Anatomie eines containerfähigen Linux-Kernel-Rootkits (eh19)

34:20
 
Share
 

Manage episode 231783264 series 1910928
By Discovered by Player FM and our community — copyright is owned by the publisher, not Player FM, and audio streamed directly from their servers.
Dieser Vortrag gibt Einblick in die Implementierung eines containerfähigen Linux-Kernel-Rootkits. Linux-Container sind nicht zuletzt seit der Veröffentlichung von Docker sehr beliebt. Deshalb kann davon ausgegangen werden, dass es in naher Zukunft vermehrt Angriffe auf Container geben wird. Schafft es ein Angreifer, die Sicherheitsvorkehrungen zu durchbrechen, kann er ein Rootkit im System platzieren. Dieser Vortrag zeigt, wie ein solches Rootkit im Detail programmiert sein könnte. Zu Beginn werden Rootkits im allgemeinen erläutert, weiters wird der Aufbau von Containern, und welche Technologien dabei zum Einsatz kommen, erläutert. Es wird auch ein Einblick in die Funktionsweise von Linux-Kernel-Rootkits gegeben, um danach, durch die Implementierunge des Rootkits “themaster“, die Anatomie eines containerfähigen Linux-Kernel-Rootkits zu untersuchen. Dabei hat sich herausgestellt, dass bei bestimmten Funktionen das Verändern von Systemcalls und bei anderen das Verändern von Dateioperationen im virtuellen Dateisystem besser geeignet ist. Weiters wurden Backdoorfunktionen implementiert, welche zum einen die Privilegien eines Benutzers im Container ausweiten können und zum anderen einen Ausbruch in Form von Kommandos mit allen Berechtigungen im globalen System erlauben. about this event: https://conference.c3w.at/eh19/talk/D8GMPM/

6161 episodes available. A new episode about every 13 hours averaging 33 mins duration .