SandFly Security firması, Diamorphine ve Reptile isimli rootkitlerin gizli süreçlerini açığa çıkaran “Sandfly-processdecloak” isimli bir uygulama geliştirdi.
Aracı Githubdan indirmek isterseniz aşağıdaki linki kullanabilirsiniz.
Sandfly_processdecloak
Sandfly Security, bu araçla NSA tarafından belirlenen ve gizlenmek için benzer çekirdek modülü yöntemini kullanan “Drovorub” zararlısının da tespit edilebileceğinden bahsetmektedir.
Henüz ellerinde üzerinde çalışacakları bir “Drovorub” zararlısı bulunmayan firma, Yüklenebilir Çekirdek Modülü kullanan rookitlerin gizlenme metodlarının benzer olduğunu bu sayede benzer rootkit varyasyonlarında başarı sağlanacağını belirtmekle beraber “Drovorub” zararlısına ait güncellemenin mümkün olur olmaz uygulamaya dahil edileceğinin bilgisinide verdiler.
Sandfly-processdecloak Nedir?
Sandfly-processdecloak aracı, yaygın ve yaygın olmayan yüklenebilir çekirdek modüllerine ait süreç ID’lerini tarayarak varsa gizlenen rootkitleri ortaya ortaya çıkarıyor.
Nasıl Çalışır?
Uygulama , Linux’ta bulunan /proc dizininde görünmeyen süreçleri bulmak için bruteforce taktiğinden faydalanıyor. Yüklenebilir çekirdek modülü rootkitleri /proc dizinindeki kayıtlarının gizlerler. Sandfly-processdecloak, çalışan her PID’nin olması gerektiği gibi görünür olup olmadığını kontrol etmek için tüm PID alanını analiz ediyor. Ve gizlenmeye çalışan işlemleri, kullandıkları PID’leri ve işlem adlarını ortaya çıkarıyor.
Özellikleri
- Golang’da yazılmıştır ve herhangi bir değişiklik olmaksızın birden çok mimaride çalışabilir.
- Bağımsız çalıştırılabilir program, bağımlılık veya kütüphane gerektirmez
- LD_PRELOAD tarzı rootkitlerden veya ana bilgisayarlarda şüpheli, kurcalanmış ortak kütüphanelerden etkilenmez.
- Diamorphine, Reptile ve çeşitleri gibi LKM rootkitlerine karşı çalışır.
- Çok hafiftir ve çekirdeğe takılmaz veya sistem kararsızlığına neden olmaz.
Bunu nasıl kullanabilirim?
Sandfly-processdecloak uygulamasını Linux sisteminize indirip, derleyerek kullanabilirsiniz.
Örnekler
Uygulama çalıştırıldığında, tüm temiz veya şüheli PID’leri gösterecektir. Aşağıdaki örnekte reptile yüklü bir sisteme ait çıktıları görebilirsiniz.
Temiz Sistem
root@sandfly-clean:~# ./sandfly-processdecloak sandfly-processdecloak Version 1.0 Copyright (c) 2020 Sandfly Security - www.sandflysecurity.com Decloaking hidden Process IDs (PIDS) on Linux host. No hidden PIDs found.
Diamorphine Stili LKM Gizli Rootkit
root@sandfly-diamorphine:~# ./sandfly-processdecloak sandfly-processdecloak Version 1.0 Copyright (c) 2020 Sandfly Security - www.sandflysecurity.com Decloaking hidden Process IDs (PIDS) on Linux host. Found hidden PID: 7171 with name: diamorphine_hid
Hatalı Doğrular
Bazen gerçekte gizlenmemiş doğru bir PID’yi tehlikeli olarak işaretlemek mümkün olabiliyor, ancak ancak firma bu riski sınırlamak için önlemler almış. Ek olarak kullanıcılardan gelen hatalı doğruları da uygulamaya tanıtarak hatalı doğru sayısını azaltmayı planlıyorlar.
Sandfly Kullananlar LKM Rootkit Taktiklerine Karşı Avantajlı
Sandfly ücretsiz bir uygulama olmasına karşın yüklenebir çekirdek modülü stili ile gizlenen rootkitleri ortaya çıkarmak için kapsamlı yöntemler kullanıyor. Sandfly sadece gizli PID’leri ortaya çıkarmakla kalmayıp, dosyalardaki, dizinlerdeki gizlenmiş bilgileride ortaya çıkarabiliyor.
Ajan kullanmadan çalıştığı için sisteme ekstra bir yük getirmiyor veya sistemin kararlılığına negatif bir etkide bulunmuyor.
Kariyerime 26 yıl önce başladım. Windows ve Linux sistemlerinin kurulumu, yapılandırılması, yönetimi ve bakımı dahil olmak üzere birden fazla sistem üzerinde uzmanlaştım.
Açık kaynak dünyasındaki en son gelişmelerden haberdar olmaktan ve Linux hakkındaki en son araçları, özellikleri ve hizmetleri denemekten hoşlanıyorum.
Son 6 yıldır sistem ve ağ yöneticisi olarak görev yapıyorum ayrıca Pardus Dönüşüm Projesini yönetiyorum ve Pardus İşletim Sisteminin yaygınlaşması adına uğraş gösteriyorum.
Boş zamanlarımda açık kaynaklı uygulamaların Türkçe çevirisine katılıyorum ve The Document Foundation üyesiyim.
[…] Ayrıca şuna da bakabilirsiniz. […]