Eine neue Generation von Rootkits hat der Linux-Entwickler Anthony Lineberry vergangene Woche in einem Vortrag auf der Black-Hat-Konferenz in Amsterdam der Öffentlichkeit präsentiert. Über die libmemrk soll die Erstellung entsprechender Tools in Zukunft deutlich vereinfacht werden, die Bibliothek will Lineberry in Kürze zum Download freigeben, wie heise online berichtet.

/dev/mem

Die libmemrk beschreitet dabei neue Wege um Prozesse zu verstecken oder auch den Netzwerkverkehr zu manipulieren. Statt über nachladbare Kernel-Module wird der Code hier direkt über /dev/mem in den Speicher eingebracht. Die Schnittstelle wird unter anderem vom X-Server verwendet, um physikalisch adressierbaren Speicher zu nutzen.

Whitepaper

Welche Schritte konkret für eine erfolgreiche Attacke nötig sind plaudert Lineberry in einem Whitepaper aus, dass er als PDF veröffentlicht hat. Zugleich gibt der Experte aber auch gleich Tipps, wie man sich vor solcherlei Attacken schützen kann. So wurden dem Linux-Kernel schon mit der Version 2.6.26 diverse Optionen spendiert, die gegen entsprechende Angriffe helfen, die allerdings von Haus aus nicht aktiviert sind. Eine Ausnahme bilden dabei aktuelle Fedora / Red Hat-Versionen, hier funktioniert der /dev/mem-Weg durch die SELinux-Schutzmechanismen nicht. (red)