Когда‑то, еще в начале погружения в тему ядерных руткитов в Linux, мне попалась заметка из Phrack об их обнаружении с реализацией для i386. Статья была не новая, и речь в ней шла о ядре Linux образца 2003 года. Что‑то в этой заметке меня зацепило, хотя многое оставалось непонятным. Мне захотелось воплотить ту идею антируткита, но уже на современных системах.
Специалисты Group-IB обнаружили трояна удаленного доступа Krasue, нацеленного на Linux-системы телекоммуникационных компаний…
Исходный код UEFI-буткита BlackLotus, который ранее продавался в даркнете за 5000 долларов, был обнаружен аналитиками компан…
Эксперты из «Лаборатории Касперского» обнаружили UEFI-руткит, который получил название CosmicStrand. Судя по всему, он созд…
Специалисты BlackBerry и Intezer рассказали о новом Linux-вредоносе Symbiote, который поражает все запущенные процессы в ско…
Аналитики компании Mandiant, следящие за активностью хак-группы LightBasin, обнаружили ранее неизвестный Unix-руткит, которы…
Специалисты иранской ИБ-компании Amnpardaz заявили, что обнаружили уникальный руткит, который скрывается в прошивках устройс…
Специалисты Microsoft сообщили, что в начале текущей недели Apple устранила опасную уязвимость в операционных системах macOS…
Эксперты Positive Technologies проанализировали наиболее известные за последние 10 лет семейства руткитов. Оказалось, что 77…
Чаще всего при анализе поведения подозрительной программы наблюдают за пользовательским режимом, а код в ядре остается вне поля зрения аналитика. Отчасти это правильно, поскольку больше всего вредоносной деятельности ведется именно в пользовательском пространстве. Тем не менее вредоносный код в ядре может нанести больше ущерба, и его сложнее обнаружить. Однако это возможно.
Специалисты ESET рассказали о малвари FontOnLake, которая сочетает в себе компоненты бэкдора и руткита. Известно, что вредон…
На конференции SAS 2021 аналитики «Лаборатории Касперского» рассказали об инструментах новой китайской кибершпионской группи…
Компания Microsoft признала, что по ошибке подписала и одобрила для использования серию драйверов Netfilter, которые оказали…
По информации компании Avast, в первой половине 2021 года ботнет DirtyMoe, еще в конце прошлого года насчитывавший порядка 1…
В никсах существует переменная среды, при указании которой твои библиотеки будут загружаться раньше остальных. А это значит, что появляется возможность подменить системные вызовы. Называется переменная LD_PRELOAD, и в этой статье мы подробно обсудим ее значение в сокрытии (и обнаружении!) руткитов.
Эксперты «Лаборатории Касперского» обнаружили редкую в наше время разновидность вредоносного ПО — руткит Moriya, судя по все…
ФБР и АНБ опубликовали совместное предупреждение, в котором рассказали о малвари Drovorub, ориентированной на Linux-системы.…
18 мая 2020 года восемнадцатилетний исследователь Билл Демиркапи опубликовал в своем блоге объемное исследование, посвященное любопытной теме. Автору удалось установить в Windows собственный руткит с помощью утилиты RootkitBuster компании Trend Micro. Рассказ о том, как молодой исследователь пришел к успеху, — в сегодняшней статье.
Даже спустя двадцать с лишним лет (с 1997 года) руткиты на основе модулей ядра Linux все еще представляют вполне реальную угрозу. Несмотря на столь большой срок, наиболее частым советом при заражении «ядерным» руткитом до сих пор остается полная переустановка системы. Неужели нельзя без этого обойтись? Иногда можно.
С февраля 2019 года длится вредоносная кампания Nansh0u, за которую ответственны китайские хакеры, добывающие криптовалюту T…
Согласно новым данным, руткит LoJax, который ассоциируют с хак-группой Fancy Bear, активен как минимум с 2016 года, и команд…
Обнаружен криптовалютный майнер KORKERDS, поражающий Linux-машины и скрывающий себя посредством руткита.
Эксперты компании ESET обнаружили вредоносную кампанию, в ходе которой был задействован первый известный руткит для UEFI. Ра…
Руткит из семейства Festi заинтересовал нас по многим причинам, но главные из них две. Во-первых, по сей день это один из самых активных спам-ботов, а во-вторых — именно этот ботнет осуществлял DDoS-атаку на платежную систему ASSIST (в результате расследования этой атаки был арестован небезызвестный Павел Врублевский).
Специалисты продолжают анализировать документы и файлы итальянской компании Hacking Team, попавшие в открытый доступ. Компан…
Сайт защищен Qrator —
