fedorffixxzz Posted March 19, 2014 Report Posted March 19, 2014 (edited) Autor: styx^Link: http://phrack.com/issues.html?issue=68&id=11&mode=txtNota: un pic "veche" dar e un milestone, la injectarea modulului din imagine nu prea ai ce face daca un atacator a ajuns acolo (de obicei drept de root, deci priv. escalation si e game over). Probabil aici se incepe o alta evolutie pe langa rootkit-urile vechi si antice (da, inca se mai folosesc rk-uri antice in the wild -> https://www.freelancer.com/projects/Software-Architecture-Linux/Remove-Ebury-Rootkit-Backdoor-trojan.5573099.html)Cateva teste (cpio la imagine, injectat kernel modul si apoi creata la loc imaginea), un simplu printk() -> Teoretic rezista pana la urmatorul update al kernel-ului, daca imaginea este inlocuita, atunci se pierde. Un design mai bun ar fi ceva in librarii ce injecteaza kernel-ul cu modul.Insa nici acesta nu ar fi complet satisfacut. Probabil verificari simple asupra md5sum (ex: RKHunter sau boot de pe live cd pentru aceeasi distributie si apoi hash compare) inlatura si posibilitatea asta. Hmm, alte idei?In caz ca ar fi cineva interesat sa aprofundeze pe LKM pentru Linux http://www.sec.in.tum.de/assets/lehre/ws1314/rk_prog/ass1.pdf Edited March 29, 2014 by fedorffixxzz Quote
