Основанный на подписи сканер руткитов?

20

В настоящее время единственные известные мне сканеры руткитов должны быть установлены на компьютере перед руткитом, чтобы они могли сравнивать изменения файлов и т. Д. (Например, chkrootkitи rkhunter), но мне действительно нужно иметь возможность сканировать мою машину и другие машины. из LiveUSB, потому что, если руткит достаточно хорош, то он также перехватит и программы обнаружения руткитов.

Так есть ли сигнатурный сканер руткитов для Ubuntu / Linux, который я мог бы просто установить на LiveUSB и использовать для надежного сканирования компьютеров, к которым я подключен, без необходимости отслеживать поведение или сравнивать файлы с предыдущих дат?


источник
У вас точно есть правильное имя, @Paranoid. Ваши компьютеры находятся в дикой природе в Интернете, полностью выставлены?
SDsolar
@Sdsolar: Нет, но мне нравится план резервного копирования на всякий случай. Кроме того, я мог бы хотеть сканировать машину друга, и если она уже взломана, то установка чего-то подобного, rkhunterвероятно, не принесет много пользы. На самом деле, если установлен руткит, я ожидаю, rkhunterчто он больше не даст точных результатов, так что немного глупо, потому что это инструмент, установленный на реальной машине, который может быть скомпрометирован.
Я не хочу ослаблять ваши движения, но я думаю, что вы запрашиваете инструмент, который потерял бы значительную часть компьютерных экспертов-криминалистов и мог бы быстро заработать миллионы долларов. :-)
CatMan
@Paranoid Panda - бесплатный сканер для Linux Sophos имеет более 12,5 миллионов подписей, но, насколько я знаю, они говорят - это только для вирусов? Но я предполагаю, что они имеют в виду под «вирусом» все виды вредоносного ПО в пустыне (M $ ...) ...
dschinn1001
@ParanoidPanda: кажется, что вам нужно взять сканер руткитов, который вам нравится, установить его в системе, в которой вы уверены, что она чиста, а затем установить TH на LiveUSB, чтобы ваш сканер мог ссылаться на хорошие файлы на флешке когда он сканирует (потенциально скомпрометированную) систему. Сканер, возможно, придется взломать, чтобы найти на флешке эталонные файлы / подписи, которые он использует для проверки целевого компьютера. Вам также может понадобиться отдельный стик для каждой версии ОС, которую вы хотите сканировать.
Том Баррон

Ответы:

3

AIDE ( dvanced I ntruder D etection E nvionment) является заменой упоминалось в другой ответ здесь. Из википедии :tripwire

Усовершенствованная среда обнаружения вторжений (AIDE) изначально была разработана в качестве бесплатной замены для Tripwire, лицензированной в соответствии с условиями GNU General Public License (GPL).

Первичных разработчиков называют Рами Лехти и Пабло Виролайнен, которые оба связаны с Технологическим университетом Тампере вместе с Ричардом ван ден Бергом, независимым голландским консультантом по безопасности. Проект используется во многих Unix-подобных системах как недорогая базовая система контроля и обнаружения руткитов.


функциональность

AIDE делает «снимок» состояния системы, регистрирует хэши, время модификации и другие данные, относящиеся к файлам, определенным администратором. Этот «снимок» используется для создания базы данных, которая сохраняется и может храниться на внешнем устройстве для безопасного хранения.

Когда администратор хочет выполнить тест на целостность, он помещает ранее созданную базу данных в доступное место и дает команду AIDE для сравнения базы данных с реальным состоянием системы. Если на компьютере произошли изменения между созданием моментального снимка и тестом, AIDE обнаружит его и сообщит об этом администратору. В качестве альтернативы, AIDE может быть настроен для запуска по расписанию и ежедневного отчета об изменениях, используя технологии планирования, такие как cron, который является поведением по умолчанию пакета Debian AIDE. 2

Это в основном полезно в целях безопасности, поскольку AIDE сообщает о любых злонамеренных изменениях, которые могли произойти внутри системы.


С тех пор как была написана статья в Википедии, нынешний сопровождающий Ричард ван ден Берг (2003-2010) был заменен новым сопровождающим Ханнесом фон Хаугвицем с 2010 года по настоящее время.

На домашней странице AIDE указано, что Debian поддерживается, что означает, что приложение может быть установлено в Ubuntu с помощью предиката:

sudo apt install aide

Что касается переносимости и поддержки USB-накопителя, домашняя страница продолжает:

Он создает базу данных из правил регулярных выражений, которые он находит из файла (ов) конфигурации. После инициализации этой базы данных ее можно использовать для проверки целостности файлов. Он имеет несколько алгоритмов дайджеста сообщений (см. Ниже), которые используются для проверки целостности файла. Все обычные атрибуты файла также можно проверить на несоответствия. Он может читать базы данных из старых или более новых версий. Смотрите справочные страницы в дистрибутиве для получения дополнительной информации.

Это означает, что вы можете иметь базу данных сигнатур на своем флеш-накопителе вместе с приложением на постоянном USB-накопителе. Я не уверен, что AIDE удовлетворяет вашим потребностям, но, поскольку он заменяет tripwireваш текущий любимый, он заслуживает изучения.

WinEunuuchs2Unix
источник
Умный ответ! :-)
Fabby
@Fabby Спасибо за комплимент. AIDE настраивается cronв большинстве случаев . Я сам мог бы подумать не только о защите от руткитов, но и о том, чтобы защитить себя от своего плохого программирования: p Может быть полезно посмотреть, что изменится и после apt get install.
WinEunuuchs2Unix
3

Напоминает мне tripwire, которая создает криптографические контрольные суммы файлов, которые вы указали. Установите копию системы, которую вы проверяете, из известного надежного источника (например, DVD), установите те же самые обновления целевой системы), попросите tripwire создать файл контрольной суммы. Скопируйте файл контрольной суммы tripwire в целевую систему, используйте файл контрольной суммы tripwire для сравнения с файлами целевой системы.

Несинхронизированные обновления / обновления / установки / системные файлы конфигурации, разумеется, будут помечены / помечены как измененные.

Обновление 2018-05-06:

Я также должен добавить, что целевая система должна быть проверена в автономном режиме. Если цель была скомпрометирована, аппаратное обеспечение, загрузочное микропрограммное обеспечение, ядро ​​os, драйверы ядра, системные библиотеки, двоичные файлы уже могли быть скомпрометированы и создавать помехи или возвращать ложные срабатывания. Даже запуск через сеть в целевую систему может быть небезопасным, поскольку (скомпрометированная) целевая система будет обрабатывать сетевые пакеты, файловую систему, блочное устройство и т. Д. Локально.

Наименьший сопоставимый сценарий, который приходит на ум, - это смарт-карты (EMV, используемый в кредитных картах, PIV, используемый федеральным правительством и т. Д.). Независимо от беспроводных интерфейсов и всех защит hw / electric / rf, контактный интерфейс по сути является последовательным, трехпроводным или двухпроводным. API-интерфейс стандартизирован и помещен в белый квадрат, поэтому все согласны с тем, что он непроницаем Защищали ли они данные при передаче, во время выполнения, в покое во флэш-памяти?

Но реализация с закрытым исходным кодом. В оборудовании может существовать бэкдор для копирования всей среды выполнения и флэш-памяти. Другие могут манипулировать данными, передаваемыми между оборудованием и внутренней памятью, ОС Smart Card или вводом / выводом с карты на карту. Даже если hw / fw / sw / compilers имеют открытый исходный код, вам придется проверять все на каждом этапе, и все же вы можете пропустить то, о чем вы / все остальные не подумали. Паранойя может отправить тебя в белую резиновую комнату.

Извините за побег по касательной паранойи. Серьезно, возьмите целевые диски для тестирования. Вам остается только беспокоиться о целевом диске hw / fw. А еще лучше, просто извлеките жесткие диски с жесткими дисками / флэш-накопители SSD для тестирования (при условии, что ваша тестовая система является золотой). ;)

rcpa0
источник
Импровизированный да, но это на самом деле очень хорошее решение проблемы! Я приму это, поскольку, похоже, нет другого хорошего решения для Linux. Хотя, если придет другой ответ, в котором будет дан полный ответ и предложено решение вопроса, мне придется переместить маркер принятия. Но большое спасибо за это хотя бы временное решение!
Примечание. Некоторые твердотельные накопители фактически шифруют данные в состоянии покоя во флэш-памяти, поэтому мой комментарий о перемещении только флэш-чипов для тестирования в этом случае не будет работать. В какой-то момент вам просто нужно вздохнуть и согласиться на компромисс между безопасностью и выполнением ваших вычислительных задач.
rcpa0