Kern-Handhabung Auswirkung


  Share  
|

Was geschieht, wenn irgendein schlechter Kerl anfängt, den Kern selbst zu manipulieren? Weil der Kern ganz über Steuerung ist, indem er ändert, kann der Kern, ein Angreifer das System in einer grundlegenden Weise ändern. Um Änderungen am Kern anzuwenden, erfordert der Angreifer zuerst Benutzerprivilegien auf der Maschine. Um den Kern zu manipulieren, ist Wurzel-Niveau Zugang auf UNIX Maschinen erforderlich, und Verwalter- oder Systemszugang wird auf Windows Systemen angefordert. Sobald angebracht, ersetzt ein Kern-Modus RootKit oder ändert Bestandteile des Kerns. Diese Änderungen konnten alles auf dem System scheinen lassen, tadellos gut zu laufen, aber das Betriebssystem ist zum Kern wirklich faul. Der Angreifer kann den Kern ändern, damit er über den Status der Maschine liegt.

Z.B. konnte der Verwalter einen Befehl laufen lassen, der schaut, um zu sehen, wenn irgendwelche heimlichen Prozesse laufen. Dieser Befehl benennt den Kern, um eine Liste der laufenden Prozesse zu erhalten. Wechselweise konnte ein Verwalter einen Akte Vollständigkeit Kontrolleur laufen lassen, um zu sehen, wenn einige kritische Akten auf der Maschine geändert worden sind. Der betrügende Kern erklärt dem Verwalter, daß keine Akten geändert worden sind; alles schaut wundervoll.

Mit Kernhandhabung können die Angreifer den Kern ändern, damit er gänzlich die Tätigkeiten des Angreifers auf der Maschine versteckt. Der meiste Kern-Modus RootKits schließen die folgenden Arten von subterfuge ein:

  • Akte und Verzeichnisverstecken. Die meisten Kern-Modus RootKits Fellakten und die -verzeichnisse von den Benutzern und von den Systemverwaltern. Wenn eine Akte versteckt wird, liegt der Kern zu jedem möglichem Programm, das kommt, nach der Akte suchend.

  • Prozeßverstecken. Indem er einen Prozeß mit einem Kern-Modus RootKit versteckt, kann der Angreifer ein unsichtbares heimliches verursachen, das nicht mit Prozeßanalyse Werkzeugen entdeckt werden kann.

  • Netztorverstecken. Durch versteckende hörende TCP und UDP Tore, damit lokale Programme nicht sie sehen können, ist des schlechten Kerls, der heimlich ist, sogar stealthier.

  • Gemischtes Modusverstecken. Der Angreifer wünscht einen Verwalter einen Sauganleger nicht ermitteln, auf den Kasten im gemischten Modus, so die meiste Kern-Modus RootKits Lüge über den gemischten Status der Netzschnittstelle zu laufen.

  • Durchführung Umlenkung. Mit dieser Eigenschaft von vielen täuscht Kern-Modus RootKits, wenn ein Benutzer oder ein Verwalter ein Programm laufen läßt, der Kern vor, das erbetene Programm laufen zu lassen. Jedoch ersetzt der Kern wirklich ein anderes Programm in einem Köder-und-Schalter Manöver. Benutzer und Systemverwalter denken, daß sie ein Programm laufen lassen, aber wirklich irgendein anderes Programm des Wählens des Angreifers durchführen. Z.B. anstatt, auf Benutzer-Modus RootKit Techniken zu bauen, zum des sicheren Oberteildämons (sshd) auf einer Opfermaschine, mit einem Kern-Modus RootKit zu ersetzen, kann ein Angreifer Durchführung des sshd gerade umadressieren, das zu einer anderen Version mit einem heimlichem vollziehbar ist. Der Verwalter kann die Vollständigkeit der sshd Akte sogar überprüfen. Jedoch schaut die Akte vollständig intakt, weil sie intakt ist. Jedoch wenn ein Benutzer oder ein Verwalter versucht, die sshd Akte durchzuführen, indem sie entfernt innen loggen, wird die heimliche Version durchgeführt und gibt dem schlechten Kerl Fernzugriff zur Opfermaschine.

  • Vorrichtung Abfangen und Steuerung. Mit einem Kern-Modus RootKit, kann ein Angreifer die Daten abfangen oder manipulieren, die nach oder von jeder möglicher Hardwareeinheit auf der Maschine gesendet werden. Z.B. könnte ein schlechter Kerl den Kern ändern, um alle mögliche Tastenanschläge zu notieren geschrieben in das System in einer lokalen Akte auf der Maschine, dadurch ereinführt ereinführt eine sehr stealthy Tastenanschlagblockwinde. Wechselweise haben Angreifer Kernänderungen eingeführt, die sie auf Terminallernabschnitten der Benutzer (TTYs) ausspionieren lassen und und das Einspritzen von von Tastenanschlägen glätten beobachten, sowie die Antworten, die durch das System erzeugt werden.

Denken Sie an dieses vom Gesichtspunkt des Angreifers. Mit einem Benutzer-Modus RootKit, muß der Angreifer in den Kasten brechen und ein Bündel Programme ändern, um ein heimliches zu verstecken und einzuführen. Auf einem UNIX System konnte der Angreifer innen brechen, beginnt oben einen heimlichen Oberteilzuhörer und benutzt dann ein Werkzeug wie URK, um ps, ls, netstat und einige andere Befehle zu ersetzen. Der Angreifer muß das Verlegenheit Programm dann laufen lassen, um die Änderung Daten und die Akte Längen dieser Befehle auf die passenden Werte einzustellen. Dann fährt die Schufterei fort, während der Angreifer die verschiedenen versteckenden Bestandteile und die backdoors von URK zusammenbaut. Nachdem die ganze diese ermüdende Arbeit, der Angreifer um einen mißtrauischen Systemverwalter noch sich sorgen muß, der oben mit einer CD-ROM darstellt, die von statisch verbundenen binaries voll ist, wie Rechnung Stearns' statischen Werkzeugen für Linux an www.stearns.org/staticiso, das nicht über den System Zustand liegt. Dieses sind Benutzer-Modus RootKits eine Menge Arbeit, und sind nicht sehr stealthy, wenn die Verwalter ihre eigenen Programme über eine CD holen.

Jedoch mit einem Kern-Modus RootKit, ändert die vollständige Gleichung zugunsten des Angreifers. Anstatt, ein Bündel einzelne Programme zu ändern, ändert der Angreifer den zugrundeliegenden diesen Kern diese Programme, die alle an bauen. Um eine Akte zu verstecken, ändert der schlechte Kerl nicht ls, Entdeckung, DU und andere Befehle. Stattdessen ändert der Angreifer gerade den Kern, damit er zu jedem bestimmten Befehl liegt, oder Programm durch den Verwalter laufen, welche nach dieser Akte sucht. Auf diese Art sind Kern-Modus RootKits für den Angreifer weites leistungsfähigeres.

Mit einem Kern-Modus RootKit, verwirklichen die Angreifer morphs das System, damit Verwalter und Benutzer in einem Gefängnis sind, aber nicht es sogar. Sie konnten denken, daß Sie bestimmte Programme laufen lassen oder den Status Ihrer Maschine betrachten, aber Sie nicht wissen, daß Sie eine Phantasie ansehen, die vom Angreifer zusammengebraut wird und mit einem Kern-Modus RootKit eingeführt ist. Was Sie sehen, ist nicht wirklich Ihr Betriebssystem, aber nur eine Traumwelt, die entworfen ist, um Sie von der Wahrheit zu verstecken: die Wahrheit, daß Ihr Betriebssystem wirklich vollständig vom Angreifer besessen wird. Ohne gleichmäßiges Ihr Gefängnis zu berücksichtigen, fahren Sie unbekümmert, fort zu leben Ihr Leben und handhaben Ihr System, und die Angreifer alles steuern unwittingly, lassend.

Haben Sie überhaupt den Film die Matrix gesehen? Wenn Sie nicht haben, gebe ich acht, daß weg keine Räuber für jene wenigen Seelen gebe, die nicht noch den Film oder seine Folgen gesehen haben. Für die, die sie gesehen haben, stellt der Film einige ausgezeichnete Abbildungen zur Verfügung, daß Hilfe die Ideen hinter Kern-Modus RootKits konkreter bilden. Sie wissen, haben einige Leute die Matrix mit dem entscheidenden Rorschach Test verglichen. Das Schauen in und die Deutung der Bedeutung des inkblot, das die Matrix wirklich ist, deckt Ihre eigene Philosophie und worldview auf. Einige Ventilatoren denken, daß der Film über Buddhismus, Christentum, Gnosticism, Hinduismus, Islam oder Judentum ist. Andere denken, daß es ein großer leichter Schlag über kriegerische künste oder Feuerwaffen ist. Ihnen zu erklären aber ich bin hier, was die Matrix wirklich ganz über ist: Kern-Modus RootKits.

Im Film manipulieren einige hübsche schlechte Wesen ihre Opfer, damit sie in eine virtuelle Wirklichkeit Simulation verdrahtet werden, die wie die reale Welt aussieht. Wenn ihre Gehirne in die Matrix verdrahtet sind, glauben die Opfer, daß sie lebende normale Leben sind, ihre Steuern zahlen gehen, zur Kirche, und Abfall ihrer Hauswirtinnen herausnehmen. Jedoch liegen die Opfer wirklich in den Hülsen voll des rosafarbenen goo, vollständig ahnungslos von ihren realen körperlichen Umständen. Das virtuelle Wirklichkeit Bild ihrer Leben ist bloß ein Trugbild, entworfen, um die Opfer zu versklaven, damit die schlechten Wesen ihre Betriebsmittel benutzen konnten. Mit einem Kern-Modus RootKit, denken Sie, daß Sie Ihr reales System betrachten, aber die Angreifer den Kern geändert haben, damit sie Ihre System Betriebsmittel ohne Ihr Wissen benutzen können. Sie konnten nicht es verwirklichen, aber, mit einem Kern-Modus RootKit, lebt Ihr Computer eine Lüge. Ihr Computer ist eine Angreifer-kontrollierte Matrix und Sie werden unknowingly nach innen eingeschlossen.

Halten Sie im Verstand, den für jeden der Konzepte und der Angriffe wir für Linux und Windows besprechen, analoge Ideen zutreffen auf andere Betriebssysteme. Die Unterschiede bezüglich der Kernimplementierungen der verschiedenen UNIX Varianten gegeben, müssen wir ein Probestück von der UNIX Welt auswählen, um ausführlicher zu analysieren. Wir konzentrieren auf Linux als einer der allgemeinsten Repräsentanten von UNIX und UNIX-wie Betriebssysteme. Zusätzlich zu Linux betrachten wir den Windows Kern wegen seiner weitverbreiteten Entwicklung und Popularität als Ziel nach Kern-Modus RootKits. Jedoch halten Sie im Verstand, daß ähnliche Kern-Modus RootKit Konzepte für andere Betriebssysteme, einschließlich Solaris FreeBSD und andere eingeführt worden sind. Indem wir die Details der Kernangriffe auf Linux und Windows analysieren, können wir nicht nur verstehen, wie sie im Detail auf den populärsten Plattformen arbeiten, aber erhalten auch eine hochqualifizierte Ansicht der ähnlichen Techniken, die gegen andere Systeme verwendet werden.

dieses ist ein Artikel, der durch Rafael Kwan hinzugefügt wird


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions