P

odczas konferencji BSides w Monachium Stephan Berger oraz Asger Strunk przedstawili prelekcję pt. “/proc Dla Analityków Bezpieczeństwa: Ujawnianie Ukrytych Zagrożeń i Skarbów dla Informatyki Śledczej” (ang. “/proc For Security Analysts: Unveiling Hidden Threats And Forensic Treasures”), której agenda oraz poruszane tematy idealnie pasują, aby przeprowadzić małe podsumowanie tego zestawu tematów na przykładach poruszanych w szerszym zakresie na łamach NF.sec. Dlatego pozwolę sobie na małą transkrypcję owej prelekcji wraz z odsyłaniem do bardziej obszernych publikacji zagłębiających się w poruszane tematy. Oprócz dobrze już nam znanych zagadnień autorzy dodali również klika nowych smaczków, z których możemy dowiedzieć się nowych rzeczy i uzupełnić swój warsztat.
[ czytaj całość… ]

W

biologii symbiont to organizm żyjący w symbiozie z innym organizmem (np. bakterie w jelicie grubym u człowieka, bakterie; które trawią celulozę u przeżuwaczy). Symbioza może być obustronnie korzystna dla obu organizmów, ale czasami może być pasożytnicza, gdy jeden organizm zyskuje, a drugi jest uszkadzany. Kilka miesięcy temu zespoły bezpieczeństwa z firmy Intezer oraz BlackBerry odkryły nowe, dobrze maskujące się złośliwe oprogramowanie dla systemu Linux, które działa właśnie w taki pasożytniczy sposób. Tym, co odróżnia Symbiote od innych złośliwych programów dla systemu Linux, z którymi zazwyczaj można się spotkać, jest fakt, że musi zainfekować inne uruchomione procesy, aby wyrządzić szkody zainfekowanym maszynom. Nie jest to samodzielny plik wykonywalny uruchamiany w celu zainfekowania systemu, ale biblioteka obiektów współdzielonych (.so), która jest ładowana do wszystkich uruchomionych procesów przy użyciu LD_PRELOAD (T1574.006) i pasożytniczo infekuje maszynę. Po zainfekowaniu wszystkich uruchomionych procesów zapewnia aktorowi funkcjonalność rootkita, możliwość zbierania poświadczeń oraz zdalny dostęp.
[ czytaj całość… ]

P

rzewiduje się, że do końca 2025 roku ponad 30 miliardów urządzeń IoT będzie podłączonych do internetu. To doskonale definiuje cele na kolejne lata dla szkodliwego oprogramowania. Aktualnie w internecie występuje wzmożona aktywność programu XorDDoS. Jest to koń trojański z funkcjami rootkita wykorzystywany do przeprowadzania ataków DDoS na dużą skalę. Jego nazwa pochodzi od szyfrowania XOR, które często jest wykorzystywane w złośliwym oprogramowaniu, jak i w komunikacji sieciowej do C&C. Inspirowany projektem rooty został stworzony dla wielu architektur systemu Linux: ARM, x86 i x64. Wykryty w 2014 roku przez grupę badawczą zajmującą się bezpieczeństwem MalwareMustDie i do dzisiaj pozostaje aktywny. De facto w 2021 roku aktywność tego malware wzrosła o 123% w porównaniu do 2020 roku. Z kolei według telemetrii firmy Microsoft XorDDoS od początku roku zwiększył swoją aktywność o 254%. Prześledźmy jego działanie.
[ czytaj całość… ]

O

d wersji 2.6.31 Linux daje nam namiastkę funkcjonalności jądra monolitycznego, czyli możliwość blokady ładowania nowych modułów. Wykorzystanie tej opcji podnosi poziom ochrony systemu przed załadowaniem szkodliwych modułów oraz ograniczenia działania niektórych rootkitów.
[ czytaj całość… ]

P

ewnego, dawnego razu – pewna firma – nazwijmy ją X – zauważyła, że jej firmowy serwer z aplikacją Y zaczyna coraz bardziej wolniej przetwarzać dane. Ówczesny administrator (specjalizujący się głównie w systemach .exe) zwrócił się do mnie z prośbą o “rzucenie okiem”, czy czasami serwer lub aplikacja nie wymaga zmian w konfiguracji, w celu przywrócenia pierwotnej wydajności i czy nie wynika to z ilości danych jakie zostały już przetworzone. Po uzyskaniu klucza SSH na konto uprawnione do polecenia sudo – 18.02.2011 roku zalogowałem się na serwer Z firmy X w celu sprawdzenia ogólnego stanu serwera. Po uzyskaniu informacji o stanie wolnego miejsca na partycji dla danych z aplikacji za pomocą polecenia df -h przyszedł czas na sprawdzenie aktualnych procesów za pomocą ulubionego narzędzia htop.
[ czytaj całość… ]

M

alware to potoczne określenie złośliwego oprogramowania (ang. malicious software). Jest ono szeroko rozpowszechnione w Internecie, infekując tysiące komputerów na całym świecie. Wiedza hakerów jest bardzo duża, a współczesne programy typu malware są coraz bardziej zaawansowane.
[ czytaj całość… ]

R

ootkity od zawsze były zmorą administratorów sieci. Jednak wraz z rozwojem technologii ukrywania złośliwego kodu w systemie, rozwijały się także narzędzia, które go wykrywały. Przed ich twórcami stanęło teraz nowe zadanie: rootkity, które ukrywają się w BIOSie, znane pod nazwą rootkitów ACPI.
[ czytaj całość… ]

P

rzede wszystkim muszę zastrzec, że ten tekst jest specyficzny dla Linuksa i potrzebna jest pewna wiedza o programowaniu w ANSI C oraz trochę o asemblerze. Było już dawniej parę różnych technik wstrzykiwania procesu z udziałem, kilka publicznych, jak i prywatnych exploitów, furtek i innych aplikacji. Przyjrzymy się bliżej funkcji i nauczymy się, jak pisać własne furtki.
[ czytaj całość… ]

G

łośno o rootkitach zaczęło się mówić od czasu skandalu w roku 2005. Ujawniono wtedy, że firma Sony BMG Music Entertaiment do ochrony praw własności wykorzystała rootkita (aries.sys) umieszczonego w oprogramowaniu XCP Content Protection DRM. Tak naprawdę rootkity zaczęły się pojawiać w systemach komputerowych w połowie lat 90-tych XX wieku.
[ czytaj całość… ]