Ядро манипуляции воздействия


  Share  
|

Что произойдет, если некоторые плохой парень начинает манипулировать самого ядра? Поскольку ядро все относительно контроля, путем изменения ядра, злоумышленник может изменить систему в основных способов. Чтобы применить изменения в ядро, атакующий первый требует привилегий суперпользователя на машине. Чтобы манипулировать ядро, корневой уровня доступа необходимо на UNIX машинах, и администратору или доступа к системе не требуется Windows систем. После установки ядра режиме RootKit заменяет или изменяет компоненты ядра. Эти изменения могут сделать все, на систему, по-видимому, функционируют хорошо, но операционная система действительно гнилой в основной. Нападавший может изменить ядро так, что он лежит о состоянии машины.

Например, администратор может создать команду перспективных видеть если backdoor процессы отображаются. Эта команда требует ядра, чтобы получить список запущенных процессах. Кроме того, администратор может запустить файл проверки целостности ли некоторые критические файлы на компьютере были изменены. В заблуждение ядро сообщает администратору о том, что файлы не были изменены; Все выглядит замечательно.

Использование ядра манипуляции, нападавшие можете менять ядро так, что он тщательно скрывает злоумышленника деятельности на машине. Большинство ядра режиме RootKits включать следующие виды отговорки:

  • Файл и каталог скрываться. Большинство ядра режиме RootKits скрывать файлы и каталоги пользователей и системных администраторов. Если файл скрытый, ядро будет лежать в любую программу, которое ищет файл.

  • Процесс скрываться. К скрывается процесс с использованием ядра режиме RootKit, злоумышленник может создать невидимый backdoor, которые не могут быть обнаружены с помощью процесса анализа.

  • Сеть порт скрываться. К скрываться слушать TCP и UDP порты, чтобы локальные программы могут не видеть их, плохой парень в backdoor даже stealthier.

  • Режим жизнь скрываться. Террорист не хочет администратору обнаружить sniffer работает на поле в жизнь режиме, с тем самым ядро режиме RootKits ложь о жизнь статус сетевого интерфейса.

  • Выполнение переадресации. Если эта функция многих ядро режиме RootKits, когда пользователь или администратор запускается программа, ядро пытается запустить программу просил. Однако, ядро действительно заменителей иной программы в наживку и перейти маневр. Пользователи и системные администраторы считают, что они движутся по одной программе, но действительно осуществляет некоторые другие программы злоумышленника выбору. Например, вместо полагающихся по пользовательского режима RootKit методов заменить защищенный корпус демон (sshd) на машине жертвы, а ядра - режиме RootKit, злоумышленник может просто перенаправить исполнения в sshd исполняемые другой версии, с backdoor. Администратор может даже проверить целостность файлов на sshd. Однако, файл будет выглядеть абсолютно нетронутыми, поскольку он поврежден. Однако, когда пользователь или администратор пытается выполнить файл sshd удаленно при входе, в backdoor версии будут исполняться, в результате чего плохой парень удаленный доступ к машине жертвы.

  • Устройство перехвата и контроля. Использование ядра режиме RootKit, злоумышленник может перехватить или манипулировать данными направлен или от любого аппаратного устройства на машине. Например, плохой парень может изменить ядро, какие символы ввести в систему на локальный файл на компьютере, таким образом очень stealthy клавиш журналирования. Кроме того, нападавшие ввели ядра изменения, которые позволяют им шпионить пользователей терминала сессий (TTYs), наблюдения и даже инъекции символы, а также ответы в этой системой.

Подумайте об этом от злоумышленника точки зрения. С пользовательского режима RootKit, злоумышленник должен ворваться в окно и изменять набор программ, чтобы скрыть и осуществлять backdoor. В UNIX системы, то злоумышленник может повредить, с начала осуществления backdoor корпуса слушателя, а затем использовать инструмент как URK заменить пс, ls, netstat, и некоторые другие команды. Нападавший тех пор запустить устанавливать обычные установить Изменение даты файла и длины этих команд в соответствующие значения. Затем, drudgery продолжает, как злоумышленник конфигурирует скрываться различные компоненты и backdoors в URK. После всего этого работа утомляют, то злоумышленник еще беспокоиться о подозрительных системного администратора появляется с компакт-диска полный статически бинарные файлы, такие, как Билл Стирнс "статических средств для Linux на www.stearns.org / staticiso, которые не будет находиться по поводу системы государства. Эти пользовательского режима RootKits множество работы, и не очень stealthy если администраторы довести собственные программы на компакт-диске.

Однако, ядро режиме RootKit, в целом уравнение изменения в пользу атакующего. Вместо изменения кучу отдельных программ, злоумышленник изменяет основные ядра, что эти программы все полагаются на. Чтобы спрятать файл, плохой парень не изменится ls, найти, дю, и других команд. Вместо этого злоумышленник просто изменяет ядро так, что он лежит с какой-либо конкретной команды или программа компании администратор ищет этот файл. Таким образом, ядро режиме RootKits гораздо более эффективным для злоумышленника.

Что ядро режиме RootKit, злоумышленник morphs системы, с тем, что администраторы и пользователи в тюрьме, но даже не осознают. Вы думаете вы запускаете определенных программ или посмотреть на состояние машины, но вы не знаете, что вы просматриваете фантазии concocted в атакующий и осуществляется с ядра режиме RootKit. Что вы видите, не свою операционную систему, но лишь мечтой мира разработан, чтобы скрыть вас от правды: правда, что Ваша операционная система действительно полностью принадлежит нападающему. Без даже зная вашей тюрьме, Вы беззастенчиво идти по жизни вашей жизни, управления вашей системе, и невольно давая нападавших контроль все.

Вы когда-либо видели фильм Матрица? Если у вас нет, мы будем осторожны, чтобы не отдать любые элементы для тех немногих людей, кто еще не видел фильма или его последствиями. Для тех, кто видел это, фильм дает некоторые прекрасные иллюстрации, которые помогут сделать идеи, ядра режиме RootKits более конкретные. Вы знаете, некоторые люди Матрица по сравнению с конечной Тест Роршаха. Глядя в и толкования смысла этого клякса, которая Матрица действительно показывает собственную философию и мировоззрение. Некоторые поклонники думаю, что фильм о буддизм, христианство, Гностицизм, индуизм, ислам или иудаизм. Другие думают, что это большое flick о боевых искусств или огнестрельного оружия. Но я здесь, чтобы сказать вам, что Матрица действительно все относительно: ядро режиме RootKits.

В фильме, некоторые довольно зло существ манипулировать своими жертвами так, что они соединены в моделирования виртуальной реальности, что выглядит реальный мир. С их мозги соединены в матрицу, жертв считают, что они живут нормальной жизнью, платят свои налоги, собирается в церковь, и принимая их landladies "мусора. Однако, жертвы действительно лежал на стручки полный розовых goo, полностью осведомлены о своих реальных физических обстоятельствах. В виртуальной реальности образа жизни - это лишь мираж, призванной поработить жертв тем, что зло существа могут использовать свои ресурсы. Что ядро режиме RootKit, как вам кажется, просматриваете свои реальные системы, но нападавших изменили ядро с тем чтобы они могли использовать ваши ресурсы системы без вашего ведома. Вы можете не осознать это, но с ядром режиме RootKit, компьютер живет ложь. Ваш компьютер злоумышленник контролируемых Matrix, и вы неосознанно, оказавшихся внутри.

Имейте в виду, что для каждой из концепций и нападения мы обсуждаем для Linux и Windows, аналогичных идей относится к другим операционным системам. Учитывая различия в ядре реализации различных вариантов UNIX, мы должны выбрать один образец из мира UNIX проанализировать более подробно. Мы сосредоточиться на Linux, как одной из наиболее распространенных представителей UNIX и UNIX подобных операционных систем. В дополнение к Linux, мы взглянуть на ядро Windows, поскольку ее широкое развертывание и популярность в качестве целевого для ядра режиме RootKits. Однако, имейте в виду, что подобные ядра режиме RootKit концепции были выполнены и для других операционных систем, включая Solaris FreeBSD и другие. Анализируя детали нападения на ядро Linux и Windows, мы можем не только понимать, как они работают подробно на самых популярных платформах, но и получить на высоком уровне ввиду аналогичные методы, которые используются против других систем.

в этой статье идет речь добавил Рафаэль Кван

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions