Unixベースのシステムでは、Tripwireは「今日このマシンで何が変わったのか」という優れた一般的なものです。解決。他にももっと具体的なルートキット検出器がありますが、それは悪者とのキャッチアップの問題だといつも思っていました。ルートキット検出器がすべてをキャッチするのに十分なほど最新であるとは決して確信できません。
私は [〜#〜] ossec [〜#〜] を使用していて、その結果に本当に感銘を受けました
Linuxで利用可能な無料のルートキットチェッカーはどれも非常に優れています。彼らはあなたが見つけることができるすべての公に利用可能な(ほとんど何年もの間)ルートキットを検出することさえできませんソースコードpacketstormのようなサイトの場合。彼らは既知の脅威に対してうまく機能しないだけでなく、ルートキットを使用する前に検出器に対してテストを行う機会があるインテリジェントな攻撃者に対してもパフォーマンスが低下すると予想するのに十分な理由があります。
さらに、ルートキットに、Tripwireなどのツールで検出できるディスク上のフットプリントがあると想定する理由はありません。カーネルルートキットは、感染したシステムで実行されているすべてのソフトウェアを欺くことができます。読み取り専用メディアから信頼できるバイナリを実行している場合でも、オペレーティングシステムから改ざんされた情報を取得している可能性があります。さらに、メモリ常駐型マルウェアは、もはや単なる理論上の心配ではありません。その使用は、Mandiantなどのセキュリティ会社によって文書化されています。このようなルートキットに対しては、オフライン分析でさえ効果がありませんが、プラス面ではマルウェアが再起動に耐えられない可能性があります。
いくつかの解決策がありますが、無料または安価ではありません。大企業や政府機関は、 PikewerksからのSecond Look のようなメモリフォレンジックツールを求めて湧き出る可能性があります。または、そのようなツールを武器の一部として使用する可能性のあるセキュリティコンサルタントを雇うこともできます。その他、先に進んで、利用可能なアンチルートキットプログラムを使用してください。それらは100%役に立たないわけではありません。カスタマイズされた非公開のルートキットを使用している人に根ざされないように、できることを実行してください。リスクはどのくらいですか?残念ながら、私が知っている統計はありません。明らかに、LinuxはWindowsのように大量の「大量のマルウェア」に悩まされていませんが、ステルス型の標的型攻撃はどれほど一般的ですか?
(開示:私は上記のSecond Look製品の作者です。)
標準はchkrootkitとrkhunterだと思います。
私は両方を使用し、毎日実行します。 chkrootkitには、何かが変更された場合にのみ通知するオプションがあることを知っています(毎日の誤アラートを回避します)。
両方を実行すると、1)どちらも「信頼」する必要がなくなり、2)どちらか一方から明確に隠そうとする攻撃から保護できます。
ルートキットチェッカーは、ターゲットマシンにインストールしないでください。 chrootkitとrkjunterのどちらもわかりませんが、エンドマシンにインストールする必要がある場合は、あまり保護されません。ターゲットマシン上で実行されるルートキットチェックソフトウェアは、ルートキット(またはそれをインストールした人)がそれを危険にさらすリスクを冒し、したがって、あなたが求める保護を提供しません。
個人的に私は Tripwire で行きます。 Tripwireが行うことは、システム上のすべてのファイルのハッシュ(フィンガープリント)を取得することであり、ファイルが変更されたときに通知します。これにより、リモートホストを「信頼できる」マシンにして、ファイルの変更がないかターゲットマシンをスキャンすることができます。変更が検出された場合は、問題が発生したことがわかります。もちろん、システムの定期的な更新が侵入としてフラグ付けされないように、変更を制御する必要があります。
安全のために、定期的に、ターゲットマシンに移動して変更を加え、tripwireがそれを報告するようにします。また、ターゲットとtripwireを実行している信頼できるマシンとの間の接続を切断して、確実に検出されるようにします。これは、バックアップを復元できることを確認することと同じくらい重要です。
私は通常、Linuxライブディスクから外部ウイルス/ルートキットスキャンを実行します。それはあなたが本当に信頼できる唯一のものです。ただし、検出プログラムを最新の状態に保つ必要があります。