Рут­киты для Linux извес­тны уже доволь­но дав­но, они отли­чают­ся высокой изощ­ренностью архи­тек­туры, спо­соб­ны эффектив­но перех­ватывать сис­темные вызовы и мас­кировать свое при­сутс­твие в сис­теме. Сегод­ня мы попыта­емся написать собс­твен­ный Linux-рут­кит, что­бы на его при­мере изу­чить клю­чевые механиз­мы работы таких вре­донос­ных прог­рамм.

Не­дав­но я нат­кнул­ся на но­вость, опуб­ликован­ную в жур­нале «Хакер», где говори­лось, что обна­ружен новый Linux-рут­кит Pumakit. С ядром ОС Linux я никог­да ранее не стал­кивал­ся, и идея разоб­рать­ся в нем бук­валь­но пог­лотила меня. В статье я попыта­юсь опи­сать осо­бен­ности, которые мне уда­лось выявить при написа­нии собс­твен­ного рут­кита под сов­ремен­ные ядра Linux вер­сий 5.x и 6.x (x86_64).

Ког­да я иссле­довал рут­киты для Linux, то неод­нократ­но посещал GitHub в поис­ках подоб­ных прог­рамм, что­бы при­мер­но понимать их струк­туру и фун­кци­ональ­ные воз­можнос­ти. И вот что мне бро­салось в гла­за: прак­тичес­ки во всех реали­заци­ях рут­китов исполь­зует­ся метод перех­вата syscall’ов путем переза­писи таб­лицы сис­темных вызовов sys_call_table .

Од­нако с недав­него вре­мени этот метод боль­ше не работа­ет, пос­коль­ку сооб­щес­тво Linux-раз­работ­чиков вы­кати­ло патч, при котором упо­мяну­тая таб­лица не исполь­зует­ся:

The sys_call_table is no longer used for system calls, but kernel/trace/trace_syscalls.c still wants to know the system call address.