Nieuws
image

De ongrijpbare rootkit

dinsdag 10 juni 2003, 14:39 door Redactie, 7 reacties

Programma's en vaardigheden om forensisch onderzoek mee te dwarsbomen verschijnen steeds meer in de ondergrondse hacker scene. Een voorbeeld hiervan zijn Loadable Kernel Modules, programma's die zelfs voor forensische experts data kunnen verbergen. LKMs zijn bestanden die bepaalde componenten bevatten die dynamisch draaien. Normaal worden LKMs gebruikt om hardware drivers te laden. Hackers kunnen LKM rootkits maken die toegang hebben tot de kernel, terwijl processen, verbindingen, directories en bestanden verborgen worden zonder dat men de binaries van een programma aanpast. In dit artikel wordt gesproken over deze rootkits.

Reacties (7)
10-06-2003, 14:51 door Anoniem
Tuurlijk, maar focusseer je met forensisch onderzoek vooral op de media waar het allemaal op te doen is.

Gewoon de harddisk hard uitlezen ;)
10-06-2003, 14:56 door Anoniem
welk een zeldzaam technisch gedetailleerd stuk tekst. sorry, maar volgens mij is het niet meer dan het bangmaken van onwetende "ict managers".
10-06-2003, 14:59 door Anoniem
Originally posted by Unregistered
sorry, maar volgens mij is het niet meer dan het bangmaken van onwetende "ict managers".
Hebben die wat te verbergen dan? Met welke reden zou je daar anders bang voor worden?
10-06-2003, 15:33 door Anoniem
Dergelijke rootkits worden al langer gebruikt. Zorgen dat er een kernel actief is die geen LKM's ondersteunt is de oplossing hiervoor. Zo vaak zal bij een server immers ook de hardware niet veranderen, dat het verwijderen van LKM support voor problemen kan zorgen.
10-06-2003, 19:09 door Anoniem
Originally posted by Mariella
Dergelijke rootkits worden al langer gebruikt. Zorgen dat er een kernel actief is die geen LKM's ondersteunt is de oplossing hiervoor. Zo vaak zal bij een server immers ook de hardware niet veranderen, dat het verwijderen van LKM support voor problemen kan zorgen.
Het uitschakelen van support voor LKM's lost dit probleem niet op; een hacker zou middels /dev/kmem alsnog on the fly de kernel kunnen 'patchen'. Zie http://www.phrack.org/show.php?p=58&a=7
11-06-2003, 00:39 door Donz
Het uitschakelen van support voor LKM's lost dit probleem niet op

Besides, het is natuurlijk niet handig dat als je de RTC driver vergeten bent je de hele server moet rebooten. :)
Of voor updates van bijvoorbeeld een module. En weet trouwens niet of lsmod ook te vervalsen is.
11-06-2003, 04:41 door Anoniem
Originally posted by Donz
Besides, het is natuurlijk niet handig dat als je de RTC driver vergeten bent je de hele server moet rebooten. :)
Of voor updates van bijvoorbeeld een module. En weet trouwens niet of lsmod ook te vervalsen is.
Het is dan ook een veel strakker plan om die dubieuze figuren buiten de deur te houden en ze die kans niet te geven tot het plaatsen van een RootKit.
Ja toch zeker? :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure