Искусство внедрения руткитов в Linux-систему, похоже, станет проще освоить
благодаря новому руткиту с открытым кодом, выпущенному во вторник компанией
Immunity Inc., специализирующейся на разработке инструментов для тестов на
проникновение.
Примечателен руткит тем, что выдает себя за отладочный механизм архитектуры
Intel. Другими словами, он мимикрирует под отладчик ядра. Используя способность
центрального процессора по созданию прерываний, DR избегает слабых мест,
присущих более привычным руткитам, которые модифицируют системную таблицу
вызовов. Это приобретает все возрастающее значение в связи с тем, что все
большее количество дистрибутивов Linux затрудняют внесение изменений в syscall
table и программы обнаружения руткитов, такие как chkrootkit и rkhunter,
отслеживают эти изменения.
До недавнего времени вред, причиняемый руткитами, уравновешивался трудностью
их внедрения, теперь же DR,
доступный для ознакомления в версии 2, делает эту задачу куда легче. И хотя
на данный момент DR не поддерживает SMP и выдает свою активность, прячась в
ядре, эти недоработки легко устранимы в течении нескольких недель.