署名ベースのルートキットスキャナーですか?


20

現在、私が知っている唯一のルートキットスキャナーは、ファイルの変更などを比較できるようにルートキットの前にマシンにインストールする必要がchkrootkitあります(例:およびrkhunter)。なぜなら、ルートキットが十分に良ければ、ルートキット検出プログラムも引き継いでしまうからです。

それでは、Ubuntu / Linux用のシグネチャベースのルートキットスキャナーをLiveUSBにインストールして、動作を監視したり、以前の日付のファイルを比較したりせずに、プラグインしたマシンを確実にスキャンできますか?


正しい名前は@Paranoidです。お使いのコンピューターはインターネット上で完全に公開されていますか?
–SDsolar

@SDsolar:いいえ、しかし念のためバックアップ計画が好きです。また、友人のマシンをスキャンしたい場合があります。すでに感染している場合は、rkhunterおそらくインストールしてもあまり効果がありません。実際、ルートキットがインストールされているとrkhunter、正確な結果が得られなくなると予想されるため、実際のマシンにインストールされたツールが侵害されるだけであるのは少しばかげています。

私はあなたの動きを弱めたくはありませんが、コンピューター法医学の専門家のかなりの部分を失い、数百万ドルを素早く稼げるツールを求めていると思います。:-)
CatMan

@Paranoid Panda-ソフォスのLinux用無料スキャナーには、12,500万以上のシグネチャがありますが、私が知る限り、それはウイルス専用ですか?しかし、私は、彼らが「ウイルス」(M $ ...の)荒野でのマルウェアのすべての種類...と意味推測する
dschinn1001

@ParanoidPanda:あなたが望むのは、あなたが好きなルートキットスキャナーを取り、あなたがきれいであると確信しているシステムにそれをインストールし、LiveUSBにTHATをインストールして、スキャナースティックがスティック上の良いファイルを参照できるようにすることです(潜在的に侵害された)システムをスキャンするとき。ターゲットマシンのチェックに使用する参照ファイル/署名のスティックを調べるには、スキャナをハッキングする必要がある場合があります。また、スキャンするOSバージョンごとに個別のスティックが必要になる場合があります。
トム・バロン

回答:


3

AIDEA dvanced I ntruder D etection E nvionmentは)に交換されtripwire、ここで別の答えに言及しました。ウィキペディアから:

Advanced Intrusion Detection Environment(AIDE)は当初、GNU General Public License(GPL)の条件の下でライセンスされたTripwireの無料の代替として開発されました。

主な開発者の名前はRami LehtiとPablo Virolainenであり、どちらもタンペレ工科大学に所属し、独立したオランダのセキュリティコンサルタントであるRichard van den Bergとともにいます。このプロジェクトは、安価なベースラインコントロールおよびルートキット検出システムとして、多くのUnixライクシステムで使用されています。


機能性

AIDEは、システムの状態の「スナップショット」を取得し、管理者が定義したファイルに関するハッシュ、変更時間、およびその他のデータを登録します。この「スナップショット」は、保存され、保管のために外部デバイスに保存されるデータベースを構築するために使用されます。

管理者が整合性テストを実行する場合、管理者は以前に構築したデータベースをアクセス可能な場所に配置し、AIDEにコマンドを実行してデータベースをシステムの実際のステータスと比較します。スナップショットの作成とテストの間にコンピューターに変更が発生した場合、AIDEはそれを検出し、管理者に報告します。または、AIDEは、cronなどのスケジューリングテクノロジーを使用して、スケジュールに従って実行し、変更を毎日報告するように構成できます。cronは、Debian AIDEパッケージのデフォルトの動作です。2

システムの内部で発生する可能性のある悪意のある変更がAIDEによって報告される場合、これは主にセキュリティの目的に役立ちます。


ウィキペディアの記事が書かれてから、当時のメンテナーであるリチャード・ファン・デン・バーグ(2003-2010)は、2010年から現在まで、新しいメンテナーのHannes von Haugwitzに置き換えられました。

AIDEのホームページには、 Debianは、アプリケーションがpredicatableでのUbuntuにインストールすることができることを意味サポートされています状態:

sudo apt install aide

携帯性とUSBペンドライブのサポートに関する限り、ホームページは次のように述べています。

構成ファイルから検出した正規表現ルールからデータベースを作成します。このデータベースを初期化すると、ファイルの整合性を検証するために使用できます。ファイルの整合性をチェックするために使用されるいくつかのメッセージダイジェストアルゴリズム(以下を参照)があります。通常のすべてのファイル属性も、矛盾がないかチェックできます。古いバージョンまたは新しいバージョンのデータベースを読み取ることができます。詳細については、ディストリビューション内のマニュアルページを参照してください。

これは、ライブUSB永続ストレージのアプリケーションとともに、ペンドライブに署名データベースを保持できることを意味します。AIDEがあなたのニーズに合っているかどうかはわかりませんがtripwire、現在のお気に入りの代替品であるため、AIDEが検討しています。


スマートな答え! :-)
ファビー

@Fabbyお世辞に感謝します。AIDEはcronほとんどのインストールでセットアップされています。ルートキットの保護だけでなく、自分自身の不適切なプログラミングから保護するために、自分自身でそれを検討するかもしれませapt get installん。
WinEunuuchs2Unix

3

指定したファイルの暗号化チェックサムを作成するtripwireを思い出します。既知の正常なソース(DVDなど)からチェックしているシステムのコピーをインストールし、ターゲットシステムの同じ更新をインストールします)、tripwireにチェックサムファイルを作成させます。tripwireのチェックサムファイルをターゲットシステムにコピーし、tripwireでチェックサムファイルをターゲットシステムのファイルと比較します。

同期されていない更新/アップグレード/インストール/システム固有の構成ファイルには、もちろんフラグが付けられ/変更済みとしてマークされます。

更新2018-05-06:

ターゲットシステムをオフラインでチェックする必要があることも追加する必要があります。ターゲットが侵害された場合、ハードウェア、ブートファームウェア、OSカーネル、カーネルドライバー、システムライブラリ、バイナリが既に侵害されており、誤検知を妨害または返す可能性があります。(侵害された)ターゲットシステムがネットワークパケット、ファイルシステム、ブロックデバイスなどをローカルで処理するため、ネットワークを介してターゲットシステムに実行することでさえ安全ではない場合があります。

頭に浮かぶ最小の比較可能なシナリオは、スマートカード(クレジットカードで使用されるEMV、連邦政府で使用されるPIVなど)です。ワイヤレスインターフェイス、およびすべてのhw / electrical / rf保護を無視すると、コンタクトインターフェイスは基本的にシリアルポート、3線、または2線です。APIは標準化され、ホワイトボックス化されているため、不浸透性であることに全員が同意します。転送中、ランタイムメモリ、フラッシュメモリに保存されているデータを保護しましたか?

しかし、実装はクローズドソースです。ランタイム全体とフラッシュメモリをコピーするために、ハードウェアにバックドアが存在する場合があります。他の人は、ハードウェアと内部メモリ、スマートカードOS、またはカードとの間のI / Oの間で転送中のデータを操作する場合があります。hw / fw / sw / compilersがオープンソースであっても、すべてのステップですべてを監査する必要がありますが、それでも他の誰も考えもしなかった何かを見逃す可能性があります。パラノイアは、あなたを白いゴムの部屋に送り込むことができます。

パラノイア接線で逃げてすみません。真剣に、ターゲットドライブを取り出してテストします。その場合、ターゲットドライブのhw / fwについて心配するだけです。さらに良いのは、テストするためにHDDプラッタ/ SSDフラッシュチップを取り出すだけです(テストシステムが黄金色であると仮定)。;)


即興はいですが、これは実際には問題の非常に良い解決策です!Linuxには他に良い解決策はないと思われるので、それを受け入れます。完全な質問を提供し、解決策を求めた別の答えが来た場合は、受け入れマーカーを移動する必要があります。しかし、この少なくとも一時的な解決策に感謝します!

注:一部のSSDは、実際にはフラッシュメモリ内の保存データを暗号化するため、フラッシュチップだけをテスト用に移動するという私のコメントは、この場合は機能しません。ある時点で、あなたはため息をつくだけで、セキュリティとコンピューティングタスクの完了の間の妥協点を受け入れなければなりません。
rcpa0
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.