Pemindai rootkit berbasis tanda tangan?

20

Saat ini satu-satunya pemindai rootkit yang saya tahu harus diinstal pada mesin sebelum rootkit sehingga mereka dapat membandingkan perubahan file dll (misalnya: chkrootkitdan rkhunter), tetapi yang benar-benar perlu saya lakukan adalah dapat memindai mesin saya dan mesin lain dari LiveUSB karena jika rootkit cukup baik maka ia akan mengambil alih program deteksi rootkit juga.

Jadi apakah ada pemindai rootkit berbasis tanda tangan untuk Ubuntu / Linux yang bisa saya instal pada LiveUSB dan gunakan untuk memindai mesin yang andal yang saya tancapkan tanpa harus memantau perilaku atau membandingkan file dari tanggal sebelumnya?


sumber
Anda yakin memiliki nama yang tepat, @Paranoid. Apakah komputer Anda di alam bebas di internet, benar-benar terbuka?
SDsolar
@ SDsolar: Tidak, tapi saya suka paket cadangan untuk jaga-jaga. Juga, saya mungkin ingin memindai mesin teman dan jika sudah dikompromikan maka menginstal sesuatu seperti rkhuntermungkin tidak akan banyak gunanya. Bahkan, jika rootkit diinstal saya berharap rkhuntertidak lagi memberikan hasil yang akurat sehingga agak konyol untuk hanya menjadi alat yang diinstal pada mesin aktual yang akan dikompromikan.
Saya tidak ingin mengurangi gerakan Anda, tetapi saya pikir Anda meminta alat yang akan kehilangan sebagian besar ahli forensik komputer pekerjaan mereka dan bisa menghasilkan jutaan $$$ dengan cepat. :-)
CatMan
@ Panda Paranoid - Pemindai gratis untuk Linux Sophos memiliki lebih dari 12,5 juta tanda tangan, tetapi sejauh yang saya tahu, kata mereka - hanya untuk virus? Tapi saya kira maksud mereka dengan "virus" semua jenis malware di hutan belantara (dari M $ ...) ...
dschinn1001
@ParanoidPanda: Sepertinya yang Anda inginkan adalah mengambil pemindai rootkit yang Anda suka, menginstalnya pada sistem yang Anda yakini bersih, lalu menginstal ITU di LiveUSB sehingga pemindai Anda dapat merujuk ke file yang bagus pada tongkat saat memindai sistem (berpotensi dikompromikan). Pemindai mungkin harus diretas untuk melihat tongkat untuk file referensi / tanda tangan yang digunakan untuk memeriksa mesin target. Anda mungkin juga perlu memiliki tongkat terpisah untuk setiap versi OS yang ingin Anda pindai.
Tom Barron

Jawaban:

3

AIDE ( A dvanced saya ntruder D etection E nvionment) adalah pengganti untuk tripwiredisebutkan dalam jawaban lain di sini. Dari wikipedia :

Lingkungan Deteksi Intrusi Tingkat Lanjut (AIDE) pada awalnya dikembangkan sebagai pengganti gratis untuk Tripwire yang dilisensikan dengan ketentuan GNU General Public License (GPL).

Pengembang utama diberi nama Rami Lehti dan Pablo Virolainen, yang keduanya terkait dengan Universitas Teknologi Tampere, bersama dengan Richard van den Berg, seorang konsultan keamanan independen Belanda. Proyek ini digunakan pada banyak sistem mirip Unix sebagai kontrol dasar yang murah dan sistem deteksi rootkit.


Fungsionalitas

AIDE mengambil "snapshot" dari keadaan sistem, mendaftar hash, waktu modifikasi, dan data lain mengenai file yang ditentukan oleh administrator. "Cuplikan" ini digunakan untuk membangun basis data yang disimpan dan dapat disimpan pada perangkat eksternal untuk diamankan.

Ketika administrator ingin menjalankan tes integritas, administrator menempatkan basis data yang sebelumnya dibangun di tempat yang dapat diakses dan memerintahkan AIDE untuk membandingkan database dengan status sebenarnya dari sistem. Jika terjadi perubahan pada komputer antara pembuatan snapshot dan pengujian, AIDE akan mendeteksinya dan melaporkannya ke administrator. Atau, AIDE dapat dikonfigurasi untuk berjalan pada jadwal dan melaporkan perubahan setiap hari menggunakan teknologi penjadwalan seperti cron, yang merupakan perilaku default paket Debian AIDE. 2

Ini terutama berguna untuk tujuan keamanan, mengingat bahwa setiap perubahan berbahaya yang mungkin terjadi di dalam sistem akan dilaporkan oleh AIDE.


Sejak artikel wikipedia ditulis, pemilik saat itu Richard van den Berg (2003-2010) telah digantikan oleh pemilik baru Hannes von Haugwitz dari 2010 hingga sekarang.

Halaman beranda AIDE menyatakan Debian didukung yang berarti aplikasi dapat diinstal di ubuntu dengan predikabel:

sudo apt install aide

Sejauh portabilitas dan dukungan USB drive homepage selanjutnya mengatakan:

Itu membuat database dari aturan ekspresi reguler yang ditemukannya dari file config. Setelah database ini diinisialisasi, ini dapat digunakan untuk memverifikasi integritas file. Ini memiliki beberapa algoritma intisari pesan (lihat di bawah) yang digunakan untuk memeriksa integritas file. Semua atribut file yang biasa juga dapat diperiksa untuk ketidakkonsistenan. Itu bisa membaca database dari versi yang lebih lama atau lebih baru. Lihat halaman manual dalam distribusi untuk info lebih lanjut.

Ini menyiratkan bagi saya Anda bisa memiliki database tanda tangan pada pen drive Anda bersama dengan aplikasi pada penyimpanan persisten langsung USB. Saya tidak yakin AIDE cocok dengan kebutuhan Anda, tetapi karena ini adalah pengganti tripwirefavorit Anda saat ini, maka perlu diperhatikan.

WinEunuuchs2Unix
sumber
Jawaban cerdas! :-)
Fabby
@ Fabby Terima kasih atas pujiannya. AIDE diatur crondi sebagian besar instalasi. Saya mungkin menganggapnya sendiri bukan hanya untuk perlindungan rootkit tetapi lebih melindungi dari pemrograman saya sendiri yang buruk: p Mungkin pendidikan untuk melihat perubahan apa setelahnya apt get installjuga.
WinEunuuchs2Unix
3

Mengingatkan saya pada tripwire yang membuat checksum kriptografi dari file yang Anda tentukan. Instal salinan sistem yang Anda periksa dari sumber yang dikenal baik (misalnya DVD), instal pembaruan yang sama dari sistem target), minta tripwire membuat file checksum. Salin file checksum tripwire ke sistem target, minta tripwire membandingkan file checksum dengan file sistem target.

Pembaruan / pemutakhiran / pemasangan / file konfigurasi khusus sistem yang tidak selaras tentu saja akan ditandai / ditandai sebagai diubah.

Pembaruan 2018-05-06:

Saya juga harus menambahkan bahwa sistem target harus diperiksa offline. Jika target telah dikompromikan, perangkat keras, boot firmware, os kernel, driver kernel, pustaka sistem, binari mungkin telah dikompromikan dan mengganggu atau mengembalikan false positive. Bahkan berlari melintasi jaringan ke sistem target mungkin tidak aman karena sistem target (yang dikompromikan) akan memproses paket jaringan, sistem file, perangkat blok, dll. Secara lokal.

Skenario sebanding terkecil yang muncul dalam pikiran adalah kartu pintar (EMV digunakan dalam kartu kredit, PIV digunakan oleh pemerintah federal, dll). Mengabaikan antarmuka nirkabel, dan semua perlindungan hw / listrik / rf, antarmuka kontak pada dasarnya adalah port serial, tiga kabel, atau dua kabel. API terstandarisasi dan kotak putih sehingga semua orang setuju itu tahan. Apakah mereka melindungi data dalam perjalanan, dalam memori runtime, diam di memori flash?

Tetapi implementasinya adalah sumber tertutup. Backdoor mungkin ada di perangkat keras untuk menyalin seluruh runtime dan mem-flash memori. Orang lain dapat memanipulasi data dalam perjalanan antara perangkat keras dan memori internal, OS Kartu Pintar, atau I / O dari / ke kartu. Bahkan jika hw / fw / sw / compiler adalah open source, Anda harus mengaudit semuanya pada setiap langkah dan Anda masih bisa melewatkan sesuatu yang Anda / orang lain tidak pikirkan. Paranoia dapat mengirim Anda ke ruang karet putih.

Maaf karena melarikan diri dengan tangen paranoia. Serius, keluarkan target drive untuk diuji. Anda hanya perlu khawatir tentang drive target hw / fw itu. Lebih baik lagi, keluarkan piring-piring HDD / chip flash SSD untuk menguji (dengan asumsi sistem pengujian Anda berwarna emas). ;)

rcpa0
sumber
Diperbaiki ya, tapi ini sebenarnya solusi yang sangat bagus untuk masalah ini! Saya akan menerimanya karena sepertinya tidak ada solusi lain yang baik untuk Linux. Meskipun jika ada jawaban lain yang memberikan jawaban penuh dan meminta untuk pertanyaan maka saya harus memindahkan tanda terima. Tetapi terima kasih banyak untuk ini setidaknya solusi sementara!
Catatan: Beberapa SSD benar-benar mengenkripsi data saat istirahat dalam memori flash, jadi komentar saya tentang memindahkan hanya chip flash yang akan diuji tidak akan berfungsi dalam kasus ini. Pada titik tertentu Anda hanya perlu mendesah dan menerima kompromi antara keamanan dan menyelesaikan tugas komputasi Anda.
rcpa0