Bir linux makinaya derinlemesine yapılan malware gizleme sanatının ortak gorusu, yeni açık kodlu rootkitlerin Perşembe günü, test ediciler için gerekli araçları sağlayan Immunity Inc firması tarafından serbest bırakılmasına borçludur.

Uygulandığı zaman,Immunity şirketinin DR’ı yani Debug Register’ı, malwareların diğer türlerinin tespiti ve ortadan kaldırılması için arka kapılar oluşturdu. Dikkate alınacak değerdedir çünkü server işlemcisinin içerisinde kendiliğinden gizlenerek ve kendiliğinden makinelerin debug yapılmasına uygun hale getirilmesini Intel’in çip mimarisinde uygun hale getirmiştir. Bir başka deyişle rootkit, taklit niteliğinde bir çekirdek debuggerdır.

CPU’nun bu özelliğini aksaklıklara dönüştürerek istismar eden,DR ziyaret ettiği sistemi işleten çağrı tablosunun tasarlayan,birçok sıradan rootkit tiplerinde bazı görünmez tuzakları ıskalamaktadır.Buda Linuxta dağıtımlarında syscall tablolarında ve rootkit tespiti yapan programlarda (chrrootkit ve rkhunter gibi modifikasyon araçlarında) değişiklik yapmayı oldukça zorlaştırmaktadır.

Son yıllarda, gelişmekte olan bütünleşik rootkitli malware’lerin tespiti zorlaştırmaktadır. Şimdiye kadar,rootkit kullanmanın avantajı tek bir yapılanma ile rootkitin karşılanmasıydı. Version 2’nin altında genel lisanslı olanlarda ise bunu yapmak daha kolaydır..

Eski günlerdeki gibi bir bilgisayara saldırmak için öncelikli olarak 1) Bug(gizlilik) bulmalı, 2)Exploit yazmalı 3) Exploit çalıştırmalı 4) Kendinizi gizlemelisiniz," Charlie Miller, (Independent Security Evaluators’ın güvenlik analist sorumlusu) gönderdiği mailde “Script kiddie ile hacker arasında çok az fark olduğunu belirtmiştir.

Linux kutuları üzerinde gizlenen istenmeyen malwareların görevlerini sınıflandırırken, çekirdek düzeyinde kendini gizlemeyi ve simetrik çoklu-işlenmeyi desteklememektedir.İyi haber şu ki bu durum rootkitlerin çalışmasını kısıtlamakta ve tespitini kolaylaştırmaktadırlar.

Kötü haber: bu nitelikler haftalık geliştirme süresince eklenebilmektedir. Aslında Immunıty DR’nin Canvas toolkiti için ticari destek talep etmektedir,bu yüzden uyum konusuna eğilmektedir.

Kaynak

Security Experts

 

Ekleyen
Security key
Validate