パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

検出が非常に困難な Linux のマルウェア「Symbiote」」記事へのコメント

  • LD_PRELOAD 環境変数を用いてすべてのプロセスの実行時に読み込ませる仕組みだ。

    ライブラリやらモジュールやらって、各アプリの起動時に、必要なもの読ませれば良いじゃん。
    なんでこんなリソースの無駄遣い+脆弱性の呼び水にしかならんような仕様があるのか理解できん。

    • by Anonymous Coward

      auditとかptraceとか他にもやりようはあるけども
      デバッグやテストで関数呼び出しをフックしたい時に、テストコードを埋め込まず手軽に実現できる。

      LD_PRELOADで全てのプロセスにライブラリをフック出来てるってことは、
      /etc/ld.so.preload辺りを書き換えられてるんだろうし、そこまで出来てるならrootも奪取済みでしょ。

      BPFの下りもだけど、脆弱性というよりroot取られてたらどうしようもねーって話題では?と思った。

      • by Anonymous Coward on 2022年06月12日 12時31分 (#4267479)

        問題は「知られない」という一点です。

        権限取られるのは0デイ脆弱性や内部犯で事実上防げません。
        痕跡を消されるのは最悪なんです。対策が遅れるから。
        カーネルはROMにして再起動時に署名確認が必要かな。やっぱり

        親コメント
        • by Anonymous Coward

          カーネル弄られてないから、署名検証でこれは検出できないぞ。

          • by Anonymous Coward

            別人だが、ロードされるdllに署名が必要ということだと思うぞ。
            そもそもこの機能をフォルト無効にした方がいいと思うけどな。
            # そうしたらしたでsetenforce 0みたいなことになるんだろうが

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...