Новый Userland-RootKit Azazel
Возможно вы слышали про руткиты Jynx и Jynx2. Это так называемые userland-руткиты, они используют возможность переменной LD_PRELOAD, которая позволяет подгружать любые библиотеки до того, как будет запущена программа. Они уже относительно старые, но все еще хорошо работают. 2 дня назад, Github-пользователь Chokepoint выложил rootkit Azazel. Он основан на исходном коде Jynx и имеет много новых фич: Антиотладочные механизмы Скрытие от unhide, lsof, ps, ldd Скрытие файлов и директорий Скрытие удаленных подключений Скрытие процессов Скрытие логинов Скрытие от локального сниффинга трафика через PCAP 2 бекдора с полноценными шеллами (с PTY): — Crypthook accept ()-бекдор — Обычный accept ()-бекдор PAM-бекдор для аутентификации под любым пользователем Очистка логов utmp/wtmp для PTY Обфускация строк скомпилированной библиотеки через xor. Давайте рассмотрим их подробно. Читать дальше →
