PC
нужен детект breach-а на самом деле, способ при котором я могу сказать "моя бинарепрога теперь исполняет не обычный код, а ее похекали зиродеем"
Size: a a a
2017 December 25
PC
и это секьюрити эвент, алярм, спустить собак
AS
так ты автор проги?
D
Главное JIT так не убить)
Надо исходить из модели угроз и модели нарушителя. не надо всегда JIT вспоминать) Да он есть, но не везде. Это как общаешься о exploit mitigations с кем-нибудь из Google Project Zero и они сразу его вспоминают (ну это понятно у них браузер), но это не значит что ОШЕ везде - очень часто его можно выкинуть из модели угроз
AS
так я пытаюсь вообще понять. какая задача
PC
нет, мне надо реализовать что-то вроде враппера или патча или чего-то подобного
AS
типа ты свои сервера мониториш?
AS
ну имхо SELinux достаточно)
AS
шеллкоды мониторить оверкилл
AS
проще поведение аномальное
AS
мол тот софт никогда сокетов не октывал
AS
а теперь бин 4444
AS
AS
дотсуп к ФС, execl
AS
D
нужен детект breach-а на самом деле, способ при котором я могу сказать "моя бинарепрога теперь исполняет не обычный код, а ее похекали зиродеем"
Есть старая штука под названием Korset No More 0-Days (or Code-Based Intrusion Detection by Korset) https://www.blackhat.com/html/bh-usa-08/bh-usa-08-archive.html даже код можно где-то найти
PC
ну то есть сисколы мониторить, как я и предполагал
PC
+ какие-то маркеры типа запуска /bin/sh