Kernel Manipulatie Gevolgen


  Share  
|

Wat gebeurt er als enige bad guy begint het manipuleren van de kernel zelf? Omdat de kernel draait alles om controle, door wijziging van de kernel, kan een aanvaller het systeem veranderen in een fundamentele manier. De toepassing van wijzigingen in de kernel, de aanvaller vereist in de eerste privileges op de machine. Om de kernel, manipuleren root-niveau toegang is nodig op UNIX-machines, en beheerder of toegang tot het systeem is vereist op Windows-systemen. Eenmaal geïnstalleerd, een kernel-mode RootKit vervangt of wijzigt onderdelen van de kernel. Deze wijzigingen kunnen maken alles op het systeem lijken te draaien perfect, maar het besturingssysteem is echt verrot. De aanvaller kan de kernel zodat het ligt over de status van de machine.

Zo kan de administrator uitvoeren van een opdracht kijken om te zien of achterdeur processen worden uitgevoerd. Deze opdracht vraagt de kernel om een lijst van lopende processen. Als alternatief kan een administrator uitvoeren van een bestand Integrity Checker om te zien of bepaalde kritieke bestanden op de machine zijn veranderd. Het bedriegen kernel vertelt de beheerder dat er geen bestanden zijn gewijzigd; ziet alles er prachtig.

Met behulp van kernel manipulatie, kan de aanvallers de kernel veranderen zodat het grondig verbergt de activiteiten van de aanvaller op de machine. De meeste kernel-mode Rootkits omvatten de volgende typen drogredenen:

  • File en directory verbergen. De meeste kernel-mode Rootkits verbergen bestanden en mappen van de gebruikers en systeembeheerders. Wanneer een bestand verborgen is, zal de kernel liggen aan een programma dat gaat op zoek naar het bestand.

  • Proces ondergedoken. Door verbergen van een proces met behulp van een kernel-mode RootKit, kan de aanvaller maakt een onzichtbare achterdeur die niet kan worden ontdekt met behulp van proces analyse tools.

  • Netwerkpoort verbergen. Door verstoppen luisteren TCP-en UDP-poorten, zodat lokale programma's niet kan zien, is achterdeur de bad guy is nog geheim te.

  • Promiscuous mode ondergedoken. De aanvaller wil niet dat een beheerder op te sporen een sniffer draait op de doos in promiscuous mode, dus de meeste kernel-mode rootkits liegen over de promiscue status van het netwerk interface.

  • Uitvoering omleiding. Met deze functie van veel kernel-mode rootkits, wanneer een gebruiker of beheerder loopt een programma, de kernel doet alsof het uitvoeren van de gevraagde programma. Echter, de kernel echt substituten een ander programma in een aas-en-switch manoeuvre. Gebruikers en systeembeheerders denken dat ze draaien een programma, maar echt op de uitvoering van een ander programma van de keuze van de aanvaller. Bijvoorbeeld, in plaats van te vertrouwen op user-mode rootkit technieken ter vervanging van de Secure Shell daemon (sshd) op een slachtoffer machine, met een kernel-mode rootkit, kan een aanvaller redirect uitvoering van de sshd uitvoerbare naar een andere versie met een backdoor. De beheerder kan zelfs de integriteit van de sshd bestand. Toch zal het bestand kijken volledig intact, omdat het intact is. Echter, wanneer een gebruiker of beheerder probeert de sshd bestand uit te voeren door op afstand in te loggen, zal de achterdeur versie worden uitgevoerd, zodat de bad guy toegang op afstand tot het slachtoffer machine.

  • Apparaat onderschepping en controle. Met behulp van een kernel-mode, RootKit een aanvaller kunnen onderscheppen of manipuleren van gegevens die van of naar een hardware-apparaat op de machine. Zo kan een bad guy wijziging van de kernel om alle toetsaanslagen getypt in het systeem in een lokaal bestand op de computer opnemen, waardoor de uitvoering van een zeer heimelijke toetsaanslag logger. Als alternatief hebben aanvallers uitgevoerd kernel aanpassingen die laten bespioneren terminal gebruikers sessies (TTY), observeren en zelfs injecteren toetsaanslagen, evenals de antwoorden die door het systeem.

Denk over dit vanuit de aanvaller gezien. Met een user-mode rootkit, heeft de aanvaller in te breken in de doos en een heleboel programma's te verbergen en een backdoor te voeren wijzigen. Op een UNIX-systeem, kan de aanvaller in de pauze, het opstarten van een backdoor schelp luisteraar, en gebruik vervolgens een tool zoals URK aan ps, ls, netstat vervangen, en diverse andere opdrachten. De aanvaller heeft dan om de correctie op routine de wijziging data vast te lopen en lengtes van deze commando's bestand naar de juiste waarden. Dan het gezwoeg blijft als de aanvaller configureert de verschillende onderdelen te verbergen en backdoors van Urk. Na al dit vermoeiende werk, de aanvaller heeft nog steeds zorgen te maken over een verdacht systeembeheerder weergegeven met een cd-rom vol met statisch gelinkt dubbelsterren, zoals statische tools Bill Stearns 'voor Linux op www.stearns.org / staticiso, Die zal niet liegen over het systeem staat. Deze user-mode Rootkits zijn een hoop werk, en zijn niet erg sluipende als de beheerders hun eigen programma's brengen op een cd.

Echter, met een kernel-mode RootKit, de hele vergelijking veranderingen in het voordeel van de aanvaller. In plaats van de aanpassing van een bos van individuele programma's, de aanvaller wijzigt de onderliggende kernel die deze programma's alle vertrouwen. Een bestand te verbergen, zal de bad guy niet ls veranderen, vinden, du, en andere opdrachten. In plaats daarvan, de aanvaller wijzigt alleen de kernel, zodat het ligt aan een bepaalde opdracht of programma uitgevoerd door de beheerder op zoek naar dat bestand. Op deze manier kernel-mode Rootkits zijn veel efficiënter voor de aanvaller.

Met een kernel-mode rootkit, de aanvaller morphs het systeem, zodat beheerders en gebruikers zijn in een gevangenis, maar zelfs niet beseffen. Je zou kunnen denken dat u met bepaalde programma's of kijken naar de status van uw machine, maar je weet niet dat je een fantasie bedacht door de aanvaller aan het bekijken bent en uitgevoerd met een kernel-mode RootKit. Wat je ziet is niet echt uw besturingssysteem, maar alleen een droom wereld ontworpen om u te verbergen van de waarheid: de waarheid dat uw besturingssysteem is echt volledig in handen van de aanvaller. Zonder zelfs bewust van je gevangenis, u vrolijk verder te leven je leven, het beheer van uw systeem, en onbewust laten de aanvallers controle alles.

Heb je ooit de film The Matrix? Als u nog niet, ik zal voorzichtig zijn niet weg te geven eventuele spoilers voor die paar zielen die nog niet hebben gezien de film of het vervolgen. Voor degenen die hebben gezien, de film bevat een aantal uitstekende illustraties die helpen om de ideeën achter de kernel-mode rootkits meer beton. Weet je, sommige mensen hebben ten opzichte van The Matrix de ultieme Rorschach-test. Bent u op zoek naar en de interpretatie van de betekenis van de inkblot dat is The Matrix echt onthult je eigen filosofie en wereldbeeld. Sommige fans denken dat de film gaat over het boeddhisme, christendom, gnosticisme, hindoeïsme, islam, of jodendom. Anderen vinden het een geweldige film over vechtsporten of vuurwapens. Maar ik ben hier om u te vertellen wat The Matrix is echt alles over: kernel-mode rootkits.

In de film, behoorlijk kwaad wezens hun slachtoffers te manipuleren zodat ze zijn geschakeld in een virtual reality simulatie die lijkt op de echte wereld. Met hun hersenen bekabeld in de Matrix, de slachtoffers geloven dat ze leven normaal leven, hun belastingen betalen, gaat naar de kerk, en het nemen van hun vuilnis landladies '. Toch zijn de slachtoffers echt lag in peul vol roze goo, volkomen onbewust van hun werkelijke fysieke omstandigheden. De virtuele realiteit beeld van hun leven is slechts een fata morgana, ontworpen om de slachtoffers zo knechten dat het kwade wezens hun middelen kunnen gebruiken. Met een kernel-mode RootKit, denk je dat je op zoek bent om je echte systeem, maar de aanvallers hebben de kernel veranderd, zodat zij uw systeem middelen kunnen gebruiken zonder uw medeweten. U realiseert het zich misschien niet, maar met een kernel-mode RootKit, is uw computer leven een leugen. De computer is een aanvaller-gecontroleerde Matrix en je bent onbewust binnen opgesloten.

Houd er rekening mee dat voor elk van de concepten en aanvallen bespreken we voor Linux en Windows, analoog ideeën van toepassing op andere besturingssystemen. Gezien de verschillen in de kernel implementaties van diverse UNIX-varianten, moeten we een exemplaar kiezen uit de UNIX-wereld te analyseren in meer detail. We richten op Linux als een van de meest voorkomende vertegenwoordigers van UNIX en UNIX-achtige besturingssystemen. Naast Linux zullen we kijken naar de Windows-kernel vanwege de wijdverbreide invoering en populariteit als een doelwit voor kernel-mode rootkits. Houd echter in gedachten dat soortgelijke kernel-mode RootKit concepten zijn uitgevoerd voor andere besturingssystemen, inclusief FreeBSD en Solaris anderen. Door het analyseren van de gegevens van de kernel-aanvallen op Linux en Windows, kunnen we niet alleen begrijpen hoe ze werken in detail op de meest populaire platforms, maar ook een hoog niveau het licht van vergelijkbare technieken die gebruikt worden tegen andere systemen.

een artikel afkomstig van Rafael Kwan

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions