2C4-4: Linuxにおけるファイルレスマルウェア対策 Linux3.17から導入されたシステムコールmemfd_createではメモリ上のファイルシステムを作成する。ファイルディスクリプタもある。それにマルウェアのコードを書き込み、fexecveシステムコールで実行可能になる。 (続く)
-
Show this thread
-
memfd_create & fexecveによる攻撃はLD_PRELOADを使った呼び出し関数(libc )を置き換えて、同一PIDでmemfd_createとfexecveが実行されるのはマルウェアとして検知する。 Firefoxなどmemfd_createが使われるので単純にseccompで禁止できない。
1 reply 0 retweets 3 likesShow this thread
Replying to @KuniSuzaki
set sb->s_flags/s_iflags in shmem_fill_super() so it can become NOEXEC
9:47 PM - 23 Oct 2018
0 replies
1 retweet
0 likes
Loading seems to be taking a while.
Twitter may be over capacity or experiencing a momentary hiccup. Try again or visit Twitter Status for more information.