Перехват VDSO

Злоумышленники могут внедрять вредоносный код в процессы через перехват VDSO для обхода защит на основе процессов, а также, возможно, для повышения привилегий. Перехват виртуального динамического разделяемого объекта (vdso) — это метод выполнения произвольного кода в адресном пространстве отдельного живого процесса. Перехват VDSO включает перенаправление вызовов к динамически скомпонованным разделяемым библиотекам. Защита памяти может препятствовать записи исполняемого кода в процесс через Системные вызовы Ptrace. Однако злоумышленник может перехватить заглушки кода интерфейса системных вызовов, отображенные в процесс из разделяемого объекта vdso, для выполнения системных вызовов для открытия и отображения вредоносного разделяемого объекта. Этот код затем может быть вызван путем перенаправления потока выполнения процесса через исправленные ссылки на адреса памяти, хранящиеся в глобальной таблице смещений процесса (которая хранит абсолютные адреса отображенных функций библиотеки). Запуск кода в контексте другого процесса может предоставить доступ к памяти процесса, системным/сетевым ресурсам и, возможно, повышенным привилегиям. Выполнение через перехват VDSO также может обойти обнаружение продуктами безопасности, поскольку выполнение маскируется под легитимным процессом.