web-dev-qa-db-ja.com

署名ベースのルートキットスキャナーですか?

現在、私が知っている唯一のルートキットスキャナーは、ファイルの変更などを比較できるようにルートキットの前にマシンにインストールする必要があります(例:chkrootkitrkhunter)が、本当に必要なのはルートキットが十分であれば、ルートキット検出プログラムも引き継ぐため、LiveUSBから自分のマシンや他のマシンをスキャンできます。

それでは、Ubuntu/Linux用のシグネチャベースのルートキットスキャナーをLiveUSBにインストールして、動作を監視したり、以前の日付のファイルを比較したりせずに、プラグインしたマシンを確実にスキャンできますか?

software-recommendationsecuritymalwarerootkitsignature
20
user364819

AIDEAdvancedIntruderDetectionEnvionment)は、ここの別の回答で言及されているtripwireの代替です。 wikipedia から:

Advanced Intrusion Detection Environment(AIDE)は、最初にGNU General Public License(GPL)の条件の下でライセンスされたTripwireの無料の代替として開発されました。

主な開発者の名前はRami LehtiとPablo Virolainenで、どちらもタンペレ工科大学に所属しているほか、オランダの独立したセキュリティコンサルタントであるリチャードヴァンデンバーグもいます。このプロジェクトは、安価なベースラインコントロールおよびルートキット検出システムとして、多くのUnixライクシステムで使用されています。

機能性

AIDEは、システムの状態の「スナップショット」を取得し、管理者が定義したファイルに関するハッシュ、変更時間、およびその他のデータを登録します。この「スナップショット」は、保存され、保管のために外部デバイスに保存されるデータベースを構築するために使用されます。

管理者が整合性テストを実行する場合、管理者は以前に構築したデータベースをアクセス可能な場所に配置し、AIDEにコマンドを実行してデータベースをシステムの実際のステータスと比較します。スナップショットの作成とテストの間にコンピューターに変更が発生した場合、AIDEはそれを検出し、管理者に報告します。また、AIDEは、cronなどのスケジューリングテクノロジーを使用して、スケジュールに従って実行し、変更を毎日報告するように構成できます。cronは、Debian AIDEパッケージのデフォルトの動作です。 2

システムの内部で発生する可能性のある悪意のある変更がAIDEによって報告されることを考えると、これは主にセキュリティの目的に役立ちます。

ウィキペディアの記事が書かれて以来、当時の現在のメンテナーリチャード・ヴァン・デン・バーグ(2003-2010)は新しいメンテナー2010年から現在までのHannes von Haugwitz

AIDE homepage は、Debianがサポートされていることを示しています。つまり、アプリケーションをubuntuにインストールできることを意味します。

Sudo apt install aide

移植性とUSBペンドライブのサポートに関する限り、ホームページは次のように述べています。

構成ファイルから検出した正規表現ルールからデータベースを作成します。このデータベースを初期化すると、ファイルの整合性を検証するために使用できます。ファイルの整合性をチェックするために使用されるいくつかのメッセージダイジェストアルゴリズム(以下を参照)があります。通常のすべてのファイル属性も、矛盾がないかチェックできます。古いバージョンまたは新しいバージョンのデータベースを読み取ることができます。詳細については、ディストリビューション内のマニュアルページを参照してください。

これは、ライブUSB永続ストレージ上のアプリケーションとともに、ペンドライブに署名データベースを保持できることを意味します。 AIDEがあなたのニーズに合っているかどうかはわかりませんが、AIDEは現在のお気に入りのtripwireに代わるものです。

3
WinEunuuchs2Unix

指定したファイルの暗号化チェックサムを作成するtripwireを思い出します。既知の正常なソース(DVDなど)からチェックしているシステムのコピーをインストールし、ターゲットシステムの同じ更新プログラムをインストールします)、tripwireにチェックサムファイルを作成させます。 tripwireのチェックサムファイルをターゲットシステムにコピーし、tripwireにチェックサムファイルをターゲットシステムのファイルと比較させます。

同期されていない更新/アップグレード/インストール/システム固有の構成ファイルには、もちろんフラグが付けられ/変更済みとしてマークされます。

更新2018-05-06:

ターゲットシステムをオフラインでチェックする必要があることも追加する必要があります。ターゲットが危険にさらされている場合、ハードウェア、ブートファームウェア、OSカーネル、カーネルドライバー、システムライブラリ、バイナリが既に危険にさらされており、誤検知を妨害または返す可能性があります。 (侵害された)ターゲットシステムがネットワークパケット、ファイルシステム、ブロックデバイスなどをローカルで処理するため、ネットワークを介してターゲットシステムに実行することでさえ安全ではない場合があります。

頭に浮かぶ最小の比較可能なシナリオは、スマートカード(クレジットカードで使用されるEMV、連邦政府で使用されるPIVなど)です。ワイヤレスインターフェイス、およびすべてのhw/electrical/rf保護を無視すると、コンタクトインターフェイスは基本的にシリアルポート、3線、または2線です。 APIは標準化され、ホワイトボックス化されているため、不浸透性であることに全員が同意します。転送中、実行時メモリ、フラッシュメモリに保存されているデータを保護しましたか?

しかし、実装はクローズドソースです。ランタイム全体とフラッシュメモリをコピーするために、ハードウェアにバックドアが存在する場合があります。他の人は、ハードウェアと内部メモリ、スマートカードOS、またはカードとの間のI/Oの間で転送中のデータを操作する場合があります。 hw/fw/sw/compilersがオープンソースであっても、すべてのステップですべてを監査する必要がありますが、それでも他の誰も考えもしなかった何かを見逃す可能性があります。パラノイアはあなたを白いゴムの部屋に送り込むことができます。

パラノイア接線で逃げてすみません。真剣に、ターゲットドライブを取り出してテストします。その場合、ターゲットドライブのhw/fwについて心配するだけです。さらに良いのは、テストするためにHDDプラッタ/ SSDフラッシュチップを取り出すだけです(テストシステムが黄金色であると仮定)。 ;)

3
rcpa0