Вопрос Сетевые распределённые руткиты существуют?

Ярослав

Постоянный участник
Сообщения
279
Реакции
7
Мне стало вдруг интересно, а существуют ли системы, аналогичные руткитам, но распределяющие компоненты себя по разным машинам в локальной сети?
Представьте, что руткит, который вы успешно удалили с машины - лишь один из узлов системы. Другая система в сети скоро заметит отсутствие этого модуля, и установит его заново. И повторяться этот цикл может бесконечно, пока вы не запустите аналог AVZ, анализирующий каждую машину в сети также, как AVZ анализирует процессы в системе.

Это так, мысли в слух.
 
закроете уязвимости в системе пользователя.
В идеальном мире бы так и было. 5000 машин в компании, все как одна на десятке, со всегда свежайшими обновлениями, ни одной известной уязвимости. Но на практике же "закрыть уязвимости в системе пользователя" - несбыточная мечта сисадмина.
 
Ярослав,
А что ж тут несбыточного?
Лечим кажую машину с закрытием всех уязвимостей, особенно присущих имеющимся зловредам, влючая суда и удаленный административный доступ и все остальные плюшки локальной сети предприятия. А после комплексного лечения заного настраиваем сеть.
Несбыточная мечта сисадмина - клонировать себя на место всех пользователей сети. Вот где находится главная уязвимость и головная боль сисадмина:Smile:
 
Ярослав,
Несбыточная мечта сисадмина - клонировать себя на место всех пользователей сети. Вот где находится главная уязвимость и головная боль сисадмина:Smile:
Это да...

Ярослав,
А что ж тут несбыточного?
Лечим кажую машину с закрытием всех уязвимостей, особенно присущих имеющимся зловредам, влючая суда и удаленный административный доступ и все остальные плюшки локальной сети предприятия. А после комплексного лечения заного настраиваем сеть.
Ну как сказать... чтобы вылечить каждую машину в огромной компании надо либо остановить время, либо клонировать себя, по одной копии на одно место. А так... пока тут ты исправляешь, там пользователь уже всё ломает.
 
Ярослав,
Ну пользователи, это отдельная тема. Против них не существует законных методов борьбы и защиты.
А если по теме, то уже давно не новость, что заражают сети предприятий. И ведь они как-то справляются.
 
Пока у человека будет физический доступ к пораженной машине, скайнета не будет. А по заразе в корпоративной сети, последние атаки шифровальщиков вскрыли очень много проблем в "внутренней защите", если периметр еще так сяк защищен, то поражение внутри сети может быть фатально и положить все надолго.
 
Пока у человека будет физический доступ к пораженной машине, скайнета не будет. А по заразе в корпоративной сети, последние атаки шифровальщиков вскрыли очень много проблем в "внутренней защите", если периметр еще так сяк защищен, то поражение внутри сети может быть фатально и положить все надолго.
А если по теме, то уже давно не новость, что заражают сети предприятий. И ведь они как-то справляются.
Ну не то всё, не то. Я говорю не об одном и том же черве, который все машины в сети поражает. Я говорю о такой руткит-подобной системе, о существовании которой вы можете и не подозревать.
Представьте: на нескольких машинах сидят безобидные для этих машин процессы, не прячутся, не скрываются, что-то делают иногда, с сетью обмениваются иногда. В логах AVZ эти утилиты даже не будут показаны. А меж тем, отвечают эти утилиты за восстановление доступа к целевым машинам, проверяют целостность своей сети, копируют утерянные модули (хранимые на третьих машинах), ничего компрометирующего, при этом, через свою машину не передавая.
Вы обнаружили руткит на машине, провели комплекс мер, устранили, дыры залатали. Вы довольны. Какое-то время так и будет. А затем, соответствующие службы, на других машинах, восстановят и доступ к этой машине, и руткит восстановят. А когда вы повторно на эту машину вернётесь проверять?
 
Все может быть, хотя звучит и довольно фантастично.
Просто сильно заморочечно. А ведь руткит написать - тоже знаете ли, задачка не из простых, но ведь делают. Наверняка трудятся целые команды программистов талантливых
 
Ярослав, есть и более сложные техники, чем описанная вами.
Почитайте в интернете детальный разбор вирусов от хакерской группы Equation, например группу duqu.
 
Ярослав, есть и более сложные техники, чем описанная вами.
Почитайте в интернете детальный разбор вирусов от хакерской группы Equation, например группу duqu.
Да, серьёзный комплекс. Это ж надо на шлюзе прописаться. Как вообще получилось, что все компоненты обнаружили? Читаю первую часть пока Тайна Duqu: часть первая
 
Duqu - это группа вирусов, а не хакерская группа (выше писал).
В статьях лаборатории Касперского DUQU применяется для определения как вируса, так и команды, его написавшей. При чём, там явно указывается, что команда Equation и команда DUQU - это совершенно разные команды, с разным уровнем подготовки:
https://securelist.ru/equation-zvezda-smerti-galaktiki-vredonosnogo-po/25144/ написал(а):
Она много лет взаимодействует с другими влиятельными группировками, например с теми, что стоят за Stuxnet и Flame, причем каждый раз с позиции превосходства: Equation всегда получала доступ к эксплойтам нулевого дня раньше других групп.
А команда Stuxnet, по мнению лаборатории, является и создателем DUQU
https://securelist.ru/tajna-duqu-chast-sed-maya/2270/#comment-160141 написал(а):
Мы считаем, что Duqu и Stuxnet были параллельными проектами, которые поддерживала одна и та же команда разработчиков.

Но согласен, делать параллель между вирусом и командой разработчиков не правильно.
 
Назад
Сверху Снизу