая программа (руткит, обсуждается здесь и сейчас) хорошо закрепляется, для чего скрывает своё присутствие. Вот что прекрасно. :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

47. Сообщение от n00by (ok), 10-Июн-22, 12:04 +/–

Ищите ключи.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #49

48. Сообщение от Аноним (20), 10-Июн-22, 12:07 +/–

А если прямо им и воспользоваться, не мудрствуя лукаво...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #107

49. Сообщение от Аноним (-), 10-Июн-22, 12:12 +/–

> Ищите ключи.
К кому запрос, к пользователю - защитнику или атакующему, который "нашел ключ", чтобы получить рут-доступ?
Ты же понимаешь, что для "защиты" нужны внесистемные инструменты.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #52

50. Сообщение от Аноним (-), 10-Июн-22, 12:14 +/–

В какой, в которой ключи ищут?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #53

51. Сообщение от Аноним (51), 10-Июн-22, 12:18 +1 +/–

Где скачать?
// b.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #113

52. Сообщение от n00by (ok), 10-Июн-22, 12:20 +/–

Я понимаю, что ключ пока никто не нашёл. Совсем нет вариантов?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #54

53. Сообщение от n00by (ok), 10-Июн-22, 12:22 +/–

В ветке, которая началась с моего сообщения №1. Оно так понравилось экспертам. :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #55

54. Сообщение от Аноним (-), 10-Июн-22, 12:30 +/–

> Я понимаю, что ключ пока никто не нашёл. Совсем нет вариантов?
Злоумышленник с рутом - это кто? Тот, кто не "нашел ключ"?
Пока нет конкретики, то "злоумышленник с рутом" ничем не отличается "защитника с рутом".
Чтобы их различать, надо выйти за пределы системы, например, в ring -1,-2, tmp и прочий вендорлок security system.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #63

55. Сообщение от Аноним (-), 10-Июн-22, 12:35 +/–

Если обсуждают, что угодно, то изначальный тезис противоречивый, то есть троллинг.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #62

56. Сообщение от Аноним (56), 10-Июн-22, 12:41 +7 +/–

Я эксперт, только что вернулся из поисковика. При чём тут хоккей?!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #61

57. Сообщение от Аристарх (??), 10-Июн-22, 12:46 +1 +/–

"...например, исключают отдельные элементы в списке процессов" - вот почему бараноЛинукс - не "нечаянная революция", а "чаянная безалаберность" троечника Трольвадса!
В системе ВСЕГДА должен быть отдельный "нерушимый", незаменяемый API для таких дел, где системщик может со 100% уверенностью сказать, что именно и откуда загружено в системе.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #65, #97, #114, #118, #206

58. Сообщение от Онаним (?), 10-Июн-22, 12:48 +3 +/–

А вот и встроенный бэкдор ёBPF снова пригодился.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #59

59. Сообщение от Онаним (?), 10-Июн-22, 12:49 +6 +/–

Основной плюс ёBPF в том, что теперь бэкдоры могут одинаково хорошо работать на всех ядрах, даже модуль собирать не надо :D

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #95

60. Сообщение от Аристарх (??), 10-Июн-22, 12:54 –3 +/–

Строго говоря, замена одной неисправной библиотечки не является уязвимостью, ЕСЛИ систему не писал бы кретuн Трольвадс! Это нормальная, рабочая операция, где главная проблема - защита оригинальной либы и руками одобренная замена. Ну то есть если вирус полезет её заменять, ему даст отлуп защита файлов. И даже если через неё он проскочит и запросит замену, система обязана иметь отдельный, защищённый модуль, ПЕРСОНАЛЬНО и ИНТЕРАКТИВНО спрашивающий, можно ли заменить вот эту одну либу.
Да, звучит как-то параноидально, но только так можно держать систему стабильной.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #66, #110

61. Сообщение от n00by (ok), 10-Июн-22, 13:00 +3 +/–

Однофамилец того хоккеиста написал книжку про руткиты. Описал решаемые ими задачи и привёл примеры реализации. Переведена на русский язык. Вот здесь должно быть из неё код https://github.com/bowlofstew/rootkit.com/tree/master/hoglund

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #100, #102

62. Сообщение от n00by (ok), 10-Июн-22, 13:02 –1 +/–

Противоречий в тезисе нет. "Цитата" в кавычках верна, проблема с ошибками в библиотеках действительно так решается. И так действительно говорили. Обсуждают что угодно, поскольку не понимают предмет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #70

63. Сообщение от n00by (ok), 10-Июн-22, 13:08 +/–

Вопрос в №21  "Что мешает подписать, если уже есть root-доступ?"
Предложен сценарий атаки "подписать, если уже есть root-доступ". Но ключи не нашли. Отсутствие ключей и мешает подписать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #69

64. Сообщение от Аноним (64), 10-Июн-22, 13:09 +2 +/–

NSA, for example.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

65. Сообщение от Аноним (65), 10-Июн-22, 13:09 +/–

Да, как грамотный подход в BSD.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #121

66. Сообщение от n00by (ok), 10-Июн-22, 13:11 +4 +/–

Торвальдс написал ядро. Здесь обсуждается механизм в пространстве пользователя. Советую извиниться за слова в адрес Линуса.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #73

67. Сообщение от Адмирал Майкл Роджерс (?), 10-Июн-22, 13:12 +6 +/–

Насколько я могу помнить, исходные коды подобного программного обеспечения, как правило, имеют гриф "Для служебного пользования" или более строгий.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

68. Сообщение от YetAnotherOnanym (ok), 10-Июн-22, 13:14 +/–

Развесистая штуковина. Походу, толковые ребята писали.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #80

69. Сообщение от Аноним (-), 10-Июн-22, 13:27 +/–

Хочешь сказать, ключей в системе нет? Внесистемные инструменты?
Хотя, что мешает взломщику во взломанной системе взломать проверку ключей?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #74

70. Сообщение от Аноним (-), 10-Июн-22, 13:30 +/–

> "Цитата" в кавычках верна
Вопросов больше не имею

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #72

71. Сообщение от Аноним (71), 10-Июн-22, 13:36 +4 +/–

уже ничего особенного, дыры типа как в polkit

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

72. Сообщение от n00by (ok), 10-Июн-22, 13:38 –1 +/–

Вот и не надо зафлуживать ветку, если сказать по сути нечего. Затроллили его, бедненького, ага.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

73. Сообщение от Аноним (-), 10-Июн-22, 13:40 +/–

> Здесь обсуждается механизм в пространстве пользователя.
Только в пространстве пользователя, любой пользователь полностью изолирован от внешнего мира. Даже для того чтобы вывести "привет, мир" нужно дергать сискол.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #75

74. Сообщение от n00by (ok), 10-Июн-22, 13:41 +/–

Социальная инженерия не работает. Не нашли ключи, не подписали, закрепиться предложенным способом не удалось, до свидания.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #77

75. Сообщение от n00by (ok), 10-Июн-22, 13:47 +/–

> Даже для того чтобы вывести "привет, мир" нужно дергать сискол.
Самое удивительное, что руткит при этом не подгузится.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #78

76. Сообщение от Аноним12345 (?), 10-Июн-22, 13:53 +/–

хакеры не спят

Ответить | Правка | Наверх | Cообщить модератору

77. Сообщение от Аноним (-), 10-Июн-22, 14:05 +/–

> Социальная инженерия не работает.
Еще один "верный" тезис.
> Не нашли ключи
Интересно, как в систему попали?
Защищающийся должен доказывать, что взломщик "не нашел ключей", а не наоборот: зашел через открытую форточку, а мог бы просто окно разбит и зайти.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #82

78. Сообщение от Аноним (-), 10-Июн-22, 14:16 –1 +/–

> Самое удивительное, что руткит при этом не подгузится.
Как догадался, получил дамп выполненных в ring0 инструкций, проанализировал на вредоносность выполненные команды (полных по Тьюрингу)?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #81

79. Сообщение от гоквч (?), 10-Июн-22, 14:44 +2 +/–

Хакер и солонка

Ответить | Правка | Наверх | Cообщить модератору

80. Сообщение от anonymous (??), 10-Июн-22, 15:03 +2 +/–

Вы про eBPF?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

81. Сообщение от n00by (ok), 10-Июн-22, 15:11 +/–

> я смотрю в сообщение №12 и вижу фигу.
Бывает. Продолжайте собирать пакетики.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #83

82. Сообщение от n00by (ok), 10-Июн-22, 15:12 +/–

>> Не нашли ключи
> Интересно, как в систему попали?
Кто? Вы? Нафантазировали, что куда-то попали. На этом фантазия закончилась.
> Защищающийся должен доказывать, что взломщик "не нашел ключей", а не наоборот: зашел
> через открытую форточку, а мог бы просто окно разбит и зайти.
Мне не надо ничего доказывать. Я знаю, почему вариантов, где хранятся ключи, предложено не будет. :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #146

83. Сообщение от Аноним (146), 10-Июн-22, 15:30 +/–

> сообщение №12
И что там надо увидеть? То что, если поменять (логику) glibc, то glibc ведет себя по другому. Я уже предложил использовать другой libc (статически линковать), который понятия не имеет про LD_*.
Это решает только проблему с LD_PRELOAD. Это не решает проблему руткитов, когда уже есть рут-доступ.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #85

84. Сообщение от Аноним (84), 10-Июн-22, 15:34 +/–

почему никто ещё не задумался отчего такой путь обнаружен пока только в фин.учреждениях латинских стран? кто больше всех заинтересован в получении информации и контроля над системами в данном регионе?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #143

85. Сообщение от n00by (ok), 10-Июн-22, 15:43 +/–

> Это решает только проблему с LD_PRELOAD.
> Это не решает проблему руткитов, когда
> уже есть рут-доступ.
С какой конкретно целью Вы пытаетесь произвести подмену предмета обсуждения в ветке, где обсуждается эксплуатация механизма LD_PRELOAD?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #87

87. Сообщение от Аноним (-), 10-Июн-22, 15:58 +/–

Если есть рут доступ, можно подменить (вызовы) glibc своим "механизмом LD_PRELOAD" и другими "механизмами". Ты уже в скомпрометированной системе, это уже не твои "механизмы".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #92

88. Сообщение от Аноним (90), 10-Июн-22, 15:58 +/–

Не будет. Дырявее и корявее венды уже не будет ничего.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #124

89. Сообщение от Аноним (90), 10-Июн-22, 16:00 –1 +/–

А кого интересует мир венды в котором ничерта толком не работает. А дизайн с дефолтной темой вообще взрыв мозга. Белые рамки окон на белом фоне других окон. Это звиздец больным надо быть.
Про то что этим гауном зависающим всё при компиляции на всех ядрах вообще пользоваться нельзя.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #91, #96, #122, #227

90. Сообщение от Аноним (90), 10-Июн-22, 16:01 +/–

Да, позволяют.
Это ты смотрю не шибко понимаешь что такое разделяемые библиотеки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #93

91. Сообщение от n00by (ok), 10-Июн-22, 16:03 +/–

Да что там окна, попробуйте хотя бы инъекцию dll по Рихтеру сделать, что бы скрыть заражение системы... а тут сразу красивый механизм, ОС для программистов же.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89 Ответы: #116

92. Сообщение от n00by (ok), 10-Июн-22, 16:16 +/–

То есть цель озвучить не можете, но хотите пофлудить о сферическом коне в вакууме.
Аноним в №20 на чистой машине подписал исполняемые файлы. Ключ не нашли. Какие аргументы надо задать команде dd, что бы "подменить механизм"?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87 Ответы: #94

93. Сообщение от n00by (ok), 10-Июн-22, 16:20 +/–

Чего мне понимать - в новости подробно описана "разделяемая библиотека":
скрывают связанную с бэкдором активность
исключают отдельные элементы в списке процессов
блокируют доступ к определённым файлам в /proc
скрывают файлы в каталогах
исключают вредоносную разделяемую библиотеку в выводе ldd
не показывают связанные с вредоносной активностью сетевые сокеты.
Видите такого суслика у себя? Нет. А он есть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

94. Сообщение от Аноним (-), 10-Июн-22, 16:33 +/–

> Аноним в №20
Продолжай скакать с ветки на ветку, обвиняя "Вы пытаетесь произвести подмену предмета обсуждения"
> подписал исполняемые файлы на чистой машине.
Нет, он подписал на другой машине/системе - внесистемное решение. При этом ничего не сказано про чистоту этих систем. И да, "подпись - это не безопасность, а бюрократия", как уже было сказано в обсуждении другой новости. Подписать можно и руткит.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92 Ответы: #130

95. Сообщение от solardiz (ok), 10-Июн-22, 16:53 +4 +/–

Вне контекста верно, но как я понимаю к данному бекдору не относится - в новости здесь он описан ошибочно (отправил модераторам правку, но что-то она никак не появится). Этот бекдор лишь пассивно (то есть в ответ на событие) добавляет свой BPF-код в начало загружаемых анализаторами трафика BPF-программ (если кто-то такой анализатор запустит). Сам же бекдор активно (то есть как инициатор действия) (e)BPF не использует и никакой (e)BPF-программы по своей инициативе не загружает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #108, #115

96. Сообщение от Аноним (96), 10-Июн-22, 17:20 +3 +/–

Цвет рамок окон, конечно, имеет прямейшее отношение к дискуссии.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

97. Сообщение от Аноним (96), 10-Июн-22, 17:23 +3 +/–

Пока кто-то не встроил свой фильтр в этот API и не оказалось, что системщик получает данные, но просто не все.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

100. Сообщение от Аноним (-), 10-Июн-22, 17:54 +1 +/–

> https://github.com/bowlofstew/rootkit.com/tree/master/hoglund
> #include<windows.h>
В тему.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

101. Сообщение от Аноним (-), 10-Июн-22, 18:35 +1 +/–

> "Разделяемые библиотеки позволяют быстро исправлять ошибки" - говорили они,
А таки позволяют. И еще обеспечивают code reuse. Мсье вероятно фанат игогошных бинарников с хелловорлдом весом 6 мегабайтов. Без динамических либ это получается как-то так.
p.s. а LF_PRELOAD таки довольно легко палится вещами типа "ps wwwaxe", так что руткит воображение не поражает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #111, #132

102. Сообщение от Аноним (-), 10-Июн-22, 18:38 –1 +/–

> #include "ntddk.h"
Это что, для маздая? Очень тематично пля, мне очень интересно как гадить в NTшный кернел, аж два раза.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #103

103. Сообщение от Аноним (-), 10-Июн-22, 18:39 +2 +/–

p.s. я буду рефрешить коменты до ответа. Я буду рефрешить коменты до ответа. Я буду рефрешить коменты до ответа...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102 Ответы: #127

104. Сообщение от Аноним (-), 10-Июн-22, 18:42 +1 +/–

> а не в самом механизме динамических библиотек
А еще злодей может имя файла использовать левое, название процесса непаливное назначать, и только подумайте - скачать и запустить файлы.
Если динамические либы плохи, тогда надо и наглухо readonly filesystem, а лучше и запуск программ для надежности запретить. Вдруг гамнюки что-то в RW подмонтировать смогут?!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

105. Сообщение от Аноним (-), 10-Июн-22, 18:43 +/–

> Так подписи будет раздавать RHBM. ;)
Пока-что я сам себе подписи на кернельные модули раздаю. А в чем проблема так же с либами и бинарями сделать?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #129

106. Сообщение от Аноним (-), 10-Июн-22, 18:45 +/–

Ага, только у приличных людей там ща подписи на модули навешены. И тебе еще ключ потребуется, мой или дистровский. Где ж ты его возьмешь, ксакеп?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #178, #205

107. Сообщение от Аноним (-), 10-Июн-22, 21:02 +/–

> А если прямо им и воспользоваться, не мудрствуя лукаво...
Полная версия идеи секурбута так то проверять ВСЕХ на цепочке
ROM->бут->кернел->программы/либы
ROM не меняемый (накристальный или в R/O флехе). Это делает его anchor'ом которому можно доверять, если он знает доверяемый ключ. Он проверяет загрузчик. А тот ядро. Для продолжения цепочки ядро может отказаться запускать неподписанные программы. А (подписаный) лоадер динамических либ мог бы проверять и подпись либы, не грузя ее если подписи нет.
Таки да, полная реализация сложновата и ВСЕ дырки законоаптить в системе где о таком СРАЗУ не думали все же не очень просто. Поэтому ИНОГДА секурбутчиков посещают приколы с обломами.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

108. Сообщение от Аноним (-), 10-Июн-22, 21:06 +2 +/–

То есть эта штука еще и патчер eBFP программ? А вот это уже креативно, LD_PRELOAD так то сам по себе баян.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

109. Сообщение от Аноним (-), 10-Июн-22, 21:21 +/–

> А не наоборот? Впрочем в линуксе всё прекрасно: тут вам и разделяемые
> библиотеки, тут вам и пакетные менеджеры, тут вам и наркоманский FHS...
> Всё для человека, ага.
Пакетный менеджер имеет свои плюсы. Допустим в zlib нашли баг. Я поставил патченый пакет. Все программы в моей системе автоматически исправлены. И если я не качал хлам как маздаец я могу быть в этом более-менее уверен (после рестарта затронутых программ).
А теперь удачи так в маздайке. Вы врядли знаете сколько программ приперло _свой_ zlib.dll или даже статически влинковало его унутрь. Нету в маздайке культуры реюза кода и тем более его оперативного патчинга.
Поэтому есть отличная от ноля вероятность что вас можно до сих пор огреть винтажным, общеизвестным багом, если какая-то программа в вашей системе процессила внешние файлы или сетевой траффик такой либой. И ничего с этим в маздайке особо сделать нельзя. А вон пропатчьте мультиплеер HMM III в виндохном бинаре, которому можно по сети взять и укатать, за то что ископаемый zlib статически слинковали, дескать. А в этом моем линухе VCMI так то пропатчится на раз в таком же случае...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #125, #128

110. Сообщение от Michael Shigorin (ok), 10-Июн-22, 21:23 +1 +/–

> ПЕРСОНАЛЬНО и ИНТЕРАКТИВНО спрашивающий
Может, ещё книжку для укладки на энтер услужливо подсовывающий?
Торвальдс не обидится, поскольку не прочёт -- а вот Даннинг с Крюгером где-то ехидно ухмыляются...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

111. Сообщение от Michael Shigorin (ok), 10-Июн-22, 21:24 +/–

> p.s. а LF_PRELOAD таки довольно легко палится вещами типа "ps wwwaxe"
Некоторые, кстати, троянят procps, но не psmisc...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #142

112. Сообщение от Andy (??), 10-Июн-22, 21:26 +/–

Как такую срань найти ?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #117, #134, #232

113. Сообщение от Michael Shigorin (ok), 10-Июн-22, 21:28 +/–

> Где скачать?
> // b.
У себя в ЛА-банке, очевидно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

114. Сообщение от Michael Shigorin (ok), 10-Июн-22, 21:31 –1 +/–

> троечника Трольвадса!
Вы так и будете старательно доказывать, что лично Вам не натянуть даже кол?
(нет, можете, конечно, представить опровержение в виде доказательства концепции хотя бы в псевдокоде для псевдожелеза -- не забыв указать, что именно должно уметь псевдожелезо -- но сдаётся мне, что, конечно, не можете)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

115. Сообщение от Michael Shigorin (ok), 10-Июн-22, 21:33 +2 +/–

> (отправил модераторам правку, но что-то она никак не появится)
Спасибо!
"и подстановка дополнительного кода в загружаемые в ядро BPF-программы" -- это уже Ваш текст?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95 Ответы: #119

116. Сообщение от Аноним (-), 10-Июн-22, 23:06 +/–

> Да что там окна, попробуйте хотя бы инъекцию dll по Рихтеру сделать,
> что бы скрыть заражение системы... а тут сразу красивый механизм, ОС
> для программистов же.
У винды есть и некий почти полный эквивалент LD_PRELOAD через реестр вроде. Хотя могу и прогнать, давно интересовался.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #133

117. Сообщение от Аноним (-), 10-Июн-22, 23:09 +/–

> Как такую срань найти ?
Для начала зазырить переменные окружения любым известным вам способом и если там LD_PRELOAD, и это не вы прописали - у вас, скорее всего, какая-то пакость.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112 Ответы: #135

118. Сообщение от Аноним (-), 10-Июн-22, 23:13 +1 +/–

> В системе ВСЕГДА должен быть отдельный "нерушимый", незаменяемый API для таких дел,
> где системщик может со 100% уверенностью сказать, что именно и откуда
> загружено в системе.
И каждый первый хацкер будет пытаться это апи перехватить. Потому что нерушимый софт это прикольно конечно, но 100% уверенность в этом может испытывать только полный профан.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

119. Сообщение от solardiz (ok), 11-Июн-22, 00:28 +/–

Да. Спасибо. И можно на ты.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115

120. Сообщение от srgazh (ok), 11-Июн-22, 00:28 +/–

систему атакующий должен иметь root-доступ -- да уж

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #177

121. Сообщение от Аноним (-), 11-Июн-22, 00:40 +1 +/–

> Да, как грамотный подход в BSD.
Он обычно оказывается не от мира сего. И единственная причина по которой джо неуловим - он всем похрен. А когда все же каким-то чудом не похрен, случается как в рассылке опенбсд с виртуалками.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

122. Сообщение от Аноним (-), 11-Июн-22, 00:58 +/–

>  А дизайн с дефолтной темой вообще взрыв мозга. Белые рамки окон на белом фоне других окон. Это звиздец больным надо быть
Поставь себе третьегном, не мучайся

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

123. Сообщение от pavlinux (ok), 11-Июн-22, 01:09 +1 +/–

> Для установки Symbiote в систему атакующий должен иметь root-доступ
Дальше не читал

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #136, #176

124. Сообщение от Аноним (-), 11-Июн-22, 01:53 +4 +/–

Дырка номер 100500 в линупce, но плохая все равно винда. Чотаржу

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #179

125. Сообщение от Аноним (-), 11-Июн-22, 01:56 –2 +/–

> Я поставил патченый пакет. Все программы в моей системе автоматически отвалились
Исправил, не благодари

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109 Ответы: #169

126. Сообщение от microsoft (?), 11-Июн-22, 08:16 +/–

Хорошая реклама. Где мне его взять?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #145

127. Сообщение от n00by (ok), 11-Июн-22, 09:52 +/–

Ответа кому? Смысл вести с вами дискуссии? На что вы, господа безымянные теоретики, можете сослаться для придания хоть какого-то веса своему мнению? Работа Хоглунда - какая-никакая, но уже классика. Описывает на частных примерах общие принципы, показывает развитие - каким оно было там и каким оно грядёт здесь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #131, #168

128. Сообщение от Аноним (38), 11-Июн-22, 09:55 +1 +/–

> Допустим в zlib нашли баг. Я поставил патченый пакет. Все программы в моей системе автоматически исправлены.
Об этом должен беспокоиться разработчик конкретной программы, а не разработчик ОС или тем более пользователь. Не?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109 Ответы: #141, #171

129. Сообщение от n00by (ok), 11-Июн-22, 10:16 +/–

Для Вас не вижу проблем, коль сходу предлагаете решение. Исходники открыты, можно дорабатывать. А вот этим, у кого вся свобода заключается в "лишь бы не как в венде" и трендовых сетах иконок, RH/IBM и будет подписывать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

130. Сообщение от n00by (ok), 11-Июн-22, 10:20 +/–

> Нет, он подписал на другой машине/системе - внесистемное решение.
Зер гуд, Вольдемар. Я, я, дас штиммт! Тебе полагается тёплый суп.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

131. Сообщение от InuYasha (??), 11-Июн-22, 10:22 +1 +/–

Может, это те ребята, которые пишут "Dow do I wrote root kit for Linux?" на StackOverflow.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127 Ответы: #138

132. Сообщение от n00by (ok), 11-Июн-22, 10:26 +1 +/–

>> "Разделяемые библиотеки позволяют быстро исправлять ошибки" - говорили они,
> А таки позволяют. И еще обеспечивают code reuse. Мсье вероятно фанат игогошных
> бинарников с хелловорлдом весом 6 мегабайтов. Без динамических либ это получается
> как-то так.
Мсье, очевидно, теоретик. У меня на Си++ std::cout << "хелловорлд"; получался в 25 кб.
> p.s. а LF_PRELOAD таки довольно легко палится вещами типа "ps wwwaxe", так
> что руткит воображение не поражает.
Воображение поражает - что LF_PRELOAD это уровень ЧаВо на хеккерном форуме, оно работает, а эксперты зарывают голову в землю, подобно страусам.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #156

133. Сообщение от n00by (ok), 11-Июн-22, 10:34 +/–

Там в реестре наверняка много всякого интересного, и даже тело трояна можно найти. Насколько понимаю, злоупотребление эквивалентом им немножко надоело: Starting in Windows 8, the AppInit_DLLs infrastructure is disabled when secure boot is enabled. https://docs.microsoft.com/en-us/windows/win32/dlls/secure-b...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116 Ответы: #173

134. Сообщение от n00by (ok), 11-Июн-22, 10:44 +1 +/–

Классический способ по мотивам RootkitRevealer Руссиновича: пишем приложение, которое получает список загруженных библиотек. На Си. Собираем в двух вариантах: обычная линковка и статическая без внешних библиотек вообще (т.е. и без загрузчика). Получаем два списка. Сравниваем. Имеем ввиду, что ядерные руткиты так не детектируются.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112 Ответы: #174

135. Сообщение от n00by (ok), 11-Июн-22, 10:47 +1 +/–

Тут лучше не любым известным, а загрузив чистую систему с внешнего накопителя.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117 Ответы: #149

136. Сообщение от n00by (ok), 11-Июн-22, 10:51 –1 +/–

> как только атакующий получил root доступ, следует  ̶р̶а̶з̶д̶в̶и̶н̶  перестать читать.
Зер гуд, Вольдемар!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123

137. Сообщение от InuYasha (??), 11-Июн-22, 10:51 +/–

Предлагаешь отключить _dl_map_object_deps всем-всем-всем из юзерспейса?
(с сисколами и проганьем под линукс знаком не очень)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #139

138. Сообщение от n00by (ok), 11-Июн-22, 11:21 +/–

Вы хотеть, пожалуйста, посетить эту ссылка https://github.com/search?q=linux+rootkit
Я нажать "мне повезёт" и найти https://github.com/milabs/awesome-linux-rootkits
user mode rootkits
    https://github.com/mempodippy/vlany
    Linux LD_PRELOAD rootkit (x86 and x86_64 architectures)
    https://github.com/unix-thrust/beurk
    BEURK is an userland preload rootkit for GNU/Linux, heavily focused around anti-debugging and anti-detection.
    https://github.com/chokepoint/azazel
    Azazel is a userland rootkit based off of the original LD_PRELOAD technique from Jynx rootkit.
    https://github.com/chokepoint/Jynx2
    JynxKit2 is an LD_PRELOAD userland rootkit based on the original JynxKit.
    https://github.com/chokepoint/jynxkit
    JynxKit is an LD_PRELOAD userland rootkit for Linux systems with reverse connection SSL backdoor
    https://github.com/NexusBots/Umbreon-Rootkit
    LD_PRELOAD based
    https://github.com/ChristianPapathanasiou/apache-rootkit
    A malicious Apache module with rootkit functionality

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131

139. Сообщение от n00by (ok), 11-Июн-22, 11:41 +/–

Зачем сразу запрещать. Было интересно, сколько возникнет подобных вопросов ("что с этим делать") и вариантов решений. Например, можно переименовать LD_PRELOAD... или перевести на русский.)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #137 Ответы: #155

140. Сообщение от mos87 (ok), 11-Июн-22, 11:44 +/–

неплохо

Ответить | Правка | Наверх | Cообщить модератору

141. Сообщение от Аноним (141), 11-Июн-22, 12:03 +/–

Единое окружение операционной системы собирает разработчик ОС, а не автор конкретной программы, автор программы не знает кто, где и как будет программу использовать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128 Ответы: #144

142. Сообщение от n00by (ok), 11-Июн-22, 12:14 +/–

Это они не открыли Бритву Оккама - не надо прятать то, чего нет. Есть же ещё один хороший удобный механизм - DKMS.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

143. Сообщение от mos87 (ok), 11-Июн-22, 12:21 +/–

жырно шо аж Михоил не стал клевать

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84

144. Сообщение от Аноним (38), 11-Июн-22, 12:23 +3 +/–

Вот поэтому самая правильная схема -- "ОС отдельно, программы отдельно".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #141 Ответы: #152, #157, #172

145. Сообщение от n00by (ok), 11-Июн-22, 12:35 +/–

У Микрософта же. https://github.com/search?q=LD_PRELOAD+rootkit

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126

146. Сообщение от Аноним (146), 11-Июн-22, 12:59 +/–

> Я знаю, почему вариантов, где хранятся ключи, предложено не будет.
Потому что ты оффтопщик - админ подкроватного IIS-сервера, который сам не знает?
Ты давай конкретику, как ты защищаешь _скомпрометированную_ систему, которую лучше заморозить до абсолютного нуля и отдать в музей безопасникам.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #147

147. Сообщение от n00by (ok), 11-Июн-22, 13:33 +/–

>> Я знаю, почему вариантов, где хранятся ключи, предложено не будет.
> Потому что ты оффтопщик - админ подкроватного IIS-сервера, который сам не знает?
Нет, ты не угадал, у меня нет IIS-сервера под кроватью.

> Ты давай конкретику, как ты защищаешь _скомпрометированную_ систему, которую лучше заморозить
> до абсолютного нуля и отдать в музей безопасникам.
Сначала расскажи, почему ты не смог её сам найти.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #146 Ответы: #148

148. Сообщение от Аноним (-), 11-Июн-22, 14:01 +/–

Что мне находить? Отключение integrity, когда у меня есть рут? Прописывание в загрузчик своего исправленного ядра со своими модулями, ключами, своей командной строкой, когда у меня есть рут? Какой еще вариант комбинаторного взрыва нужен, когда у меня есть рут?
Ты давай конкретику, как ты защищаешь уже взломанную систему? Вся эта твоя защита должна работать до взлома.
Эта новость - просто реклама службы безопасности, какие они "хорошие" нашли LD_PRELOAD во взломанной системе.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #147 Ответы: #151

149. Сообщение от Andy (??), 11-Июн-22, 15:03 +1 +/–

Дык при загрузке с флешки LD_Preload будет с флешки
А смотреть на всхаченной системе - так там и окружение можно подправить ;)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #135 Ответы: #150, #154

150. Сообщение от n00by (ok), 11-Июн-22, 15:52 +/–

> Дык при загрузке с флешки LD_Preload будет с флешки
В чистой системе?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149

151. Сообщение от n00by (ok), 11-Июн-22, 15:57 +/–

> Что мне находить?
Теряешь контекст? Требовал конкретику. У меня она есть и давно в виде кода. К данному сценарию, кстати, подходит.
> Отключение integrity, когда у меня есть рут? Прописывание в
> загрузчик своего исправленного ядра со своими модулями, ключами, своей командной строкой,
> когда у меня есть рут? Какой еще вариант комбинаторного взрыва нужен,
> когда у меня есть рут?
> Ты давай конкретику, как ты защищаешь уже взломанную систему? Вся эта твоя
> защита должна работать до взлома.
Ещё раз - я тебе ничего не должен. Я вижу, что дискутировать на данную тему с тобой нет смысла, поскольку ты не умеешь сценарий атаки сформулировать.
> Эта новость - просто реклама службы безопасности, какие они "хорошие" нашли LD_PRELOAD
> во взломанной системе.
Крайне глубокая мысль. Стоило с неё сразу начать и на ней закончить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #148 Ответы: #153

152. Сообщение от n00by (ok), 11-Июн-22, 16:14 +/–

В этом месте возникает конфликт интересов. Есть специальный человек - майнтайнер (почему-то не любят переводить на русский) - собирает программу под конкретную ОС. Этот человек принимает решения по устройству ОС. При этом указанная схема - это компетенция архитектора, насколько я понимаю.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144

153. Сообщение от Аноним (-), 11-Июн-22, 16:55 +/–

> Теряешь контекст? Требовал конкретику
Это ты давно потерял контекст. Раздул "проблему LD_PRELOAD" до размеров слона.
Ты, давай, показывай конкретику - свой недоступный код, который защищает от пользователя root.
Подсказка, недавно в ядро добавили "механизм" ограничения пользователя root.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #151 Ответы: #158

154. Сообщение от швондер (?), 11-Июн-22, 16:57 +/–

Как вариант, запустить что-либо с LD_PRELOAD и убедиться в том, что свой LD_PRELOAD виден у запущенного процесса. Но опять же - возможна чистка только определенной вгружаемой библиотечки. Поэтому ваш LD_PRELOAD будет отображаться в /proc/pid/environ, искомый нет. Подключившись к процессу с gdb возможно чтение environ в первом фрейме. Но вообще переменная environ может быть недостоверна - её тоже вполне по силам чистить.
Далее, вгруженная библиотека должна быть видна в /proc/пид/maps - с теми же соображениями о степени доверия к результатам любого чтения.
Таким образом, надо убедиться в первую очередь в том, что чтение не подменено. Это можно пробовать сделать через сравнение числа потраченных инструкций цпу - время выполнения - на заведомо чистой и целевой системах. выполнять  perf record/stat и опираться на счетчик выполненных инструкций.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149 Ответы: #192, #235

155. Сообщение от Аноним (-), 11-Июн-22, 16:59 +1 +/–

> Например, можно переименовать LD_PRELOAD
Вот это уровень!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #139 Ответы: #160

156. Сообщение от Аноним (-), 11-Июн-22, 17:09 +/–

> У меня на Си++ std::cout << "хелловорлд"; получался в 25 кб.
ldd покажешь?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #132 Ответы: #159

157. Сообщение от Аноним (-), 11-Июн-22, 17:33 +/–

> ОС отдельно
> программы отдельно
Дистрибутив AltMinixZverBD отдельно

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144

158. Сообщение от n00by (ok), 11-Июн-22, 18:50 +/–

>> Теряешь контекст? Требовал конкретику
> Это ты давно потерял контекст. Раздул "проблему LD_PRELOAD" до размеров слона.
Ты не проблема вовсе. Если ты не готов к конструктивному диалогу по вопросу LD_PRELOAD, но тебя триггернуло исходное сообщение и не даёт спокойно жить, я вынесу из "общения" с тобой иную пользу. Мне так или иначе придётся сталкиваться с фанатиками, с этим надо что-то делать, вас надо уметь вовремя распознать.
> Ты, давай, показывай конкретику - свой недоступный код, который защищает от пользователя
> root.
Давать тебе будет жена. Достаточно доходчиво?
> Подсказка, недавно в ядро добавили "механизм" ограничения пользователя root.
Рад за тебя, ты опять умудрился приплести пользователя root к другой теме.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #153 Ответы: #161

159. Сообщение от n00by (ok), 11-Июн-22, 18:54 +/–

Она не понимает PE/COFF.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #156 Ответы: #162

160. Сообщение от n00by (ok), 11-Июн-22, 19:02 +/–

>> Например, можно переименовать LD_PRELOAD
> Вот это уровень!
А то. Сджипиэлил из #30:
"не знает про всякие переменные окружения LD_*"
;)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155 Ответы: #164

161. Сообщение от Аноним (-), 11-Июн-22, 19:03 +/–

> Если ты не готов к конструктивному диалогу по вопросу LD_PRELOAD
Какой конструктив, если ты не даешь никакой конкретики. Вместо этого скачешь то на проверку целостности (запускаемых) файлов, то обвиняешь непонятно в чём разделяемые библиотеки во взломанной системе.
Присутствие в системе руткита - это уже отсутствие доверия к системе, включая проверку целостности файлов, так как руткит уже обошел эту проверку. И неважно как попал в систему руткут - сознательно  или бессознательно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #158 Ответы: #163

162. Сообщение от Аноним (-), 11-Июн-22, 19:12 +/–

> Она не понимает PE/COFF.
В тему.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #159 Ответы: #165

163. Сообщение от n00by (ok), 11-Июн-22, 19:15 +/–

>> Если ты не готов к конструктивному диалогу по вопросу LD_PRELOAD
> Какой конструктив, если ты не даешь никакой конкретики.
Успокойся уже. Сделай 10 вдохов. Сделал? Теперь читай дальше.
В №21 ты собрался что-то там подписывать. Цитирую:
"Что мешает подписать, если уже есть root-доступ?"
При этом ты не дал никакой конкретики, а попытался переложить бремя доказательства невозможности сферической конной атаки на оппонента.
Если бы ты предположил что-то вроде "у тебя подписи хранятся вон там? значит я делаю так" - это уже сценарий, его можно обсуждать.
> Вместо этого скачешь то
> на проверку целостности (запускаемых) файлов, то обвиняешь непонятно в чём разделяемые
> библиотеки во взломанной системе.
> Присутствие в системе руткита - это уже отсутствие доверия к системе, включая
> проверку целостности файлов, так как руткит уже обошел эту проверку. И
> неважно как попал в систему руткут - сознательно  или бессознательно.
В прошлом сообщении вместо "руткит" было "рут". Но скачу я, ага. ;)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161 Ответы: #167

164. Сообщение от Аноним (-), 11-Июн-22, 19:19 +1 +/–

> "переименовать" = "не знать"
"Научный подход" security by obscurity в действии!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #160 Ответы: #166

165. Сообщение от n00by (ok), 11-Июн-22, 19:20 +/–

>> Она не понимает PE/COFF.
> В тему.
Ещё бы. Ведь это _у_тебя_ исполняемый файл 6 гигабайт и масса руткитов закрепляется штатным методом, будто бы так и надо, поэтому я клятый виндузятник. =) Ты думаешь, что я в Линуксе так не смогу сделать? Потому что сам не можешь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #162 Ответы: #170

166. Сообщение от n00by (ok), 11-Июн-22, 19:25 +/–

>> "переименовать" = "не знать"
> "Научный подход" security by obscurity в действии!
Ну да. Зеркало то работает. Вон как ты себя разоблачаешь. =)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #164

167. Сообщение от Аноним (-), 11-Июн-22, 19:37 +/–

Руткит - это "кит", который работает как "рут". С точки зрения системы ничем не отличима от человека-пользователя "рут"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #163 Ответы: #188

168. Сообщение от Аноним (-), 11-Июн-22, 19:46 +/–

> Ответа кому? Смысл вести с вами дискуссии? На что вы, господа безымянные
> теоретики, можете сослаться для придания хоть какого-то веса своему мнению? Работа
> Хоглунда - какая-никакая, но уже классика. Описывает на частных примерах общие
> принципы, показывает развитие - каким оно было там и каким оно грядёт здесь.
Понимаешь, человек, от ТЕБЯ много СПАМА. Бесполезного и/или офтопичного. Ты спамер. Который развел меня на клик вообще совсем офтопичной репы "хоккеиста" в гитхабе. Это нехорошо с твоей стороны в топике про линукс и то что под него водится.
1) Видишь ли, общие принципы руткитов, дебага, takeovera'а системы и проч достаточно просты в понимании - как общая концепция. Это может понять неглупый школьник.
2) Те кто минимально интересоваося темой может усвоить 1) довольно быстро. С намного меньшим объемом мучений нежели одупление в код с "ntddk.h".
3) Линь все же не винда и изучать тему на примере маздая при интересе к линуксу не работает. Это разные системы, с разными кишками, а самое сложное таки в конкретике и деталях а не в общих концепциях.
4) Максимум что ты смог показать про Linux это LD_PRELOAD баяны. Я и без тебя пару либ под LD_PRELOAD накодил, что как бы намекает на "уровень" такого "руткита". Коенчно я до руткита не доделывал, просто поиздевался над программами себе по приколу посмотреть как они на неожиданные отлупы реагируют. Но это та же технология, что намекает на общий ее "уровень". Это выбор чайников и нубов, ну или вот казуально поразвлечься впарив софту странные отлупы.
TL;DR было бы намного круче если бы ты какие-то продвинутости под линух показать мог, а не под маздай в ветке по линуксу. Но ты этого кажется не могешь. А гарцевать ntddk в ветке про линь таки фэйл. С аудиторией не угадал.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127 Ответы: #187

169. Сообщение от Аноним (-), 11-Июн-22, 19:51 +/–

>> Я поставил патченый пакет. Все программы в моей системе автоматически отвалились
> Исправил, не благодари
Нехрен арчем и гентой в проде пользоваться. В нормальных дистрах майнтайнеры вот реально только вулн запалчат - и все! Чему там вообще отваливаться? Предпосылок нет. Заодно так наверное чуть понятнее почему у вменяемых дистров вместо гонки за свежаком специфичные полися по типу того что между релизами как максимум минорные версии подтягивают, но никаких крупных инноваций. Вот как раз чтобы прод не разваливался как у арчегент.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125 Ответы: #220

170. Сообщение от Аноним (-), 11-Июн-22, 20:01 +/–

Ты не виляй хвостом, показывай импорты и экспорты или как у там у вас оффтопщиков это называется. Можешь даже скриншотом, если с утилитами командной строки не справишься.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #165 Ответы: #189

171. Сообщение от Аноним (-), 11-Июн-22, 20:04 +/–

> Об этом должен беспокоиться разработчик конкретной программы, а не разработчик ОС или
> тем более пользователь. Не?
Проблема в том что в результате
1) Все отдано на откуп легиону каких-то раздолбаев. Или не раздолбаев. Как повезет.
2) Никаких более-менее гарантированных однотипных политик реакции на вулны у Васянов нет. А у половины Васянов вообще не прописано как они на это реагируют - им просто пофиг.
3) Васян кстати ни разу не майнтайнер либы и только пользуется ей без заморочек. Поэтому за вулнами не следит.
4) Эффективного механизма пингануть всех "Васянов" пользовавшихся "zlib" с запросом это починить - в маздайке просто нет.
Итого: в линуксе содержать систему и софт в ней в надлежащем виде может быть в десятки раз проще. Я из винды на пингвины ушел, имел возможность сравнить как оно. И пакетный менеджер некисло меня разгружает от упомянутой рутины. Для меня это очень большой плюс Linux как системы. Все потуги майков, что vcpkg, что маздайстор решали что угодно кроме вот этого комплекса проблем. В осномном либо лок на свою экосистему, либо выцыганивание денег в пользу тех кому лично мне платить денег просто жалко, когда есть открыто, бесплатно и тупо лучше чем вон то.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128 Ответы: #229

172. Сообщение от Аноним (-), 11-Июн-22, 20:07 +/–

> Вот поэтому самая правильная схема -- "ОС отдельно, программы отдельно".
Не, спасибо, я видел как это в маздае работает. Крайним почему-то я оказываюсь, убивая в цать раз больше времени на поддержание программ и системы в секурном состоянии и имея нежилые траблы с пониманием все ли реально up to date или нет. Извините но такое управление софтом и системой называется словом "маздай".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144 Ответы: #175

173. Сообщение от Аноним (-), 11-Июн-22, 20:25 +/–

> Там в реестре наверняка много всякого интересного, и даже тело трояна можно найти.
Ну вот сколько я себя помню, в винде всегда было более 9000 способов налететь на грабли. Для меня винды - слишком сложная, мутная, проприетарная и в целом недружественная система. Я не пользуюсь этим - и никогда не буду уже, имхо.
> https://docs.microsoft.com/en-us/windows/win32/dlls/secure-b...
У меня винды нет, мне честно говоря ортогонально. Но я не удивлюсь если окажется еще 20 способов приколоться, половина всеми забытые с времен какого-нибудь Win3.x небось.
Во всяком случае в свое время я смог в винде делать стелс-процессы которые тупо не видно в менеджере задач. Заметь, без руткитов - просто абибосом штатного лоадера странными извратами с форматом файлов и необычным запуском. Черт знает чем оно меня считало, вероятно или еще не запущенным или уже завершенным процессом, в то время как код по факту работает - только не приписан ни к чему, во всяком случае, в штатном таскменеджере его просто нет.
Поскольку я не малварщик я лишь развел пару знакомых админов которые долго чесали репу как это вообще в таком виде возможно. Линукс кстати подобными методами развести не удалось, хоть в процессе я и научился похожие "странные гибриды". Но там что бы я ни делал, задача всегда засчитывается и так чтобы ее совсем не было в типовых списках без вот именно хака - так вроде не бывает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #133 Ответы: #190

174. Сообщение от Аноним (-), 11-Июн-22, 20:35 +/–

> Классический способ по мотивам RootkitRevealer Руссиновича: пишем приложение, которое
> получает список загруженных библиотек. На Си. Собираем в двух вариантах: обычная
> линковка и статическая без внешних библиотек вообще (т.е. и без загрузчика).
> Получаем два списка. Сравниваем. Имеем ввиду, что ядерные руткиты так не
> детектируются.
Еще можно врубить мозг - и черт с ним с русиновичем - у нас тут линукс же. Читаем ман на execve и кто такой env по факту. Пишем тупую как дрова программу печатающую свой env, который структурно что-то типа argv[] по смыслу. Т.е. просто регион в памяти, его печать не требует сисколов вообще, перехватывать так то нечего. И вот это очень на руку.
А в чем пойнт? Даже если руткитчик попортит вывод ps и проч, если он глобально себя всем впихивает - пропатчить кус памяти с env, да еще после запуска программы, когда левая либа нам уже вгрузилась, но мы еще не получили инициативу (довольно узкое окно возможностей) не то чтобы невозможно, но технически довольно неудобно, не совсем очевидно и есть шанс что руткитчик про это тупо забыл или в силу возни забил. Конечно это не панацея, но чем более неожиданный фокус мы сделаем, тем менее вероятно что у руткита там "все схвачено".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134 Ответы: #191

175. Сообщение от Аноним (38), 11-Июн-22, 21:09 +1 +/–

Ну не знаю... По-моему ситуация когда пользовательские приложения делят либы с осью -- это маразм высшей категории. В идеале наверное должно быть разделение на собственно операционную систему, системные утилиты и на пользовательские приложения, а как оно там будет слинковано -- над этим уже можно думать. Ну и с точки зрения безопасности приложения (за которое должен отвечать его автор, а не разработчик ОС или мэинтейнер) мне кажется, что лучше это изначально решать с помощью механизмов изоляции, чем гнаться без конца за свежими версиями библиотек.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #172 Ответы: #181, #221

176. Сообщение от Аноним (71), 11-Июн-22, 21:32 –1 +/–

> иметь root-доступ
да хоть через дыры в polkit! заиметь сейчас рут - вообще не проблема.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123 Ответы: #202

177. Сообщение от Аноним (71), 11-Июн-22, 21:33 +1 +/–

рассказать способы, или сам загуглишь новости о многолетних дырах?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120 Ответы: #186

178. Сообщение от Аноним (178), 11-Июн-22, 23:19 +/–

Далеко у всех приличных людей? Подписывать модули это уже почти ракетная наука.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106 Ответы: #182

179. Сообщение от Аноним (178), 11-Июн-22, 23:20 –2 +/–

Ты ещё далеко не все вендовые пересчитал.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124 Ответы: #184

180. Сообщение от У меня вопрос (?), 11-Июн-22, 23:59 +5 +/–

Решил поизучать сети. Поставил в Ubuntu анализатор Wireshark.
При первом запуске он выдал сообщение:
> couldn't run /usr/bin/dumpcap in child process: permission denied
В инете посоветовали ввести в консоль:
> sudo chmod +x /usr/bin/dumpcap
Помогло. Но что такое dumpcap? Это что-то системное, или относится только к Wireshark? Почему при установке Wireshark оно автоматом не настраивается на пользователя? Почему надо дополнительно вводить такую команду? Не навредит ли это безопасности?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #183

181. Сообщение от Аноним (-), 12-Июн-22, 03:16 +/–

> Ну не знаю... По-моему ситуация когда пользовательские приложения делят либы с осью
> -- это маразм высшей категории.
А по моему...
1) В моем случае деление на "систему" и "пользовательские приложения" условно. Есть репы. Из репов я набираю ту или иную систему под ту или иную задачу, компонуя пакеты так или иначе. Нормальный модульный подход. Очень круто, ежели научиться им пользоваться. Можно кастомные образа систем под специфичные задачи кроить быстро и без напряга. А, извините, с маздайкой это не получится по еще более 9000 причин. Потому и называется маздайкой в моем лексиконе.
2) Либы обеспечивают очень эффективный code reuse. А также эффективное расходование ресурсов. Если вы в винде запустите пять кутевых программ, вы поимеете пять жирных копий приватных версий кутя в памяти. У меня будет висеть ОДНА копия библы кутей НА ВСЮ ОРАВУ. И жрать RAM один раз на все 5 программ.
3) Заменив либу на фикшеную я уверен что починилось ВСЕ. Ежели отучаться качать всякий варез с левых сайтов как маздайщики, конечно. Я конечно иногда качаю сорсы с разных реп, однако билдуется оно таки именно с теми же системными либами как и софт из дистров, а если результат нравится то он и в пакет заворачивается для порадка и трекинга чем еще я в системе намусорил.
4) Персонально я в гробу видел всякие варезоподобные проприетарные блобы. Это просто никогда не будет запущено на моих системах "for security reasons". Я для себя решил вот так. И это хрен оспоришь.
5) Кроме всего прочего 4) делает меня архитектурно независимым. Я могу все мои воркфлоу на любой процессорной архитектуре, будь то ARM64 или RISCV они вполне могут стать моей следующей платформой. И на моем персональном уровне я буду очень рад отделаться от х86 с всеми их ME, PSP, BootGuard'ами и secureboot-ами где я с ножом к горлу "должен" доверять мерзкософту. Нихрена я им не должен. Особенно - доверять их проприетарной блоботе и ключам.
> В идеале наверное должно быть разделение на собственно операционную систему,
> системные утилиты и на пользовательские приложения,
У меня как-то сильно другие идеалы, мне наоборот унифицированная модульная архитектура где я сам для себя решу что система - здорово удобнее. А с чего вдруг какие-то левые хрены лучше меня будут знать что я системой считаю, а что нет?
> а как оно там будет слинковано -- над этим уже можно думать. Ну и с точки
> зрения безопасности приложения (за которое должен отвечать его автор,
А мне вот удобно что всесто этого отвечают майнтайнеры, и ВСЕ они придерживаются характерных, унифицированных, ПРЕДСКАЗУЕМЫХ полисей. Которые мне достаточно прочитать и понять 1 раз а не 9000 раз - для каждой из установленных программ.
> а не разработчик ОС или мэинтейнер) мне кажется, что лучше это изначально решать
> с помощью механизмов изоляции, чем гнаться без конца за свежими версиями библиотек.
А мне вот удобно когда предсказуемые унифицированные политики применяются КО ВСЕМУ. И столь же удобно когда все унифицировано рулится, могу поставить эти компоненты, а эти выпилить. Сам решив что для меня система, и что нужно, а что в пень. В винде же майки это вообще никогда нормально не умели. Поэтому там и инсталл компонентов винды горбатый, и с софтом так же, а на 500 машин в автоматическом режиме софт поставить - не то что совсем нельзя, но там такие грабли со всем этим... а на линухе это даже нуб однострочником сможет за полчаса оформить, даже голыми руками, хотя есть дюжина систем автоматизации развивающие идею.
Как-то так и понимаешь что мощная система для продвинутого технаря которому не пофиг на свою эффективность, а что инструмент офисных планктошек обклацывающих 200 файлов вручную.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #175 Ответы: #196, #203

182. Сообщение от Аноним (-), 12-Июн-22, 03:29 +/–

> Далеко у всех приличных людей? Подписывать модули это уже почти ракетная наука.
Эта ракетная наука для стоковых модулей вообше билдсистемой кернела ворочается совсем без напрягов с моей стороны. А сторонние модули подписывать так то довольно исключительная ситуация, хорошо что она очень явно и отдельно делается, гарантирует что случайно черти-что врядли пролезет. А какой смысл в подписях если их лепить на любой мутный трэш? Ну вон майковскими ключами подписана часть малвари, а отзывать ключи не будем дескать - у легитимных юзеров загрузка системы сломается!!!111 Оно мне в таком виде надо? Пусть майки такую безопасТность своим виндохомчкам впаривают :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #178

183. Сообщение от Аноним (-), 12-Июн-22, 03:39 +5 +/–

> Помогло. Но что такое dumpcap? Это что-то системное, или относится только к Wireshark?
"man dumpcap" не пробовали? Это прога из комплекта wireshark для захвата сетевого трафа :)
> Почему при установке Wireshark оно автоматом не настраивается на пользователя?
> Почему надо дополнительно вводить такую команду? Не навредит ли это безопасности?
Потому что весьма деликатная штука. Видите ли, загребание вообще совсем всего трафика - делает юзера почти богом в системе. В том аспекте что он может перехватывать трафик других юзеров и все такое. В многопользовательской системе по умолчанию такое паскудство как бы не ожидается.
Как я понимаю - у вас теперь вообще любой пользователь может полностью перехватывать сетевой траф. Что довольно так себе с точки зрения безопасности. По изначальной задумке это должен мочь только привилегированый пользователь (root). Но да, пуск wireshark под рутом чреват другим моментом: в случае багов в самом wireshark атакующий в случае чего убедит его что-то левое сделать с правами рута, что тоже так себе.
Технически пакетный менеджер ставит пакеты в контексте рута, и я не уверен что он вообще знает какой именно юзер его пнул чтобы именно ему дать повышенные права. Хотя может быть это и можно. В общем там на самом деле довольно хитрая проблема безопасности.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #180 Ответы: #200

184. Сообщение от InuYasha (??), 12-Июн-22, 11:04 +/–

В винде не дыры, а отверстия!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #179

186. Сообщение от InuYasha (??), 12-Июн-22, 11:26 +2 +/–

Расскажи мне. Мне очень нужно 8ой ведроид рутануть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #177

187. Сообщение от n00by (ok), 12-Июн-22, 11:55 –1 +/–

>> Ответа кому? Смысл вести с вами дискуссии? На что вы, господа безымянные
>> теоретики, можете сослаться для придания хоть какого-то веса своему мнению? Работа
>> Хоглунда - какая-никакая, но уже классика. Описывает на частных примерах общие
>> принципы, показывает развитие - каким оно было там и каким оно грядёт здесь.
> Понимаешь, человек, от ТЕБЯ много СПАМА. Бесполезного и/или офтопичного. Ты спамер.
Я отвечаю на твои бессмысленные сообщения, поскольку мне с такими как ты придётся неоднократно сталкиваться. Ты отнял моё время, я его отбиваю - изучаю фанатиков.
> Который
> развел меня на клик вообще совсем офтопичной репы "хоккеиста" в гитхабе.
> Это нехорошо с твоей стороны в топике про линукс и то
> что под него водится.
Ты влез в тему, в которой смыслишь на уровне обывательской интерпретации пары популярных гипотез. Это нехорошо с твоей стороны в топике про руткиты.
> 1) Видишь ли, общие принципы руткитов, дебага, takeovera'а системы и проч достаточно
> просты в понимании - как общая концепция. Это может понять неглупый
> школьник.
Ты не смог.
> 2) Те кто минимально интересоваося темой может усвоить 1) довольно быстро. С
> намного меньшим объемом мучений нежели одупление в код с "ntddk.h".
> 3) Линь все же не винда и изучать тему на примере маздая
> при интересе к линуксу не работает. Это разные системы, с разными
> кишками, а самое сложное таки в конкретике и деталях а не
> в общих концепциях.
Дай ссылку на свои труды по теме или прекрати трындеть.
> 4) Максимум что ты смог показать про Linux это LD_PRELOAD баяны. Я
> и без тебя пару либ под LD_PRELOAD накодил, что как бы
> намекает на "уровень" такого "руткита". Коенчно я до руткита не доделывал,
> просто поиздевался над программами себе по приколу посмотреть как они на
> неожиданные отлупы реагируют. Но это та же технология, что намекает на
> общий ее "уровень". Это выбор чайников и нубов, ну или вот
> казуально поразвлечься впарив софту странные отлупы.
Ясно. Просьба выше аннулируется. В первой её части. Ты ламер. Тебе нет смысла объяснять, я просто для других напишу: LD_PRELOAD решает в данном случае задачу не только закрепления в системе. Вторая задача ясно и понятно изложена в тексте новости.
> TL;DR было бы намного круче если бы ты какие-то продвинутости под линух
> показать мог, а не под маздай в ветке по линуксу. Но
> ты этого кажется не могешь. А гарцевать ntddk в ветке про
> линь таки фэйл. С аудиторией не угадал.
Ты не аудитория, сколько не пытайся изобразить толпу. Такими попытками лишь демонстрируешь неуверенность в своём мнении.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #168 Ответы: #223

188. Сообщение от n00by (ok), 12-Июн-22, 12:08 +/–

Аноним - это "им" "я", которого "нет". С точки зрения системы у твоего мнения нет источника.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #167

189. Сообщение от n00by (ok), 12-Июн-22, 12:12 +/–

Зачем я буду что-то тебе показывать? У меня нет давно Венды как и того экзешника, искать компилятор долго и лениво. Там в импорте должно быть WriteConsoleW() плюс пара функций из ntdll, всё это возможно адаптировать на сисколы Линукса. Ты не веришь людям, поскольку судишь по себе.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #170 Ответы: #193

190. Сообщение от n00by (ok), 12-Июн-22, 12:34 +/–

> Во всяком случае в свое время я смог в винде делать стелс-процессы
> которые тупо не видно в менеджере задач. Заметь, без руткитов -
> просто абибосом штатного лоадера странными извратами с форматом файлов и необычным
> запуском. Черт знает чем оно меня считало, вероятно или еще не
> запущенным или уже завершенным процессом, в то время как код по
> факту работает - только не приписан ни к чему, во всяком
> случае, в штатном таскменеджере его просто нет.
Вот именно, что чёрт знает. Тут стоит читать не Хоглунда, а начинать с Рихтера, или кто там объясняет, что процесс - это такой объект ядра. Со всеми вытекающими.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #173

191. Сообщение от n00by (ok), 12-Июн-22, 12:45 +/–

> печать не требует сисколов вообще
К каким ножкам процессора подпаиваем принтер?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #174

192. Сообщение от n00by (ok), 12-Июн-22, 12:47 +/–

Руткит фильтрует чтение из /proc/пид/maps
По поводу детекта замером времени исполнения - это может сработать в общем случае с майнером. При чтении /proc/пид/maps будет два переключения контекста и сколько кода выполняться в ядре? Это к вопросу о погрешности измерений. Фильтация, насколько понимаю, это несколько машинных инструкций в цикле.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154 Ответы: #199

193. Сообщение от Аноним (146), 12-Июн-22, 12:48 +/–

> Там в импорте должно быть WriteConsoleW()
Может ты сперва напишешь "привет мир" используя именно `std::cout`, потом будешь рассказывать кто кому что должен и не должен? Для справки `std::cout` - это экземпляр виртуального класса `std::ostream`.
Я бы еще понял, если бы был `printf`, вызов которого некоторые компиляторы в последнее время научились оптимизировать до вызова `puts`.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #189 Ответы: #194

194. Сообщение от n00by (ok), 12-Июн-22, 13:17 +/–

>> Там в импорте должно быть WriteConsoleW()
> Может ты сперва напишешь "привет мир" используя именно `std::cout`, потом будешь рассказывать
> кто кому что должен и не должен?
Может ты внимательно прочтёшь №132?
"У меня на Си++ std::cout << "хелловорлд"; получался в 25 кб."
> Для справки `std::cout` -
> это экземпляр виртуального класса `std::ostream`.
Я это знаю. Даже реализацию всех классов по иерархии немножко знаю - в том числе я её и писал.
> Я бы еще понял, если бы был `printf`, вызов которого некоторые компиляторы
> в последнее время научились оптимизировать до вызова `puts`.
Это называется не "понял", а "эффект Даннинга-Крюгера".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #193 Ответы: #195

195. Сообщение от Аноним (146), 12-Июн-22, 13:37 +/–

Типичный оффтопщик, который пришел в тему про linux, и понтуется, что читал оффтопных авторитетов и нам советует.
Пришел, набросил, и забыл свой наброс. и продолжает набрасывать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #194 Ответы: #197

196. Сообщение от Аноним (38), 12-Июн-22, 14:07 +/–

> Заменив либу на фикшеную я уверен что починилось ВСЕ
А остальной код вы проверили, вдруг в других местах тоже есть уязвимости? Запуская чужую программу ни в чём нельзя быть уверенным.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #181

197. Сообщение от n00by (ok), 12-Июн-22, 14:42 +/–

Рекомендую тебе вести себя крайне осторожно, особенно с оценками, пока ты не осознаешь происходящее. У тебя сейчас порван шаблон.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #195 Ответы: #198

198. Сообщение от Аноним (146), 12-Июн-22, 15:41 +/–

> эффект Даннинга-Крюгера
> Рекомендую тебе вести себя крайне осторожно, особенно с оценками
Оценщик об оценках. Держишь уровень.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #197 Ответы: #208

199. Сообщение от швондер (?), 12-Июн-22, 16:40 +1 +/–

> Руткит фильтрует чтение из /proc/пид/maps
> По поводу детекта замером времени исполнения - это может сработать в общем
> случае с майнером. При чтении /proc/пид/maps будет два переключения контекста и
> сколько кода выполняться в ядре? Это к вопросу о погрешности измерений.
> Фильтация, насколько понимаю, это несколько машинных инструкций в цикле.
у вас неверное понимание.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #192 Ответы: #207

200. Сообщение от Аноним (-), 12-Июн-22, 20:45 +4 +/–

А я один юзер в системе, домашний комп. :D

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #183 Ответы: #218, #222, #224

202. Сообщение от pavlinux (ok), 12-Июн-22, 21:46 +1 +/–

>> иметь root-доступ
> да хоть через дыры в polkit! заиметь сейчас рут - вообще не
> проблема.
3аймей, хyцкep йoпт https://git.kernel.org/

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #176

203. Сообщение от Neon (??), 13-Июн-22, 03:42 +2 +/–

> Заменив либу на фикшеную я уверен что починилось ВСЕ.
Заменив либу на фикшеную, можно ВСЁ поломать.))) Классно поменяли.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #181

204. Сообщение от Neon (??), 13-Июн-22, 03:45 +/–

А кто будет проверять контролера ?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #209

205. Сообщение от Neon (??), 13-Июн-22, 03:48 +/–

А кто будет проверять подписантам ? Или джентльменам принято верить на слово ?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106

206. Сообщение от Neon (??), 13-Июн-22, 03:50 –1 +/–

Линус был блатной мажор при дедушке профессоре. Вот и позволял себе лишнее. Попробовал бы простой студент спорить с профессором и ругаться  с ним. Мигом бы вылетел бы со свистом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #211

207. Сообщение от n00by (ok), 13-Июн-22, 08:10 +1 +/–

Я так полагаю, Вы где-то уже апробировали предлагаемую методику, раз такое заявляете. В таком случае хотелось бы ознакомиться с какими-то подробностями, что бы понять, что именно и насколько неверно я понимаю.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #199

208. Сообщение от n00by (ok), 13-Июн-22, 08:21 +/–

Напоминаю, в №101 ты описал свой маня-мирок, в котором "хелловорлд весит 6 мегабайтов".
В реальном мире такое - при использовании статического связывания со стандартной библиотекой Си++ - весит существенно меньше сотни килобайт. Если убрать от "Си" "плюсы", окажется ещё меньше.
Я тебе больше скажу: в твоём маня-мирке тормозят "жирные смузи-жавасткрипты", а на деле загрузка на каждый чих ненужной библиотеки за 20 лет разогрела Землю на один градус.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #198 Ответы: #210

209. Сообщение от n00by (ok), 13-Июн-22, 08:32 +/–

Сами подписывайте, если никому не доверяете. Исходники открыты, возможность есть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #204

210. Сообщение от Аноним (146), 13-Июн-22, 09:09 +/–

> В реальном мире такое - при использовании статического связывания со стандартной библиотекой Си++ - весит существенно меньше сотни килобайт.
Ты, давай, показывай свой "привет" с использованием `#include <iostream>`, который "существенно меньше сотни килобайт" без "разделяемых библиотек, которые позволяют быстро исправлять ошибки".
> в твоём маня-мирке
Оценщик об оценках

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #208 Ответы: #212

211. Сообщение от hefenud (ok), 13-Июн-22, 09:26 +/–

Что ты несешь?
Торвальдс никогда не учился у Таненбаума, блин! Таненбаум преподавал не то что в другом ВУЗе, но в другой стране даже.
И, да, в нормальных ВУЗах можно и нужно спорить с преподами, но тебе этого не понять

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #206

212. Сообщение от n00by (ok), 13-Июн-22, 09:38 +/–

>> В реальном мире такое - при использовании статического связывания со стандартной библиотекой Си++ - весит существенно меньше сотни килобайт.
> Ты, давай, показывай свой "привет" с использованием `#include <iostream>`, который "существенно
> меньше сотни килобайт" без "разделяемых библиотек, которые позволяют быстро исправлять
> ошибки".
Ты мог бы уже сам найти, если бы умел немножко покликать мышкой и читать исходники.
Но мне интересно, что ты сейчас скажешь вот на это https://code.google.com/archive/p/ontl/wikis/HelloWorld.wiki
1. Гугль побил форматирование?
2. Это не то!
3. Клятый виндузятник!
4. ...
>> в твоём маня-мирке
> Оценщик об оценках
"а нас то за шо?" (ц)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #210 Ответы: #213

213. Сообщение от Аноним (146), 13-Июн-22, 10:40 +/–

> со стандартной библиотекой Си++
> ontl
Это `std` или поделка "студента", который залез в `namespace std`?
> Клятый виндузятник!
Разве это не так? Ты не дал ни одного своего примера для linux.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #212 Ответы: #214

214. Сообщение от n00by (ok), 13-Июн-22, 11:20 +/–

>> со стандартной библиотекой Си++
>> ontl
> Это `std` или поделка "студента", который залез в `namespace std`?
Почему ты решил, что я буду объяснять тебе, что такое стандартная библиотека Си++? Пока я вижу в "диалоге" фанатика, который не способен найти и прочесть исходники. У тебя нет даже имени.
>> Клятый виндузятник!
> Разве это не так? Ты не дал ни одного своего примера для
> linux.
Кому? И зачем? Ты там что-то хотел подписать, но сдулся и поэтому принялся тупо флудить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #213 Ответы: #215

215. Сообщение от Аноним (146), 13-Июн-22, 11:31 +/–

> Почему ты решил, что я буду объяснять тебе, что такое стандартная библиотека Си++?
Потому что ты не знаешь, что такое "стандартная библиотека Си++".
Нельзя залезать в `namespace std` - это UB. Надеюсь автор ontl это знает. Также я не разобрал все ключи вызова cl, но `/GR-` нагуглил - это отключение rtti, это тоже мимо стандартной библиотеки с++, это не с++
Держишь уровень.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #214 Ответы: #216, #231

216. Сообщение от n00by (ok), 13-Июн-22, 13:19 +/–

>> Почему ты решил, что я буду объяснять тебе, что такое стандартная библиотека Си++?
> Потому что ты не знаешь, что такое "стандартная библиотека Си++".
Что бы я начал что-то тебе объяснять, тебе следует меня заинтересовать. Вот сейчас я читаю про тоталитарные секты, очень интересно наблюдать, как третий день неизвестно кто хочет доказать мне непонятно что.
Если бы ты представился как, например, Степанов, я бы твою оценку принял во внимание, а пока...
> Нельзя залезать в `namespace std` - это UB.
Пока ты не смог дать релевантную цитату стандарта и как либо связать данное заявление с вышеприведённым примером.
> Надеюсь автор ontl это
> знает. Также я не разобрал все ключи вызова cl, но `/GR-`
> нагуглил - это отключение rtti, это тоже мимо стандартной библиотеки с++,
> это не с++
Пока ты показал, что не готов говорить о conforming implementation. Если для тебя /GR- - критерий, значит у Микрософт нет стандартной библиотеки. Похоже, ты всеми силами пытаешься склеить шаблон, но от твоего мнения объективная возможность получить для std::cout <<"привет"; исполняемый файл в 25 кб не исчезнет.
> Держишь уровень.
Что бы тебя зеркалить, надобно в некоторой мере соответствовать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #215 Ответы: #217

217. Сообщение от Анонин (?), 13-Июн-22, 13:54 +/–

https://eel.is/c++draft/namespace.std#1
> Unless otherwise specified, the behavior of a C++ program is undefined if it adds declarations or definitions to namespace std or to a namespace within namespace std.
На остальное, подтверждающее уровень, отвечать не буду

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #216 Ответы: #219

218. Сообщение от Аноним (146), 13-Июн-22, 14:11 +/–

Нет, ты - один из юзеров в системе, который думает, что он - Один или един.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #200

219. Сообщение от n00by (ok), 13-Июн-22, 15:25 +/–

> https://eel.is/c++draft/namespace.std#1
>> Unless otherwise specified, the behavior of a C++ program is undefined if it adds declarations or definitions to namespace std or to a namespace within namespace std.
> На остальное, подтверждающее уровень, отвечать не буду
Потому что ты за свои слова отвечать не способен в принципе, как уже было с "подпишу". На всякий случай понадеюсь, что у тебя от перевозбуждения на слово "секта" возникла когнитивная слепота, и повторю:
"Пока ты не смог ... и как либо связать данное заявление с вышеприведённым примером."

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #217

220. Сообщение от Аноним (220), 13-Июн-22, 20:24 +/–

Накушался я этой стабильности в свое время. Так, навскидку пример: дебиан то ли 5, то ли 6 версии. Аська у которой полсотни рабочих контактов, майлру эту самую аську покупает и что-то меняет в протоколе. Дебиановский pidgin, само собой, работать по нему перестает. Этим контактам по фигу, у них винда - обновили свои клиенты и дальше живут (у кого-то миранда, у кого-то &RQ, у кого и официальный). А в дебиане или ставь пакет от убунты (с непредсказуемыми глюками по итогу), или собирай свежак из сорцов, или жди следующую стабильную версию этого самого дебиан годик-другой. В итоге плюнул, поставил винду и забыл про все эти дела как страшный сон

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #169

221. Сообщение от Аноним (220), 13-Июн-22, 20:31 +/–

> В идеале наверное должно быть разделение на собственно операционную систему, системные утилиты и на пользовательские приложения
Поздравляю, ты изобрел FreeBSD с ее делением на distributions и ports

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #175 Ответы: #226

222. Сообщение от Аноним (220), 13-Июн-22, 20:47 +/–

cat /etc/passwd

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #200

223. Сообщение от torvn77 (ok), 14-Июн-22, 02:01 +/–

>я просто для других напишу: LD_PRELOAD решает в данном случае задачу не только закрепления в системе.
Этот хак с LD_PRELOAD работает с правами обычного пользователя с правами которого запущен или root необходим в принципе?
Если без рута ни как вообще, то твои опасения безпредметны, и судя по тому как твой оппонет делал такие вещи таки права рута необходимы, иначе бы сейчас тварился полный абзац с вирусами.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #187 Ответы: #225

224. Сообщение от torvn77 (ok), 14-Июн-22, 02:09 +/–

А почему wireshark dumpcap через sudo не запускает?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #200 Ответы: #234

225. Сообщение от n00by (ok), 14-Июн-22, 07:54 +/–

>>я просто для других напишу: LD_PRELOAD решает в данном случае задачу не только закрепления в системе.
> Этот хак с LD_PRELOAD работает с правами обычного пользователя с правами которого
> запущен или root необходим в принципе?
Напоминаю Unix-way: каждая программа хорошо делает своё дело.
1. "эксплоит" - получает права;
2. руткит - закрепляется в системе, скрывает присутствие, осуществляет атаку "человек посередине" -  всё это решается одним махом - _документированным_ и предназначенным именно для этого способом, т.е. не хаком, как это было бы в случае инъекций кода в чужие адресные пространства.
> Если без рута ни как вообще, то твои опасения безпредметны, и судя
> по тому как твой оппонет делал такие вещи таки права рута
> необходимы, иначе бы сейчас тварился полный абзац с вирусами.
"Оппонент" пока что не нашёл ничего лучше чем убеждать меня, что мы с коллегой не написали 15 лет назад реализацию стандартной библиотеки Си++, которая позволяет собирать std::cout << "hello" в 25кб исполняемый файл без зависимостей от C runtime. То есть скатился до отрицания объективной реальности.
Не надо уподобляться ему - изучайте вопрос. Начать можно так:
1. вбиваем LD_PRELOAD в поисковик
2. тыкаем наобум ссылку на журнал Ксакеп https://xakep.ru/2020/12/29/ld_preload-rootkit/
3. читаем:
К примеру, если нам нужно предзагрузить библиотеку ld.so, то у нас будет два способа:
    Установить переменную среды LD_PRELOAD с файлом библиотеки.
    Записать путь к библиотеке в файл /etc/ld.so.preload.
В первом случае мы объявляем переменную с библиотекой для текущего пользователя и его окружения. Во втором же наша библиотека будет загружена раньше остальных для всех пользователей системы.
Далее перепроверяем. Есть документация https://man7.org/linux/man-pages/man8/ld.so.8.html
       LD_PRELOAD
              A list of additional, user-specified, ELF shared objects
              to be loaded before all others.  This feature can be used
              to selectively override functions in other shared objects.
Есть исходники...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #223

226. Сообщение от n00by (ok), 14-Июн-22, 08:10 +/–

Спасибо, теперь я понял эти постоянные нападки на BSD. В GNU/Linux именно свобода, а не какие-то технические аспекты, запрещает линковаться статически.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #221 Ответы: #228

227. Сообщение от Аноним (227), 14-Июн-22, 17:03 +/–

Так и не поймешь, трололо или фанбой из 90х

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

228. Сообщение от Аноним (-), 14-Июн-22, 17:26 +/–

За что, среди прочего, фряху и люблю. Есть минимальный набор из загрузчика, ядра и всякой мелочевки вроде шелла и сишного компилятора - они фряху, собственно, и составляют и это добро разрабы фряхи пилят. А все остальное - порты, которые пилят авторы этого всего остального (для простоты к портам отношу не только сорцы, но и собранные из них пакеты). Ни тебе майнтайнеров, ни сотен сортов убунты, отличающихся только названиями и нескучными обоями, ни прочего ненужного вроде пафосных речей жирного нечесанного гуру. Да синтаксис pf, имхо, получше чем у iptables:)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #226 Ответы: #230

229. Сообщение от Аноним (-), 14-Июн-22, 17:35 +/–

Ну так не пользуйся ненужным, в чем проблема-то? Если найдется уязвимость в каком-нибудь kernel32.dll - мелкомягкие ее сами закроют и в случае с динамической линковкой для тебя ничего не меняется.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #171

230. Сообщение от n00by (ok), 14-Июн-22, 17:55 +/–

Что бы что-то перехватить в монолитном исполняемом файле, врезать инструкции перехода на свой код, в общем случае потребуется дизассемблер и гарантии, что модифицируемый код не исполняется. Т.е. девятый "Б" сходит со сцены. Гуру учит так не делать исходя из борьбы за всё хорошее против всего плохого. Ведь не просто Linux, а GNU/Linux. Этот момент я прохлопал, поскольку мало интересуюсь лицензиями.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #228

231. Сообщение от n00by (ok), 15-Июн-22, 11:38 +/–

Кстати, ты заметил, что ответил как Анонин - с "н" на конце? Мне интересно, это ты осознанно сделал, или "случайно" в процессе спора с объективной реальностью.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #215

232. Сообщение от Аноним (232), 15-Июн-22, 15:15 +/–

1. Подписываешь чистые бинари и библиотеки.
2. Запускаешь:
tail -f /var/log/....log
3. Делаешь:
echo 'appraise func=MMAP_CHECK mask=MAY_EXEC' >> '/proc/sys/kernel/security/ima/policy'
4. Ищешь в логах аудита.
А чтобы ее вообще не было надо / держать в режиме только для чтения.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112 Ответы: #233

233. Сообщение от n00by (ok), 15-Июн-22, 15:46 +/–

> А чтобы ее вообще не было надо / держать в режиме только
> для чтения.
Это всего лишь вопрос времени, когда руткиты начнут писать на накопитель в обход драйвера ФС.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #232 Ответы: #236

234. Сообщение от Аноним (-), 15-Июн-22, 23:32 +1 +/–

Не знаю, я не пробовал. Я запускаю Wireshark ярлыком.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #224

235. Сообщение от n00by (ok), 16-Июн-22, 08:15 +/–

>  Таким образом, надо убедиться в первую очередь в том, что чтение
> не подменено. Это можно пробовать сделать через сравнение числа потраченных инструкций
> цпу - время выполнения - на заведомо чистой и целевой системах.
> выполнять  perf record/stat и опираться на счетчик выполненных инструкций.
Поскольку не последовало внятного объяснения, как предполагается обеспечить достаточную точность измерений, внесу некоторую ясность. Выше предлагается вариант обнаружения по косвенным признакам. Обычно (RkU, Gmer, AVZ и т.п.) вместо этого производили сканирование памяти, искали факт подмены инструкций. Грубо говоря, реализовывался некий аналог системного загрузчика: читали исполняемые файлы с накопителя, но вместо копирования в ОЗУ производили сравнение. Такой метод помимо обнаружения позволял снять хуки (перехват). Однако, руткиты противодействовали - подменяли содержимое чистых файлов при чтении. Варианты с измерением времени обсуждались, но о рабочих реализациях мне не известно, если не считать вариантов с контролем указателя инструкций в планировщике.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154

236. Сообщение от Аноним (236), 23-Июн-22, 19:28 +/–

А мы не только ФС в режиме только для чтения держим, но и само блочное устройство:
blockdev --setro /dev/sda7
Не анекдот, а правда:
"Мне потеринг когдато говорил, что сыстемдЫ он пишет, чтобы всем удобно было корень держать в режиме только для чтения."

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #233 Ответы: #237

237. Сообщение от n00by (ok), 24-Июн-22, 06:48 +/–

И запуск драйверов заблокировали. И изучили накопленный опыт атак на альтернативную ОС. И доказали корректность существующего кода ядра (а что понапишут на Rust - то компилятор "верифицирует").
Вот это тоже не анекдот, а правда: "сама концепция открытого кода подразумевает, что злоумышленник может иметь к нему доступ, и следовательно, сознательно искать и находить уязвимости в нем."
Это пишет к.т.н. в аннотации доклада на osdev. Зачем он пишет про открытый код и про доступ? Не знает про fuzzing и IDA Pro, или для чего?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #236

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от n00by (ok), 10-Июн-22, 08:45	–23 +/–
"Разделяемые библиотеки позволяют быстро исправлять ошибки" - говорили они, не шибко понимая, что говорят.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #4, #12, #60, #90, #101

2. Сообщение от n00by (ok), 10-Июн-22, 08:47	+5 +/–
Вот это в мире ненавистной Венды называется "нубкит" (поскольку там перехват системных вызовов в пространстве пользователя требует модификацию кода, что является источником ошибок). А в Linux - вполне грамотное решение, соответствующее архитектуре ОС.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #31, #41, #89

3. Сообщение от Аноним (3), 10-Июн-22, 08:48	–3 +/–
Дальше будет только хуже :(
Ответить \| Правка \| Наверх \| Cообщить модератору

4. Сообщение от Аноним (4), 10-Июн-22, 08:50	+19 +/–
ну тут дело же в полученном изначально root-доступе, а не в самом механизме динамических библиотек
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #6, #38, #104

6. Сообщение от n00by (ok), 10-Июн-22, 08:55	+4 +/–
Дело в том, что я сейчас напишу "читайте Хоглунда", а эксперты по руткитам полезут в поисковик.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #56

7. Сообщение от Аноним (7), 10-Июн-22, 08:55	+6 +/–
А ссылка на исходники где?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #67

8. Сообщение от Аноним (8), 10-Июн-22, 09:41	+2 +/–
когда мамкины хакепы полностью освоят ebpf, тогда линукс будет дырявее винды
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #34, #88

9. Сообщение от EuPhobos (ok), 10-Июн-22, 09:49	+2 +/–
Еще никогда <s>Штирлиц</s> товарищ майор не был так близко к провалу (с)
Ответить \| Правка \| Наверх \| Cообщить модератору

11. Сообщение от Аноним (11), 10-Июн-22, 10:20	+3 +/–
> Для установки Simbiote в систему атакующий должен иметь root-доступ Офигенный вирус. Реквестирую сырцы под копилефт лицензией.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #17, #71

12. Сообщение от n00by (ok), 10-Июн-22, 10:21	+/–
Жаль, что не получается составить список экспертов. Стесняются отметиться явно. С точки зрения руткита - отображение актуальной информации является нежелательным поведением. Он и исправляет "ошибку" документированным способом. > Особенностью Simbiote является распространение в форме разделяемой библиотеки, > которая подгружается во время запуска всех процессов при помощи механизма LD_PRELOAD > и подменяет некоторые вызовы стандартной библиотеки. Подгружается библиотека не сама собой, а (очень грубо) вот тут: /* Load all the libraries specified by DT_NEEDED entries. If LD_PRELOAD specified some libraries to load, these are inserted before the actual dependencies in the executable's searchlist for symbol resolution. */ { RTLD_TIMING_VAR (start); rtld_timer_start (&start); _dl_map_object_deps (main_map, preloads, npreloads, state.mode == rtld_mode_trace, 0); rtld_timer_accum (&load_time, start); } Из этого следуют интересные выводы: 1. обобщение "всех процессов" излишне пессимистично; 2. достаточно просто реализовать детектор руткита; 3. возможно построить систему так, что она окажется не подвержена атаке.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #19, #20, #137

17. Сообщение от Аноним (38), 10-Июн-22, 10:40	+1 +/–
"... root-доступ, который может быть получен, например, в результате эксплуатации неисправленных уязвимостей или утечки учётных записей".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11

18. Сообщение от Аноним (18), 10-Июн-22, 10:49	+1 +/–
>Simbiote также позволяет обойти некоторые анализаторы активности в файловой системе, так как кража конфиденциальных данных может осуществляться не на уровне открытия файлов, а через перехват операций чтения из этих файлов в легитимных приложениях (например, подмена библиотечных функций позволяет перехватить ввод пользователем пароля или загружаемые из файла данные с ключом доступа). Оригинально.
Ответить \| Правка \| Наверх \| Cообщить модератору

19. Сообщение от Аноним (-), 10-Июн-22, 11:02	+/–
busybox
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #26

20. Сообщение от Аноним (20), 10-Июн-22, 11:04	+/–
А если разрешать подгрузку только таких библиотек, у которых есть цифровая подпись?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #21, #29

21. Сообщение от Аноним (-), 10-Июн-22, 11:09	+1 +/–
Что мешает подписать, если уже есть root-доступ?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20 Ответы: #22, #28

22. Сообщение от n00by (ok), 10-Июн-22, 11:15	+2 +/–
Так подписи будет раздавать RHBM. ;)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21 Ответы: #23, #105, #204

23. Сообщение от Аноним (-), 10-Июн-22, 11:21	+1 +/–
> RHBM Не знаю кто это, но проверять тоже он будет или система, в которой кто-то шарится с рут-доступом (добавил свой свой сертификат и подписал им же - "доверенно")?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #22 Ответы: #24

24. Сообщение от n00by (ok), 10-Июн-22, 11:24	+/–
Куда именно добавил?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #23 Ответы: #25

25. Сообщение от Аноним (-), 10-Июн-22, 11:26	+/–
В "систему, которая проверяет"
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24 Ответы: #27

26. Сообщение от n00by (ok), 10-Июн-22, 11:27	+/–
Ход мыслей правилен, но уровень абстракции не тот. См. ldd `which busybox`
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19 Ответы: #30

27. Сообщение от n00by (ok), 10-Июн-22, 11:28	+/–
Куда именно в "систему, которая проверяет"?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25 Ответы: #35

28. Сообщение от Аноним (28), 10-Июн-22, 11:28	+2 +/–
Подписывают на отдельном хосте, не подключенном к сети с рутуемыми серверами.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

29. Сообщение от n00by (ok), 10-Июн-22, 11:29	+1 +/–
Да, это один из вариантов. Но надо понимать, что в прошлый раз в итоге развития идеи появился SecureBoot. :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20 Ответы: #48

30. Сообщение от Аноним (-), 10-Июн-22, 11:31	+2 +/–
Статически слинкован, например с каким-нибудь экзотическим libc, который в добавок не знает про всякие переменные окружения LD_*
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #26 Ответы: #32

31. Сообщение от Аноним (28), 10-Июн-22, 11:34	+/–
>подменяет некоторые вызовы стандартной библиотеки А не системные вызовы.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #40

32. Сообщение от n00by (ok), 10-Июн-22, 11:36	+1 +/–
Да, это решение. Но фанаты не одобряют.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #30 Ответы: #36

33. Сообщение от Аноним (33), 10-Июн-22, 11:38	+3 +/–
> Вредоносное ПО было выявлено на системах финансовых учреждений ряда стран Латинской Америки. Интересно, кто бы мог это написать и для чего ещё оно используется? 🤔
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #37, #64

34. Сообщение от Аноним (28), 10-Июн-22, 11:38	+2 +/–
Но для пользования eDPF у нормальных пацанов нужен root. А если есть root, то и eBPF не особо нужен. Можно и свой собственный модуль ядра подгрузить, как и раньше делалось.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #106

35. Сообщение от Аноним (-), 10-Июн-22, 11:39	+/–
Куда надо. Конкретика должна исходить от того, кто предложил способ защиты злоумышленника с рут-доступом.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #27 Ответы: #43

36. Сообщение от Аноним (-), 10-Июн-22, 11:41	+2 +/–
> Да, это решение. Это решение только проблемы с LD_PRELOAD. А злоумышленник с рутом так и сидит в системе, по крайней мере до перезагрузк
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #32 Ответы: #42