Randomizzare i numeri di chiamata di sistema per prevenire i rootkit?

3

Ho sentito parlare di rootkit che infettano i computer avendo prima un virus semplice che infetta il computer, fai una chiamata al computer "command" che contiene le specifiche del computer di destinazione.
 Con le specifiche, il computer di comando inizia a compilare un rootkit per infettare il computer di destinazione, oppure ne fornisce una versione precompilata.
Questo sembra un modo efficace per aggirare le sfumature delle macchine Linux che supportano un'ampia varietà di piattaforme.

Tuttavia, cosa succede se qualcosa come i numeri di chiamata di sistema sul computer di destinazione erano diversi dai numeri di chiamata di sistema standard, forse anche randomizzati durante l'installazione?

Questo impedirebbe al computer di comando di essere in grado di inviare un rootkit / virus funzionale?

I numeri di chiamata di sistema possono essere specificati / assegnati? (Sto assumendo che questo sia possibile modificando e compilando il tuo kernel, o è?)

    
posta Expanding-Dev 13.01.2017 - 01:19
fonte

2 risposte

2

Sebbene ciò possa scoraggiare alcuni attacchi automatici finalizzati all'aggancio delle chiamate di sistema, chiunque abbia accesso all'installazione di un rootkit potrebbe disassemblare un comune binario sul sistema per determinare le syscalls "randomizzate", o usare il proprio ambiente personalizzato per compilare il proprio codice. C'è anche una varietà di tecniche per determinare dove si trovano le funzioni nella memoria del kernel senza System.map e così via.

Inoltre, non tutti i rootkit si basano su hook di tabella syscall / SSDT. Quindi in pratica no. Questa non è una mitigazione efficace e sarebbe probabilmente più di un ostacolo per dover apportare le modifiche.

    
risposta data 13.01.2017 - 04:02
fonte
3

Sarebbe una cosa molto dirompente; non saresti in grado di eseguire alcun binario sul tuo sistema e dovresti compilare tutto da zero; incluso il compilatore.

Sicurezza da oscurità funziona a malapena.

    
risposta data 13.01.2017 - 01:35
fonte

Leggi altre domande sui tag