Selam arkadaşlar, bugün linux'ta biraz daha az bilinen bi yöntemi kurcaladım. Aslında yeni bi şey değil ama modern distrolarda ve container'larda hala iş görüyo. Konu ptrace syscall'unu kullanarak proseslere kod enjekte etmek. Normal rootkit falan yazmadan, direkt kullanıcı seviyesinde iş bitirebiliyosun.
@Azrail yine mal gibi "bunu yapınca auditd yakalar" diye entry yapmış, siktir git oku evvela makaleyi. Senin gibi script kiddie'ler yüzünden herkes korkuyo bu tarz tekniklerden.
Temel mantık basit: Hedef prosese attach oluyosun, register'ları okuyup yazıyosun, shellcode'u stack'e koyup RIP'i değiştiriyosun. SELinux enforcing modda bile bazen bypass edilebiliyo eğer prosesin kendi yetkileri yüksekse.
Hidden content - for more
Konuyu Görebilmeniz için "Beğenmeniz ve Yorum yapmaniz" Gerekir.
Tabii productionda daha fazla anti-debug ve syscall unhooking lazım.
@Azrail'in yazdığı gibi "strace koy yeter" mantığıyla bakanlar zaten bu işi yapamasın.
Denemek isteyenler için ufak bi uyarı: yanlış PID verirsen kendi prosesini siker atarsın, olmuşta bi kere bende
Başka sorularınız olursa sorun,
@Azrail hariç.
