Rootkit für Linux 2.6 demonstriert

MobyDuck

Mal wieder neues zum Thema Rootkits:

Auszug:

Zitat:

Im Gegensatz zu früheren Kernelversionen konnte man bisher, wie Amir Alsbih schreibt, im 2.6er Kernel von Linux weder Rootkits noch Abwehrmaßnahmen, also Sicherheitsmodule, implementieren. Der Grund hierfür ist, dass im 2.6er Kernel die Systemcall-Tabelle nicht mehr exportiert wird und damit die Adressen der Systemcalls nicht mehr bekannt sind.

Amir Alsbih zeigt nun mit einem Demo-Rootkit auf, wie man sehr einfach durch das Durchsuchen des Datensegmentes im Kernel wieder an die Adresse des Linux-Systemcalls kommt und damit sämtliche Systemcalls unter Linux 2.6 manipulieren kann.

Das Rootkit bietet sämtliche Funktionalitäten, die ein Rootkit besitzen sollte: Prozesse verstecken, Prozesse auflisten, Kindprozesse automatisch verstecken, Netzwerkports verstecken und UserIDs automatisch Root-Rechte verschaffen.