İmza tabanlı rootkit tarayıcı?


20

Şu anda bildiğim tek rootkit tarayıcıları, rootkit'ten önce makineye kurulmaları gerekiyor, böylece dosya değişikliklerini vb. Karşılaştırabilirler (örneğin: chkrootkitve rkhunter), fakat gerçekten yapmam gereken, makinemi ve diğer makineleri tarayabilmem bir LiveUSB'den, eğer rootkit yeterince iyiyse, rootkit tespit programlarını da devralmış olacaktır.

Öyleyse Ubuntu / Linux için LiveUSB'ye yükleyebileceğim ve daha önce kullandığım davranışları izlemek veya dosyaları karşılaştırmak zorunda kalmadan taktığım makineleri güvenilir bir şekilde taramak için kullanabileceğim, imza tabanlı bir rootkit tarayıcısı var mı?


Kesinlikle doğru isim aldın, @ Paranoid. Bilgisayarlarınız internette vahşi ortamda, tamamen açıkta mı?
SDsolar

@SDsolar: Hayır, ancak durumda yedekleme planını seviyorum. Ayrıca, bir arkadaşımın makinesini taramak isteyebilirim ve eğer zaten tehlike rkhunteraltındaysa, muhtemelen bir şey yüklemek çok işe yaramaz. Aslında, eğer bir rootkit kurulursa, rkhunterartık kesin sonuç vermeyeceğimi umuyorum, bu yüzden sadece gerçek makineye kurulmuş bir araç olması biraz saçma.

Hareketliliğinizi bastırmak istemiyorum ama bence bilgisayar adli tıp uzmanlarının oldukça büyük bir bölümünü kaybedecek ve işlerini çabucak halledebilecek bir araç istiyorsunuz. :-)
CatMan

@ Paranoid Panda - Sophos'un Linux'u için ücretsiz tarayıcıda 12,5 milyondan fazla imza var, ancak bildiğim kadarıyla dedikleri gibi - sadece virüsler için mi? Ama sanırım vahşi doğada (M $ ...) her türlü zararlı yazılımı "virüs" demek istiyorlar ...
dschinn1001

@ ParanoidPanda: İstediğiniz gibi bir rootkit tarayıcı almak, temiz olduğundan emin olduğunuz bir sisteme yüklemek, ardından tarayıcı çubuğunuzun çubuktaki iyi dosyalara başvurması için bir LiveUSB üzerine BU yükleyin (potansiyel olarak tehlikeye atılmış) bir sistemi tararken. Hedef makineyi kontrol etmek için kullandığı referans dosyalar / imzalar için çubuğa bakmak için tarayıcının kırılması gerekebilir. Ayrıca taramak istediğiniz her işletim sistemi sürümü için ayrı bir çubuğunuzun olması gerekebilir.
Tom Barron

Yanıtlar:


3

AIDE ( A dvanced ben ntruder D etection E nvionment) için yerine geçer tripwireburada başka bir cevapta belirtildiği. Gönderen wikipedia :

Gelişmiş İzinsiz Giriş Tespit Ortamı (AIDE), başlangıçta GNU Genel Kamu Lisansı (GPL) koşulları altında lisanslanan Tripwire'ın ücretsiz bir alternatifi olarak geliştirildi.

Başlıca geliştiriciler, bağımsız bir Hollandalı güvenlik danışmanı olan Richard van den Berg ile birlikte Tampere Teknoloji Üniversitesi ile bağlantılı olan Rami Lehti ve Pablo Virolainen olarak adlandırıldı. Proje, ucuz bir temel kontrol ve rootkit algılama sistemi olarak birçok Unix benzeri sistemde kullanılmaktadır.


İşlevsellik

AIDE, sistemin durumunun "anlık görüntüsünü" alır, hashları, değişiklik zamanlarını ve yönetici tarafından tanımlanan dosyalara ilişkin diğer verileri kaydeder. Bu "anlık görüntü", saklamak ve korunmak için harici bir cihaza depolanabilecek bir veritabanı oluşturmak için kullanılır.

Yönetici bir bütünlük testi yapmak istediğinde, yönetici önceden oluşturulmuş veritabanını erişilebilir bir yere yerleştirir ve veritabanını sistemin gerçek durumuyla karşılaştırmak için AIDE komutunu kullanır. Bilgisayarda anlık görüntü oluşturma ve test arasında bir değişiklik olursa, AIDE bunu algılar ve yöneticiye rapor eder. Alternatif olarak, AIDE, Debian AIDE paketinin varsayılan davranışı olan cron gibi programlama teknolojilerini kullanarak günlük olarak bir program üzerinde çalışacak ve değişiklikleri rapor edecek şekilde yapılandırılabilir. 2

Sistemin içinde olabilecek herhangi bir kötü amaçlı değişikliğin AIDE tarafından rapor edileceği göz önüne alındığında, bu güvenlik açısından özellikle yararlıdır.


Wikipedia makalesi yazıldıktan sonra şu anki koruyucu Richard van den Berg (2003-2010) 2010'dan günümüze yeni bir koruyucu Hannes von Haugwitz ile değiştirildi.

AIDE anasayfa Debian uygulama predicatable ile ubuntu kurulabilir yani desteklenmektedir devletler:

sudo apt install aide

Taşınabilirlik ve USB kalem sürücü desteği kadar ana sayfa söylemeye devam ediyor:

Config dosyasından / dosyalarından bulduğu düzenli ifade kurallarından bir veritabanı oluşturur. Bu veritabanı başlatıldıktan sonra, dosyaların bütünlüğünü doğrulamak için kullanılabilir. Dosyanın bütünlüğünü kontrol etmek için kullanılan birkaç mesaj özeti algoritmasına (aşağıya bakınız) sahiptir. Her zamanki dosya özniteliklerinin tümü de tutarsızlık için kontrol edilebilir. Daha eski veya daha yeni sürümlerden veritabanlarını okuyabilir. Daha fazla bilgi için dağıtımdaki kılavuz sayfalarına bakın.

Bu bana, canlı USB kalıcı depolama alanındaki uygulamanın yanı sıra kalem sürücünüzdeki imza veritabanına sahip olabileceğiniz anlamına gelir. AIDE'nin ihtiyaçlarınıza uygun olduğundan emin değilim, ancak tripwirearadığı en sevdiğiniz oyunun yerine geçiyor.


Zekice cevap! :-)
Fabby

@Fabby İltifatınız için teşekkürler. AIDE cronçoğu kurulumda kuruluyor . Bunu sadece rootkit koruması için değil, kendi kötü programlamamdan korumam için de düşünebilirim: p Bir de sonradan hangi değişikliklerin olduğunu görmek eğitici olabilir apt get install.
WinEunuuchs2Unix

3

Belirttiğiniz dosyaların şifreli sağlama toplamlarını oluşturan tripwire'ı hatırlatıyor. Bildiğiniz iyi kaynaktan kontrol ettiğiniz sistemin bir kopyasını yükleyin (örneğin DVD), hedef sistemin aynı güncellemelerini yükleyin), tripwire'ın sağlama toplamı dosyasını oluşturmasını sağlayın. Tripwire'ın sağlama toplamı dosyasını hedef sisteme kopyalayın, tripwire'ın sağlama toplamı dosyasını hedef sistemin dosyaları ile karşılaştırın.

Senkronizasyon dışı güncellemeler / güncellemeler / kurulumlar / sisteme özgü konfigürasyon dosyaları elbette değiştirilmiş olarak işaretlenir / işaretlenir.

2018-05-06 güncellemesi:

Ayrıca hedef sistemin çevrimdışı kontrol edilmesi gerektiğini de eklemeliyim. Hedef tehlikeye atıldıysa, donanım, önyükleme yazılımı, işletim sistemi, çekirdek sürücüleri, sistem kitaplıkları, ikili dosyalar zaten tehlikeye girmiş olabilir ve yanlış pozitifleri engelleyebilir veya geri getirebilir. Bir ağ üzerinden hedef sistemde çalışmak bile güvenli olmayabilir, çünkü (tehlike altındaki) hedef sistem ağ paketlerini, dosya sistemini, blok cihazını vb. Yerel olarak işliyor olabilir.

Akla gelen en küçük karşılaştırılabilir senaryo akıllı kartlardır (kredi kartlarında kullanılan EMV, federal hükümet tarafından kullanılan PIV, vb.). Kablosuz arayüzleri ve tüm hw / elektrik / rf korumalarını göz ardı ederek, kontak arayüzü esas olarak bir seri port, üç tel veya iki teldir. API standardize ve beyaz kutuya sahiptir, böylece herkes geçirimsiz olduğunu kabul eder. Veri aktarım sırasında, çalışma zamanı belleğinde, flash bellekte bekletildi mi?

Ancak uygulama kapalı kaynaktır. Tüm çalışma zamanını ve flash belleği kopyalamak için donanımda bir arka kapı bulunabilir. Diğerleri, donanım ile dahili bellekler, Smart Card OS veya I / O arasında aktarılan verileri karta girip değiştirebilir. Hw / fw / sw / compilers açık kaynak olsa bile, her adımda her şeyi denetlemelisiniz ve hala sizin / herkesin düşünmediği bir şeyi özleyebiliyordunuz. Paranoya sizi beyaz bir kauçuk odaya gönderebilir.

Bir paranoya tanjantı için kaçtığım için üzgünüm. Cidden, hedef sürücüleri test etmek için çıkarın. Sadece hedef sürücü hw / fw hakkında endişelenmeniz gerekir. Daha da iyisi, test etmek için HDD plakalarını / SSD flaş çiplerini çıkarmanız yeterlidir (test sisteminizin altın olduğu varsayılarak). ;)


Doğaçlama evet, ama bu aslında soruna çok iyi bir çözüm! Linux için başka iyi bir çözüm olmadığı için kabul edeceğim. Her ne kadar soruyu cevaplayan ve soruyu çözen başka bir cevap gelse de, kabul işaretleyicisini hareket ettirmem gerekecek. Ama bu en azından geçici bir çözüm için çok teşekkür ederim!

Not: Bazı SSD'ler aslında hareketsiz bellekteki verileri şifreler, bu nedenle test etmek için yalnızca flash cipsleri dışarı taşımaya ilişkin yorumum bu durumda işe yaramaz. Bir noktada, güvenlik ile bilgisayar görevinizi yerine getirme arasındaki uzlaşmayı gözden geçirmeniz ve kabul etmeniz gerekir.
rcpa0
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.