Neue Rootkit-Technik für Linux
Der Linux-Experte Anthony Lineberry will in Kürze die Library libmemrk veröffentlichen. Das hat er während seines Vortrags "Alice in User-Land: Hijacking the Linux Kernel via /dev/mem" auf der aktuell in Amsterdam stattfindenden IT-Sicherheitskonferenz Black Hat bekannt gegeben. Libmemrk soll in 32- und auch 64-Bit-Umgebungen funktionieren.
Mit libmemrk soll Entwicklern von Rootkits ein neuer Weg offen stehen, um Files oder Prozesse zu verstecken oder den Netzwerkverkehr zu beeinflussen. Der Trick: libmemrk nutzt den Gerätetreiber /dev/mem, um ohne weitreichende Berechtigung aus dem Userland beliebigen Code in den Arbeitsspeicher zu schreiben. /dev/mem ist ein Interface, um den physikalisch adressierbaren Speicher zu nutzen und wird beispielsweise von XServer oder DOSEmu verwendet. Das Einbringen von Rootkits über /dev/mem soll zudem weniger auffällig sein, als der herkömliche Weg über Loadable Kernel Modules (LKM).
Die Library nimmt den Rootkit-Programmierern zudem die Arbeit ab, die virtuellen Speicheradressen in physikalische umzusetzen und die für den Angriff nutzbaren Speicherbereiche zu identifizieren. Erst wenn die passenden Bereiche gefunden sind, kann der Angreifer die vorhandenen System Calls überschreiben und durch eigenen Code ersetzen. Der eigentliche, vom Kernel in den Speicher geschriebene Inhalt wird derweil in einen Buffer ausgelagert.
- Quelle: heise.de (Neue Rootkit-Technik)