AbcLinuxu:/ Zprávičky / 5 tipů, jak se bránit rootkitům

Štítky: bezpečnost, sledování

5 tipů, jak se bránit rootkitům

Na TechRepublic je k dispozici 5 tipů, jak čelit rootkitům. Jsou to: 1) ochrana strojů, 2) sledování indicií, 3) vypnutí zasaženého stroje, 4) nikdy bez Tripwire, 5) dump paměti.

1.9.2010 13:05 | vencour | Zajímavý článek

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (0) ? , Tisk

Vložit další komentář

1.9.2010 13:37 balic:-)
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Odpovědět | Sbalit | Link | Blokovat | Admin

1) instalovat vse z overenych zdroju - repositaru distributora + nekolik malo externich overenych repositaru

1.9.2010 14:06 tsLnox | skóre: 31 | blog: Blog jednoho ukecaného Gentoolemana | Žďár nad Sázavou
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

6) Nepřipojovat se k netu ;-)

Zaručeně ochrání :-D

Amest I bovvered, forsooth?

1.9.2010 15:08 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

7) Nepřipojovat do sítě.

Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk

1.9.2010 15:11 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

elektrické :-D

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

1.9.2010 15:47 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Nezabudni s notebooku vybrať baterku :-D

KERNEL ULTRAS video channel >>>

2.9.2010 20:09 K
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Urezat ruky a nohy, nebo rovnou radeji PREVENTIVNE spachat sebevrazdu

1.9.2010 15:37 mikirc | skóre: 19 | blog: MikiSoft | Vsetín
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

porad slozite, nekupovat PC vubec :D

Byl jednou jeden...

1.9.2010 16:34 JJ
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Kupovat ARM :)

1.9.2010 17:13 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Na Linuxu na ARM rootkity nefungují?

1.9.2010 19:28 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Keď ho nezapneš :-)

KERNEL ULTRAS video channel >>>

1.9.2010 20:28 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Na TouchBooku (z.B.) toho spousta nefunguje, takže by nefunkčnost rootkitů ani nebyla takovým překvapením.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

1.9.2010 21:34 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Co třeba nefunguje? :)

We lived, we danced, we raced, we run, from the oblivion to come, Dressed for the last dance of a hundred thousand suns.

1.9.2010 21:36 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Tak dlouho se hrabe v Touchbooku, až se kabel utrhne...

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

1.9.2010 21:45 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

No co, přerval jsem kabel k touchscreenu. Ale tak 4 dráty není problém zapájet.

We lived, we danced, we raced, we run, from the oblivion to come, Dressed for the last dance of a hundred thousand suns.

1.9.2010 23:58 Kvakor
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Na Linuxu na ARM rootkity nefungují?

Ty dělané čistě pro x86 sice nebudou fungovat, ale ty zbylé ano - díry typu race condition, slabá hesla, nesprávně nastavená práva k souborů a podobně na architektuře nezávisí. A jak útočník získá roota, tak si stejně nainstalue rootkit přeložený na míru pro dannou architekturu a verzi jádra.

2.9.2010 00:00 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Jednou jsem viděl takovou mrchu (kdosi na linux@conf.netlab.cz byl tak laskav a pochlubil se – jen je mi líto, že jsem si ji nezazálohoval), která si sebou táhla nějaké zdrojáky a gcc. Fakt drsoňské.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

2.9.2010 00:47 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

To samozřejmě vím, byla to ironická otázka.

1.9.2010 15:02 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Odpovědět | Sbalit | Link | Blokovat | Admin

Spíš než Tripwire doporučuji aide. Nastawit tripwire je černá magie a přitom se mi nezdá, že by toho uměl víc, než aide.

Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk

1.9.2010 19:21 omg
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

a umite to aide a tripwire spravne pouzit, aby vysledek prokazatelne overil, ze neni pritomna zadna nezadouci uprava?

1.9.2010 19:34 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Abych se přiznal já aide nepoužívám kvůli bezpečnosti, ale protože prostě nevěřím novým diskům a chtěl bych včas vědět, kdy se něco pokazilo. Jinak nevidím sebemenší problém v použití. Prostě ve vždycky po updatu aktualizuju databázi a hlídám, kdy jsou tam změny, se kterými nemám nic společného.

Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk

7.9.2010 19:22 m;)
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

cas na zfs ? ;-)

1.9.2010 21:33 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Když ten rootkit bude šikovný, tak vám ani tripwire ani aide nepomůže.

We lived, we danced, we raced, we run, from the oblivion to come, Dressed for the last dance of a hundred thousand suns.

1.9.2010 23:46 Kvakor
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Ano, pokud je rootkit opravdu dobře udělaný, tak se bude maskovat tak, že ho nic nenajde (snad až na přímé debugování běžícího jádra a prohlížení disků jako zařízení). Naštestí v Linuxu stačí nabootovat z ověřeného LiveCD (např. toho insdtalačního) a zkontrolovat to z něj.

Aklternativní rešení pro ty, kteří si překládají vlastní jádro, je mít verzi jádra bez modulů* separátně drženou na nějakém bootovatelném médiu, pokud možno ještě se statickou verzí nějakého shellu, nejlépe asi BusyBoxu. Osobně na to mám starou 64MB CF kartu a CD/IDE redukci, ale optimální by asi byl USB flashdisk s mechanickou ochranou proti zápisu.

S takovým médiem je pak možné nabootovat více méně normálně, ale s jistotou, že jakýkoliv běžící škodlivý kód bude viditelný (minimálně v /proc, protože jak ps, tak top mohou být podvržené) a pozměněné soubory budou viditelné a rozpoznatelné. Napadnutí běžícího statického jádra, obzlášť se zapnutým filtrováním přístupu k /dev/mem, je totiž tak komplikované, že pokud útočník nemá oravdu eminentní zájem o váš stroj, nejspíš se na takovouto alternativu nepřipravil.

*Jsou sice části jádra, které musí být přeloženy jako moduly, aby dobře fungovaly (hlavně rozličné multimédiální ovladače), ale to základní jako ovladače k disku a souborovému systému mezi ně naštěstí nepatří. Nefunkčnost zvukové karty nebo TV tuneru nebývá prioritou v okamžiku, když zjišťujete, jestli a jak moc byl váš systém poskvrněn ...

1.9.2010 23:57 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

minimálně v /proc, protože jak ps, tak top mohou být podvržené

Počkat, to jsem nějak nepobral. Neříká se tomu čirou náhodou rootkit, protože to běží v prostoru jádra, bootladeru nebo něčeho takového nadřazeného. IMHO pokud to běží v user-space, tak jde o klasický virus, červa nebo podobné svinstvo. No ne?

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

2.9.2010 00:09 Kvakor
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Jasně že ano, ale když už si někdo dá práci a upraví jádro tak, že určité procesy (např. s jistým UID) nebyly vidět, tak proč pro jistotu neupravit i programy, co procesy zobrazují, obzvlášť když takovéto podvržené verze základních programů jsou běžně dostupné. I za běžných okolností se může stát, že uživatel nabootuje s jiným jádrem, takže útočník by byl hlupák, kdyby se nepojistil.

2.9.2010 00:03 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

snad až na přímé debugování běžícího jádra a prohlížení disků jako zařízení

A to by nešlo podvrhnout proč?

Naštestí v Linuxu stačí nabootovat z ověřeného LiveCD (např. toho insdtalačního) a zkontrolovat to z něj.

Jo, to jo - pokud není nabořené už to instalační CD.

Napadnutí běžícího statického jádra, obzlášť se zapnutým filtrováním přístupu k /dev/mem, je totiž tak komplikované, že pokud útočník nemá oravdu eminentní zájem o váš stroj, nejspíš se na takovouto alternativu nepřipravil.

No, Grsecurity patche dokážou zachránit den, to jo. Ale stejně je lepší se na to nespoléhat.

We lived, we danced, we raced, we run, from the oblivion to come, Dressed for the last dance of a hundred thousand suns.

2.9.2010 00:30 Kvakor
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

snad až na přímé debugování běžícího jádra a prohlížení disků jako zařízení
A to by nešlo podvrhnout proč?

No, nejspíš by šlo upravit jádro tak, aby vracelo nevinně vypadající data i při přímém prohlížení paměti a přímém čtení diskového zařízení, například pomocí virtualizace celého stroje, ale něco takového by bylo nejen extrémně komplikované a i s hardwarovou podporou virtualizace by se to projeviovalo zpomalením systému.

BTW: Maskovat se na disku uměly už staré dobré DOSovské stealth viry :-)

Naštestí v Linuxu stačí nabootovat z ověřeného LiveCD (např. toho insdtalačního) a zkontrolovat to z něj.
Jo, to jo - pokud není nabořené už to instalační CD.

Instalační CD většinou mají kontrolu integrity jedtoltivých balíčků. Je tu i možnost zkontolvat kontrolní součet ceklého média, ale na to je třeba nezkompromitovaný stroj a navíc i fingerprint na webu distribuce může být podvržený MitM útokem. Takže je třeba mít stroj, který je zaručeně čistý, např. notebook se systémem obnoveným z Recovery CD, napíchnout se do náhodně vybrané volně dostupné WiFi sítě, stáhnou nějaké minimalistické Live CD a zkontrolovat fingerprint odtamtud. Pokud se to celé zopakuje vícekrát, s různými notebooky, sítěmi a verzemi Live CD, tak je vysoce pravděpodobné, že instalační médium je nepodvržené. Což bohužel neznamená, že na něm není žádný škodlivý kód ...

Napadnutí běžícího statického jádra, obzlášť se zapnutým filtrováním přístupu k /dev/mem, je totiž tak komplikované, že pokud útočník nemá oravdu eminentní zájem o váš stroj, nejspíš se na takovouto alternativu nepřipravil.
No, Grsecurity patche dokážou zachránit den, to jo. Ale stejně je lepší se na to nespoléhat.

Filtrováním přístupu k /dev/mem je naštěstí už i v normálních jádrech, mám pocit že od 2.6.35. Defaultně povoluje přístup jen k PCI konfiguračnímu prostoru a nammapovaným IOMEM oblastem, což všem běžným na hardware sahajícím programům typu Xserver musí stačit.

2.9.2010 00:49 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

No, nejspíš by šlo upravit jádro tak, aby vracelo nevinně vypadající data i při přímém prohlížení paměti a přímém čtení diskového zařízení, například pomocí virtualizace celého stroje...

if(hddBlockPrefix=="TADYJEROOTKIT") 
 return fakeHddBlock;
else
 return hddBlock;

Ok, tohle je jak to rčení s Hurvínkem a válkou. Ale určitě není nutné kvůli tomu virtualizovat celý stroj. Se zbytkem se dá souhlasit.

We lived, we danced, we raced, we run, from the oblivion to come, Dressed for the last dance of a hundred thousand suns.

2.9.2010 09:12 dustin | skóre: 63 | blog: dustin
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Jak se takový proces schová před tripwirem nebo aidem, pokud již byly na kompu nainstalované a jejich db má dostatečně silnou passphrase? Nevím, zajímá mě to, myslel jsem, že tyto softy by to měly řešit. Snad pokud si upraví jejich binárku, aby vypisovala úplně něco jiného, atd... Díky moc.

2.9.2010 12:38 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Proto se u aide a nejspíš i tripwire doporučuje statická kompilace, šoupnout to na read-only médium a při kontrole používat to. Použití read-only média se doporučuje i pro samotnou databázi.

Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk

2.9.2010 17:25 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Pokud ten rootkit běží v kernelspace, tak žádný tripwire, aide nebo cokoliv podobného nemá moc šancí.

We lived, we danced, we raced, we run, from the oblivion to come, Dressed for the last dance of a hundred thousand suns.

2.9.2010 20:17 K
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Nemáš prosimtě nějaký link na info ohledně jak jsi psal "přímé debugování běžícího jádra" ? Vím jak pustit gdb a jeho syntax a tak, moc bych ale uvítal nějaké typy co a jak a kde hledat u 2.6.. Nemáte někdo pls nějaké takové info? Například jak čeknout, že syscally nejsou hooknuté a podobně.

2.9.2010 20:20 K
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Omlouvám se za ty pravopisné chibi :-(

.-)

2.9.2010 21:05 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Zde manuál kde je vysvětleno několik způsobů jak se na takové jádro připojit. Jde o klasickou GDB Remote session (s některými malými omezeními…kupř. mám takový pocit, že mi tam nefungoval backtrace) známou z gdbserveru, jen se nedebuguje běžící proces v user-spacu, ale jádro samotné. Jako symboly se tomu předhazuje náležící vmlinux obraz (je to klasický ELF). Prostě žádná věda. Implementace samotná v jádře též není žádná věda, ale je to jen pár modůlu a pár funckí co se dají přečíst za jeden zimní večer (nějaká interní signalizace, popis protokolu,…prostě nic moc zajímavého). Viz. Internals.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

2.9.2010 21:47 K
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Ok ok, díky, to vypadá pěkně. Takže už umíme gdb "připojit" k běžícímu kernelu. A teď by to ještě chtělo nějaké tipy co hledat, na co se zaměřit. Vylistovat seznam syscallů a jejich adresy, zjistit jestli nejsou hooknuté, nějaké tipy jak najít seznam naloadovaných modulů a hledat podezřelé informace a podobné věci, které bych viděl v nějakém hezkém uceleném návodu.. Nenajde se nějaký takový white-hatovský checklist návod?

2.9.2010 22:24 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Počkat…a k čemu že to má vůbec sloužit?

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

2.9.2010 22:41 K
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Něco jako DIY verify your kernel with gdb :-)

2.9.2010 02:23 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Odpovědět | Sbalit | Link | Blokovat | Admin

Já teda používám chkrootkit a rkhunter a připadám si klasicky paranoidně... na botnet to stačí a jestli mě sleduje CIA, tak už tam stejně jsou...

If you understand, things are just as they are; if you do not understand, things are just as they are.

20.10.2016 09:51 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům

Odpovědět | Sbalit | Link | Blokovat | Admin

Funkční odkaz na původní link je tady aktualizovaný.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

Založit nové vlákno • Nahoru