image

Hacker demonstreert stiekeme Linux rootkit

woensdag 15 april 2009, 14:43 door Redactie, 17 reacties

Een beveiligingsonderzoeker demonstreert morgen een nieuwe, stiekeme manier om Linux te hacken. De aanval van Anthony Lineberry maakt gebruik van een vaak vergeten functie in Linux 2.4 en nieuwer en maakt het mogelijk om stilletjes een rootkit aan de kernel van het besturingssysteem toe te voegen. Tijdens de Black Hat Europe conferentie in Amsterdam deze week, laat Lineberry zien hoe hij via de driver interface toegang tot het fysiek adresseerbare geheugen krijgt.

"Een voordeel van deze aanpak is dat de meeste kernel module rootkits veel lawaai bij het injecteren van code maken. Deze aanval manipuleert direct het geheugen, en valt daarom minder op." De proof-of-concept van de onderzoeker kan zowel naar het kernelgeheugen schrijven als lezen, alsmede code in de kernel bewaren.

Het idee om via /dev/mem de Linux kernel te hacken is niet nieuw, maar de rootkit toepassing is volgens Lineberry nog niet eerder vertoond. "Mensen weten wat je met deze /dev/mem apparaten kan doen, maar ik heb nog nooit een /dev/mem rootkit gezien." Heeft een aanvaller eenmaal via deze manier toegang verkregen, dan kan hij van alles doen. Het probleem wordt vergroot doordat Linux-systeembeheerders zich vaak niet bewust van de gevaren zijn als ze /dev/me blootstellen. Door zijn onderzoek hoopt Lineberry het bewustzijn te vergroten. Zo is er onlangs een patch verschenen om toegang tot /dev/mem van buitenaf te beperken. "Het probleem met kernel rootkits, is dat de rootkit detectie kan voorkomen, omdat die volledig in controle is."

Reacties (17)
15-04-2009, 15:35 door meinonA
$ ls /dev/mem -la
crw-r----- 1 root kmem 1, 1 2009-04-15 09:49 /dev/mem

Ik heb echt geen schrijfrechten op /dev/mem, hoe kan ik daar dan iets in zetten???
15-04-2009, 15:42 door DeFix
Door meinonA: $ ls /dev/mem -la
crw-r----- 1 root kmem 1, 1 2009-04-15 09:49 /dev/mem

Ik heb echt geen schrijfrechten op /dev/mem, hoe kan ik daar dan iets in zetten???

Misschien omdat het geen directory is maar een pagefile?

Probeer is: cat /dev/mem

success.
15-04-2009, 17:21 door Anoniem
cat /dev/mem > Permission denied
15-04-2009, 17:47 door Anoniem
hxxps://bugzilla.redhat.com/show_bug.cgi?id=460857

Ik weet niet wat er met het blackhat screening proces is gebeurd maar dit is bizar slecht, deze techniek is gewoon oud.
15-04-2009, 17:58 door Anoniem
Het is geen pagefile, maar een device die via standaard API's toegang tot het geheugen van je systeem geeft. Overigens is pagefile een typische Windows (of VMS ;) term..

MeinonA heeft, mits root, wel degelijk schrijftoegang tot het device. Het is een rootkit, dus het hebben van root-rechten is vrij logisch..
15-04-2009, 18:18 door Anoniem
Door DeFix:
Door meinonA: $ ls /dev/mem -la
crw-r----- 1 root kmem 1, 1 2009-04-15 09:49 /dev/mem

Ik heb echt geen schrijfrechten op /dev/mem, hoe kan ik daar dan iets in zetten???

Misschien omdat het geen directory is maar een pagefile?

Probeer is: cat /dev/mem

success.
sander@sander-desktop:~$ cat /dev/mem
cat: /dev/mem: Toegang geweigerd
15-04-2009, 20:13 door Eerde
Als root #: cat /dev/mem
16-04-2009, 02:23 door Anoniem
welkom tot 1992AD, jemig, das bizar dat die gozer daar in 2009 over wil gaan lullen ... weer een prachtig voorbeeld van whitehat ignorance.
16-04-2009, 08:44 door Anoniem
Door Eerde: Als root #: cat /dev/mem

als je al root bent heb je geen crack meer nodig toch?
16-04-2009, 09:35 door SirDice
Door Anoniem:
Door Eerde: Als root #: cat /dev/mem

als je al root bent heb je geen crack meer nodig toch?
Een rootkit is geen exploit.
16-04-2009, 10:13 door Anoniem
Een rootkit is per definitie ´stiekem´
16-04-2009, 15:53 door Anoniem
Deze exploit is al een hele poos gefixed, vorig jaar September al.
16-04-2009, 23:12 door Anoniem
Inderdaad, vanaf kernel versie 2.6.26 werkt dit niet meer.
De oude techniek gebruikte /dev/kmem niet /dev/mem.
Een aantal aardige technieken, allemaal deels bekend, zijn verfijnd en worden gecombineerd.
(ik heb het praatje vandaag gezien)
De mensen met de access-problemen hebben waarschijnlijk een recente kernel... En de truuk werkt(e) met alleen maar userland rechten, niet meet rootrechten. Dus het was wel degelijk een probleem.
17-04-2009, 01:40 door Eerde
Nou het zou vanmiddag gebeurt moeten zijn..... maar het is ijzig stil :?
17-04-2009, 02:40 door Anoniem
Door Anoniem: Een rootkit is per definitie ´stiekem´

Een rootkit is letterlijk een kit die je gebruikt om root te BEHOUDEN.
Dat heeft per definitie niets met stiekem te maken. Wel is het in de praktijk erg handig als de eigenaar niet doorheeft dat een rootkit voor iemand anders root toegang houd...
17-04-2009, 10:21 door Anoniem
Over oude koeien uit de sloot halen gesproken;

http://www.phrack.org/issues.html?issue=48&id=2#article
01-07-2009, 11:49 door DeFix
Door Anoniem:
Door DeFix:
Door meinonA: $ ls /dev/mem -la
crw-r----- 1 root kmem 1, 1 2009-04-15 09:49 /dev/mem

Ik heb echt geen schrijfrechten op /dev/mem, hoe kan ik daar dan iets in zetten???

Misschien omdat het geen directory is maar een pagefile?

Probeer is: cat /dev/mem

success.
sander@sander-desktop:~$ cat /dev/mem
cat: /dev/mem: Toegang geweigerd


Misschien moet je even sudo ervoor zetten "als je op Ubuntu werkt" zo te zien aan je pc naam wel ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.