Перехват через LD_PRELOAD
Что такое Перехват через LD_PRELOAD?
Перехват через LD_PRELOADТехника закрепления и подмены библиотек в Linux, использующая переменную LD_PRELOAD или /etc/ld.so.preload для внедрения кода в процессы с динамической компоновкой.
Перехват через LD_PRELOAD (MITRE ATT&CK T1574.006) использует динамический загрузчик GNU в Linux и большинстве Unix-подобных систем. Установив LD_PRELOAD для процесса или сессии или прописав путь в /etc/ld.so.preload (для всей системы), злоумышленник заставляет ld.so загрузить заданный разделяемый объект раньше других библиотек. Вредоносный .so может перехватывать функции libc — readdir, open, accept, write — чтобы скрывать файлы и процессы, красть учётные данные или поддерживать пользовательский руткит. Метод работает с не-setuid бинарниками и используется такими семействами, как HiddenWasp и Symbiote. Защита: мониторинг /etc/ld.so.preload (AIDE, auditd), ограничение записи только root, обнаружение нежелательного LD_PRELOAD и проверка libc статически слинкованными инструментами.
● Примеры
- 01
Запись /usr/lib/libsel.so в /etc/ld.so.preload, чтобы каждый новый процесс подгружал пользовательский руткит.
- 02
Установка LD_PRELOAD для sshd с перехватом аутентификации PAM и кражей учётных данных.
● Частые вопросы
Что такое Перехват через LD_PRELOAD?
Техника закрепления и подмены библиотек в Linux, использующая переменную LD_PRELOAD или /etc/ld.so.preload для внедрения кода в процессы с динамической компоновкой. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Перехват через LD_PRELOAD?
Техника закрепления и подмены библиотек в Linux, использующая переменную LD_PRELOAD или /etc/ld.so.preload для внедрения кода в процессы с динамической компоновкой.
Как работает Перехват через LD_PRELOAD?
Перехват через LD_PRELOAD (MITRE ATT&CK T1574.006) использует динамический загрузчик GNU в Linux и большинстве Unix-подобных систем. Установив LD_PRELOAD для процесса или сессии или прописав путь в /etc/ld.so.preload (для всей системы), злоумышленник заставляет ld.so загрузить заданный разделяемый объект раньше других библиотек. Вредоносный .so может перехватывать функции libc — readdir, open, accept, write — чтобы скрывать файлы и процессы, красть учётные данные или поддерживать пользовательский руткит. Метод работает с не-setuid бинарниками и используется такими семействами, как HiddenWasp и Symbiote. Защита: мониторинг /etc/ld.so.preload (AIDE, auditd), ограничение записи только root, обнаружение нежелательного LD_PRELOAD и проверка libc статически слинкованными инструментами.
Как защититься от Перехват через LD_PRELOAD?
Защита от Перехват через LD_PRELOAD обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Перехват через LD_PRELOAD?
Распространённые альтернативные названия: Злоупотребление ld.so.preload, Перехват разделяемой библиотеки.
● Связанные термины
- attacks№ 331
Перехват DLL
Атака, использующая порядок поиска DLL в Windows, чтобы легитимная программа загрузила подконтрольную злоумышленнику библиотеку вместо нужной.
- attacks№ 238
Закрепление через cron
Техника закрепления в Linux/Unix, использующая cron, anacron или таймеры systemd для повторного запуска кода злоумышленника по расписанию или системному событию.
- attacks№ 608
Закрепление через launchd
Техника закрепления в macOS, размещающая plist LaunchDaemon или LaunchAgent, чтобы launchd запускал код злоумышленника при загрузке, входе или триггере.
- malware№ 949
Руткит
Скрытное вредоносное ПО, обеспечивающее и маскирующее привилегированный доступ к ОС или устройству, обходя стандартные средства обнаружения.
- attacks№ 862
Инъекция в процесс
Семейство техник обхода защит, при которых атакующий исполняет вредоносный код в адресном пространстве легитимного процесса, наследуя его доверие и идентичность.
● См. также
- № 054AppInit_DLLs