隐身,棘手删除rootkit目标Linux系统和x86
曼彻斯特举办国际信息自由活动
IBM的Power9芯片即将到来,这是您需要知道的
下一步数字政府职位选?
美国海军陆战队正在测试口袋大小的直升机无人机
宽带满意度水平随着BRITS流的更多内容而下降
Top Surgeon说,5G创新的优点可能超过NHS的成本
警务应该拥抱IOT机会
HOVIS在人力资源技术推出后提高了职位
HPE表示计划销售其软件单位
Tesla掌握了新电池组的速度和范围
这是DJI的新款可折叠静脉期待的内容
Wekaio带来混合云NAS软件定义的存储
HPE将软件ARM卸载到Micro Focus以88亿美元的旋转合并'
Tesco扩大了同日杂货交付的覆盖范围
Instagram活动频道 - 另一个Snapchat克隆?
谷歌的新Duo视频聊天应用程序的问题
Android 7.0,Nougat:完整的常见问题解答
BBC的Springpatch获得超快宽带升压
新加坡公司对网络攻击毫无准备
三星在印度举行了新的推出了三星智能手机
符合SAP HANA家族最新成员:数据仓库
挪威的铁路局完全向云移动
为什么Facebook的AI终止提出了安全问题
全球网络攻击可能高达120亿美元,警告劳埃德
FullContact Slurps Up Cash和Contacts
Micron的超快速3D XPoint SSD将通过存储合作伙伴发货
当Apple Props它的iPad复出时,平板电脑行业缩小
由于Linux TCP错误,有14亿个Android设备容易劫持劫持
调查显示,网络中的网络准备低
澳大利亚企业看涨AI
在微软浏览器的毁灭性下降中没有放松
Microsoft Bug Bounty程序添加了.NET核心和ASP.NET核心
业务需要真实地了解网络安全,警告BT和kpmg
技术中断力量首席执行官重新思考领导力
绿党赢得了数字性能的比赛
美国房子通过比尔禁止从联邦电脑的看法
三个和奥普尔康的频谱拍卖建议
IR35变更后,一些政府部门在IT承包商中损失了40%
Equinix将其欧洲数据中心与阿姆斯特丹开业扩展
特斯拉的新千兆 - 我们所知道的
物联会刺激汇编语言流行的惊喜激增
'人感知'a.i。可以拯救我们从robopocalypse
MEPS建议禁止加密后门
Singtel Bolsters LTE网络作为新加坡齿轮升级为5克
Sigfox希望推动IoT采用倾斜点
Forrester警告Cios市场整合风险和奖励
GDPR合规无关,相信大多数英国决策者
丹麦航运巨头马斯克从彼得亚网络攻击重新恢复
顶尖提示避免昂贵的办公室365订阅账单
您的位置:首页 >产品 > 人工智能 >

隐身,棘手删除rootkit目标Linux系统和x86

2021-07-15 10:44:08 [来源]:

安全研究人员已经确定了一个新的Linux rootkits,尽管从用户模式运行,可能很难检测和删除。

在黑暗中隐藏的神奇宝贝角色之后,罗龙称为Umbreon,自2015年初以来,rootkit一直在发展,现在正在销售地下市场。它针对X86,X86-64和ARM架构上的基于Linux的系统,包括许多嵌入式设备,如路由器。

根据防病毒公司趋势科技的恶意软件研究人员,Umbreon是一个所谓的戒指rootkit,这意味着它从用户模式运行,并且不需要内核权限。尽管存在这种明显的限制,但它非常能够隐藏自己并持续存在于系统上。

rootkit使用技巧来劫持标准C库(Libc)函数,而无需实际安装任何内核对象。Libc提供系统调用函数,即其他Linux程序可以用于读写文件,产卵过程或发送网络数据包等重要操作。

Umbreon劫持了这些函数,并强制其他Linux可执行文件来使用自己的libc象征库。这将rootkit放在中间位置,能够修改其他程序所做的系统调用并改变其输出。

rootkit还创建了一个隐藏的Linux帐户,可以通过Linux支持的任何身份验证方法访问,包括SSH(Secure Shell)。此帐户不会出现在/ etc / passwd等文件中,因为rootkit可以在读取时修改这些文件的输出,趋势科学研究人员在博客文章中表示。

Umbreon还有一个名为Espeon的后门组件,以另一个神奇宝贝字符命名,可以在受影响设备的受监视的以太网接口上接收到具有特殊字段值的TCP数据包时,为攻击者的机器建立反向shell。这意味着攻击者可以通过通过Internet将特制的数据包发送到受感染的设备来打开远程壳牌。

它很难使用标准的Linux工具检测Umbreon,因为它们中的大多数是用C编写的,依赖于Libc,其输出rootkit劫持roijacks表示。“一种方法是开发一个小型工具,可以直接使用Linux内核Syscalls列出默认Umbreon Rootkit文件夹的内容。”

研究人员说,从受感染的系统中删除来自受感染系统的rootkit也可能是棘手的,特别是对于缺乏经验的用户来说,这可能会使系统无法使用,因此可以使系统无法使用。

趋势科技为新rootkit的文件名和哈希,手动删除说明和yara检测规则提供了妥协指标。

似乎rootkit是为手动安装而设计的,这意味着攻击者在通过其他漏洞泄露它们后手动在系统上安装它。

虽然许多桌面Linux系统接收自动修补程序,但通常由用户保持最新,嵌入式设备,如消费者路由器和基于IP的摄像机很少。

结果,有数百种嵌入式设备在那里易受已知的漏洞利用,并且常规地感染恶意软件。就在上周,Web安全公司SucuRi阻止了一个源于两个僵尸网络的大规模DDOS攻击,其中一个由受感染的中央电视台摄像机组成,一个由劫持家庭路由器组成的僵尸网络组成。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。