Анти-руткит для Userland-RootKit Azazel «на коленке»
Вот шикарная новость от пользователя ValdikSS — Новый Userland-RootKit Azazel. Позволю себе процитировать первый абзац: Возможно вы слышали про руткиты Jynx и Jynx2. Это так называемые userland-руткиты, они используют возможность переменной LD_PRELOAD, которая позволяет подгружать любые библиотеки до того, как будет запущена программа. Они уже относительно старые, но все еще хорошо работают. 2 дня назад, Github-пользователь Chokepoint выложил rootkit Azazel. Он основан на исходном коде Jynx и имеет много новых фич: Антиотладочные механизмы Скрытие от unhide, lsof, ps, ldd Скрытие файлов и директорий Скрытие удаленных подключений Скрытие процессов Скрытие логинов Скрытие от локального сниффинга трафика через PCAP 2 бекдора с полноценными шеллами (с PTY): — Crypthook accept ()-бекдор — Обычный accept ()-бекдор PAM-бекдор для аутентификации под любым пользователем Очистка логов utmp/wtmp для PTY Обфускация строк скомпилированной библиотеки через xor. Таким образом, в рутките используется штатная возможность подгружать через LD_PRELOAD любую библиотеку. Встаёт вопрос, а можно ли это как-то контролировать? Хочу узнать как
