anonymous@RULINUX.NET~# Last login: 2024-11-16 09:00:34
Регистрация Вход Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск
[#] [Добавить метку] [Редактировать]
Скрыть

Возросла популярность линупса, пипл переквалифицируется с венды

Georg Wicherski обозревая свежего троянчика для Дебиана, порадовался что виндузячьи руткитописатели начинают уделять внимание онтопику, но в то же время отметил, что русским хакерам, изготовившим сию поделку, надо писать более аккуратный код и слегка подтянуть матчасть:

Since no identifying strings yielded results in an Internet search (except for the ksocket library), it appears that this is not a modification of a publicly available rootkit. Rather, it seems that this is contract work of an intermediate programmer with no extensive kernel experience, later customized beyond repair by the buyer.

 Although the code quality would be unsatisfying for a serious targeted attack, it is interesting to see the cyber-crime-oriented developers, who have partially shown great skill at developing Windows rootkits, move into the Linux rootkit direction. The lack of any obfuscation and proper HTTP response parsing, which ultimately also led to discovery of this rootkit, is a further indicator that this is not part of a sophisticated, targeted attack.

Based on the Tools, Techniques, and Procedures employed and some background information we cannot publicly disclose, a Russia-based attacker is likely. It remains an open question regarding how the attackers have gained the root privileges to install the rootkit. However, considering the code quality, a custom privilege escalation exploit seems very unlikely.

(c) http://blog.crowdstrike.com/2012/11/http-iframe-injecting-linux-rootkit.html

anonymous(*) (2012-11-20 22:32:20)
Отредактировано anonymous по причине "не указана"

[Ответить на это сообщение]
avatar
Скрыть

Re:Возросла популярность линупса, пипл переквалифицируется с венды

Да, а вот описание как троянчик был выявлен: http://seclists.org/fulldisclosure/2012/Nov/94 - фу, автору должно быть стыдно по-моему.

anonymous(*)(2012-11-20 22:37:54)

Этот тред читают 1 пользователь:
Анонимных: 1
Зарегистрированных: 0




(c) 2010-2020 LOR-NG Developers Group
Powered by TimeMachine

Valid HTML 4.01 Transitional Правильный CSS!