Anthony Lineberry, un experto en seguridad Linux, ha anunciado en la conferencia de seguridad BlackHat que próximamente publicará la librería libmemrk, que funciona en entornos de 32 y 64 bits.
Esto ofrece a los desarrolladores de rootkits una nueva forma de ocultar sus archivos, sus procesos o interferir en el tráfico de red. Las nuevas posibilidades radican en que, sin necesidad de derechos extendidos, libmemrk usa el controlador “/dev/mem” para escribir código arbitrario desde el espacio de direcciones del usuario a la memoria principal. “/dev/mem” es un interface que permite el uso de la memoria física direccionable, y que es usado entre otros por XServer y DOSEmu. Lineberry afirma que la introducción de rootkits a través de este interface es menos llamativa que hacerlo a través de los módulos del kernel (LKMs).
La librería permite ahorrar mucho trabajo a los programadores de rootkits, puesto que evita tener que trasladar el espacio de direcciones virtual al físico, e identificar un rango de memoria que pueda ser explotado en el ataque.
Los pasos detallados para que un ataque tenga éxito son descritos por Lineberry en el documento pdf “Malicious Code Injection via /dev/mem“. Lineberry avisa que el ataque no tiene éxito en entornos virtuales porque el hipervisor se comporta de forma diferente a los entornos no virtualizados. Además, explica que, independientemente de libmemrk, todo el ataque debe ser programado en lenguaje ensamblador. La intención de Lineberry en un futuro es usar “libcc” para mitigar este obstáculo.
Lineberry también ofrece algunos consejos sobre cómo el mundo Linux puede protegerse de los rootkits de esta clase. Él cree que debería ser suficiente con modificar el driver de memoria para que no permita al puntero de lectura/escritura “lseek” buscar más de 16 Kb en el área de memoria. Las versiones actuales de Red Hat y Fedora son seguras por naturaleza ya que sus kernels incorporan las características SELinux (Security Enhanced Linux).
0 entradas a blog:
Publicar un comentario