ফাইলহীন ম্যালওয়্যার কীভাবে লিনাক্সে কাজ করে?

আমি ফাইলহীন ম্যালওয়ারের সংজ্ঞাটি বুঝতে পারি:

ক্ষতিকারক কোড যা ফাইল ভিত্তিক নয় তবে কেবল স্মৃতিতে বিদ্যমান ... আরও বিশেষত ফাইলহীন দূষিত কোড ... নিজেকে মেমরির একটি সক্রিয় প্রক্রিয়াতে সংযোজন করে…

কেউ দয়া করে ব্যাখ্যা করতে পারেন কীভাবে এটি মেমরির একটি সক্রিয় প্রক্রিয়াতে নিজেকে যুক্ত করে?

এছাড়াও, এই জাতীয় আক্রমণগুলির বিরুদ্ধে কী (কর্নেল) সুরক্ষা / শক্তকরণ উপলব্ধ?

ফাইলহীন ম্যালওয়্যার একটি ব্রাউজারের ফ্ল্যাশ প্লাগইন বা কোনও নেটওয়ার্ক প্রোটোকলে যেমন দুর্বলতা কাজে লাগিয়ে লক্ষ্যকে আক্রমণ করে।

একটি লিনাক্স প্রক্রিয়া সিস্টেম কল ব্যবহার করে পরিবর্তন করা যেতে পারে ptrace()। এই সিস্টেম কলটি সাধারণত ডিবাগাররা লক্ষ্য প্রক্রিয়াটির অভ্যন্তরীণ অবস্থা পরিদর্শন ও পরিচালনা করতে ব্যবহৃত হয় এবং এটি সফ্টওয়্যার বিকাশে কার্যকর।

উদাহরণ হিসেবে বলা যায়, এর PID, 1234. এই প্রক্রিয়া 'পুরো অ্যাড্রেস স্পেস ছদ্ম ফাইলসিস্টেম দেখতে পাওয়া যেতে পারে সঙ্গে একটি প্রক্রিয়া বিবেচনা করি /procঅবস্থানে /proc/1234/mem। আপনি এই সিডোফাইলটি খুলতে পারেন, তারপরে এই প্রক্রিয়াটির সাথে সংযুক্ত করুন ptrace(); এটি করার পরে, আপনি ব্যবহার করতে পারেন pread()এবং pwrite()প্রক্রিয়া স্পেসে লিখতে।

char file[64];
pid = 1234;

sprintf(file, "/proc/%ld/mem", (long)pid);
int fd = open(file, O_RDWR);
ptrace(PTRACE_ATTACH, pid, 0, 0);

waitpid(pid, NULL, 0);
off_t addr = ...; // target process address

pread(fd, &value, sizeof(value), addr);
// or
pwrite(fd, &value, sizeof(value), addr);

ptrace(PTRACE_DETACH, pid, 0, 0);
close(fd);

(কোড থেকে নেওয়া এখানে একটি ptrace সম্পর্কে। আরেকটি কাগজ কাজে লাগান উপলব্ধ এখানে ।)

এই আক্রমণগুলির বিরুদ্ধে কার্নেল-ভিত্তিক প্রতিরক্ষা সম্পর্কিত, একমাত্র উপায় হ'ল কার্নেল বিক্রেতা প্যাচগুলি ইনস্টল করা এবং / অথবা নির্দিষ্ট আক্রমণকারী ভেক্টরকে অক্ষম করা। উদাহরণস্বরূপ, ptrace এর ক্ষেত্রে আপনি কার্নেলটিতে একটি ptrace- ব্লকিং মডিউল লোড করতে পারেন যা নির্দিষ্ট সিস্টেম কলটি নিষ্ক্রিয় করবে; স্পষ্টতই এটি আপনাকে ডিবাগিংয়ের জন্য ptrace ব্যবহার করতে অক্ষম করে।

আপনি যখন কোনও প্রক্রিয়া ক্র্যাশ করার ব্যবস্থা করেন, আপনি প্রক্রিয়াটিকে মেমরিতে ডেটা .োকাতে পারেন। এটি করার একটি খুব জনপ্রিয় উপায় হ'ল বাফার ওভারফ্লোগুলি ব্যবহার করা ।

কিভাবে কাজ করে ? আপনি জানেন, উদাহরণস্বরূপ, কোনও প্রক্রিয়া পোর্ট এক্সে শুনছে এবং একটি নির্দিষ্ট ফাংশনের জন্য একটি বাফার রয়েছে যা বলে, 15 বাইট বড়। আপনি সেই ফাংশনটিকে 15 বাইট ডেটা + এন বাইট (আপনার কোড কার্যকর করতে হবে) দিয়ে কল করেন। প্রোগ্রামটি যদি ডেটাটি সঠিকভাবে যাচাই না করে তবে এটি আপনার কোডের সাথে সংলগ্ন মেমরির উপরে ওভাররাইট করবে এবং এইভাবে কোড মেমরিতে বাস করে। আপনি যদি এই কোডটি কার্যকর করতে পারেন তবে আপনি সিস্টেমটির মালিক। সীমাবদ্ধতা রয়েছে, উদাহরণস্বরূপ, একটি প্রক্রিয়া তার বরাদ্দ স্থানের বাইরে মেমরিটিতে লিখতে পারে না ।

সমস্ত ওএস-তে দুর্বলতার একটি দীর্ঘ তালিকা রয়েছে যেখানে বাফার ওভাররনগুলি ক্র্যাকারকে লক্ষ্যটির স্মৃতিতে ডেটা ইনজেক্ট করতে দেয়।