Возможно вы слышали про руткиты Jynx и Jynx2. Это так называемые userland-руткиты, они используют возможность переменной LD_PRELOAD, которая позволяет подгружать любые библиотеки до того, как будет запущена программа. Они уже относительно старые, но все еще хорошо работают.
2 дня назад, Github-пользователь Chokepoint выложил rootkit Azazel. Он основан на исходном коде Jynx и имеет много новых фич:
- Антиотладочные механизмы
- Скрытие от unhide, lsof, ps, ldd
- Скрытие файлов и директорий
- Скрытие удаленных подключений
- Скрытие процессов
- Скрытие логинов
- Скрытие от локального сниффинга трафика через PCAP
- 2 бекдора с полноценными шеллами (с PTY):
- — Crypthook accept()-бекдор
- — Обычный accept()-бекдор
- PAM-бекдор для аутентификации под любым пользователем
- Очистка логов utmp/wtmp для PTY
- Обфускация строк скомпилированной библиотеки через xor.
Давайте рассмотрим их подробно.Читать полностью »