हस्ताक्षर-आधारित रूटकिट स्कैनर?


20

वर्तमान में एकमात्र रूटकिट स्कैनर जो मुझे पता है कि मशीन को रूटकिट से पहले स्थापित किया जाना है ताकि वे फ़ाइल परिवर्तन आदि (जैसे: chkrootkitऔर rkhunter) की तुलना कर सकें , लेकिन मुझे वास्तव में क्या करना है कि मेरी मशीन और अन्य मशीनों को स्कैन करने में सक्षम होना चाहिए एक LiveUSB से क्योंकि अगर रूटकिट काफी अच्छा है तो यह रूटकिट डिटेक्शन प्रोग्रामों को भी संभाल लेगा।

तो क्या उबंटू / लिनक्स के लिए एक हस्ताक्षर-आधारित रूटकिट स्कैनर है जिसे मैं बस एक लाइवयूएसबी पर स्थापित कर सकता हूं और मज़बूती से स्कैन करने वाली मशीनों का उपयोग कर सकता हूं, मैं इसे बिना किसी निगरानी के या पिछली तारीखों की फाइलों की तुलना किए बिना इसमें प्लग कर सकता हूं?


आपको यकीन है कि सही नाम है, @Pranoid। क्या आपके कंप्यूटर इंटरनेट पर पूरी तरह से उजागर हैं?
एसडीसोलर

@SDsolar: नहीं, लेकिन मुझे केवल मामले में एक बैकअप योजना पसंद है। इसके अलावा, मैं एक दोस्त की मशीन को स्कैन करना चाहता हूं और अगर यह पहले से ही समझौता कर लेता है तो कुछ ऐसा स्थापित करना rkhunterशायद बहुत अच्छा नहीं होगा। वास्तव में, अगर एक रूटकिट स्थापित है, तो मैं rkhunterअब सटीक परिणाम नहीं देने की उम्मीद करूंगा, इसलिए यह थोड़ा मूर्खतापूर्ण है कि इसके लिए केवल वास्तविक मशीन पर एक उपकरण स्थापित किया जाए जो कि समझौता हो।

मैं आपके मूवमेंट को कम नहीं करना चाहता, लेकिन मुझे लगता है कि आप एक ऐसे टूल की मांग कर रहे हैं, जो कंप्यूटर फोरेंसिक विशेषज्ञों का एक बड़ा हिस्सा उनकी नौकरियों को ढीला कर दे और लाखों डॉलर जल्दी बना सके। :-)
कैटमैन

@Pranoid पांडा - सोफोस के लिनक्स के लिए मुफ्त स्कैनर में 12,5 मिलियन से अधिक हस्ताक्षर हैं, लेकिन जहां तक ​​मुझे पता है, वे कहते हैं - यह केवल वायरस के लिए है? लेकिन मुझे लगता है कि वे जंगल में (एम $ ...) के सभी प्रकार के मैलवेयर से "वायरस" का मतलब है ...
dschinn1001

@PranoidPanda: ऐसा लगता है कि आप जो चाहते हैं वह एक रूटकिट स्कैनर लेना है जिसे आप पसंद करते हैं, इसे उस सिस्टम पर इंस्टॉल करें जो आप सुनिश्चित हैं कि साफ है, फिर एक लाइवयूएसबी पर स्थापित करें ताकि आपका स्कैनर स्टिक छड़ी पर अच्छी फ़ाइलों को संदर्भित कर सके। जब यह स्कैन कर रहा है (संभावित रूप से समझौता किया हुआ) सिस्टम। स्कैनर को संदर्भ मशीन / हस्ताक्षर के लिए छड़ी को देखने के लिए हैक करना पड़ सकता है जिसे वह लक्ष्य मशीन की जांच करने के लिए उपयोग करता है। आपको स्कैन करने के लिए प्रत्येक ओएस संस्करण के लिए एक अलग स्टिक भी रखने की आवश्यकता हो सकती है।
टॉम बैरन

जवाबों:


3

सहयोगी ( एक dvanced मैं ntruder डी etection nvionment) एक प्रतिस्थापन के लिए है tripwireयहाँ एक और जवाब में बताया गया। से विकिपीडिया :

उन्नत इंट्रूज़न डिटेक्शन एनवायरनमेंट (AIDE) को शुरू में GNU जनरल पब्लिक लाइसेंस (GPL) की शर्तों के तहत लाइसेंस प्राप्त Tripwire के लिए एक मुफ्त प्रतिस्थापन के रूप में विकसित किया गया था।

प्राथमिक डेवलपर्स को रामी लेहती और पाब्लो विरोलेन के नाम से जाना जाता है, जो दोनों टेम्पर यूनिवर्सिटी ऑफ़ टेक्नोलॉजी के साथ जुड़े हुए हैं, साथ ही साथ रिचर्ड वैन डेन बर्ग, एक स्वतंत्र डच सुरक्षा सलाहकार हैं। परियोजना का उपयोग कई यूनिक्स जैसी प्रणालियों पर एक सस्ती बेसलाइन नियंत्रण और रूटकिट डिटेक्शन सिस्टम के रूप में किया जाता है।


कार्यक्षमता

AIDE सिस्टम की स्थिति का "स्नैपशॉट" लेता है, प्रशासक द्वारा परिभाषित फ़ाइलों के संबंध में हैश, संशोधन समय और अन्य डेटा रजिस्टर करता है। इस "स्नैपशॉट" का उपयोग एक डेटाबेस बनाने के लिए किया जाता है जिसे सहेजा जाता है और इसे सुरक्षित करने के लिए बाहरी डिवाइस पर संग्रहीत किया जा सकता है।

जब व्यवस्थापक एक अखंडता परीक्षण चलाना चाहता है, तो व्यवस्थापक पहले से निर्मित डेटाबेस को एक सुलभ स्थान पर रखता है और सिस्टम की वास्तविक स्थिति के खिलाफ डेटाबेस की तुलना करने के लिए AIDE को आदेश देता है। क्या स्नैपशॉट निर्माण और परीक्षण के बीच कंप्यूटर में कोई परिवर्तन हुआ है, AIDE इसका पता लगाएगा और इसे व्यवस्थापक को रिपोर्ट करेगा। वैकल्पिक रूप से, AIDE को शेड्यूल पर चलने के लिए कॉन्फ़िगर किया जा सकता है और क्रोन जैसी शेड्यूलिंग तकनीकों का उपयोग करके दैनिक परिवर्तन की रिपोर्ट करता है, जो कि डेबियन AIDE पैकेज का डिफ़ॉल्ट व्यवहार है। 2

यह सुरक्षा उद्देश्यों के लिए मुख्य रूप से उपयोगी है, यह देखते हुए कि सिस्टम के अंदर होने वाले किसी भी दुर्भावनापूर्ण परिवर्तन को एआईडीई द्वारा रिपोर्ट किया जाएगा।


चूंकि विकिपीडिया लेख को तत्कालीन अनुरक्षक रिचर्ड वैन डेन बर्ग (2003-2010) लिखा गया था, उन्हें 2010 से वर्तमान तक एक नए अनुचर हेंस वॉन हौगविट्ज़ द्वारा प्रतिस्थापित किया गया है ।

सहयोगी होमपेज पर कहा गया है डेबियन समर्थित है जिसका मतलब है कि आवेदन predicatable साथ ubuntu में स्थापित किया जा सकता है:

sudo apt install aide

जहां तक ​​पोर्टेबिलिटी और यूएसबी पेन ड्राइव का समर्थन है, होमपेज यह कहता है:

यह रेग्युलर एक्सप्रेशन रूल्स से एक डेटाबेस बनाता है जो इसे कॉन्फिग फाइल (एस) से मिलता है। एक बार जब यह डेटाबेस इनिशियलाइज़ हो जाता है तो इसका उपयोग फ़ाइलों की अखंडता को सत्यापित करने के लिए किया जा सकता है। इसमें कई संदेश डाइजेस्ट एल्गोरिदम हैं (नीचे देखें) जो फ़ाइल की अखंडता की जांच करने के लिए उपयोग किए जाते हैं। सभी सामान्य फ़ाइल विशेषताओं को विसंगतियों के लिए भी जांचा जा सकता है। यह पुराने या नए संस्करणों से डेटाबेस पढ़ सकता है। अधिक जानकारी के लिए वितरण के भीतर मैनुअल पेज देखें।

इसका मतलब है कि आपके पास लाइव यूएसबी परसेंटेज स्टोरेज पर एप्लिकेशन के साथ-साथ आपके पेन ड्राइव पर सिग्नेचर डेटाबेस भी हो सकता है। मुझे यकीन नहीं है कि AIDE आपकी आवश्यकताओं के अनुरूप है, लेकिन जैसा कि यह tripwireआपके वर्तमान पसंदीदा के लिए एक प्रतिस्थापन है जो इसे देखता है।


स्मार्ट जवाब! :-)
फैबी

@ फैबी की तारीफ के लिए शुक्रिया। cronअधिकांश इंस्टॉलेशन में AIDE सेटअप है। मैं इसे स्वयं को केवल रूटकिट सुरक्षा के लिए नहीं, बल्कि अपनी स्वयं की खराब प्रोग्रामिंग से बचाने के लिए विचार कर सकता हूं: पी यह देखने के लिए शैक्षिक हो सकता है कि एक के बाद apt get installभी क्या परिवर्तन होते हैं।
विनयुनुच्स

3

मुझे ट्रिपवायर की याद दिलाता है जो आपके द्वारा निर्दिष्ट फाइलों के क्रिप्टोग्राफिक चेकसम बनाता है। सिस्टम की एक कॉपी स्थापित करें जिसे आप ज्ञात अच्छे स्रोत (उदाहरण के लिए डीवीडी) से जाँच रहे हैं, लक्ष्य प्रणाली के समान अपडेट स्थापित करें), ट्रिपवायर चेकसम फाइल बनाएं। ट्रिपवायर के चेकसम फाइल को लक्ष्य प्रणाली में कॉपी करें, ट्रिपवायर को चेकसम फाइल की लक्ष्य प्रणाली की फाइलों से तुलना करें।

सिंक्रनाइज़ेशन अपडेट / अपग्रेड / इंस्टॉल्स / सिस्टम विशिष्ट कॉन्फ़िगरेशन फ़ाइलों में से निश्चित रूप से ध्वजांकित / परिवर्तित के रूप में चिह्नित किया जाएगा।

अपडेट 2018-05-06:

मुझे यह भी जोड़ना चाहिए कि लक्ष्य प्रणाली को ऑफ़लाइन जाँचना चाहिए। यदि लक्ष्य से समझौता किया गया है, तो हार्डवेयर, बूट फर्मवेयर, ओएस कर्नेल, कर्नेल ड्राइवर, सिस्टम लाइब्रेरी, बायनेरिज़ पहले से ही समझौता किए गए हैं और झूठे सकारात्मक को बाधित या वापस कर सकते हैं। यहां तक ​​कि लक्ष्य प्रणाली में एक नेटवर्क पर चलना सुरक्षित नहीं हो सकता है क्योंकि (समझौता किया गया) लक्ष्य प्रणाली स्थानीय स्तर पर नेटवर्क पैकेट, फाइल सिस्टम, ब्लॉक डिवाइस, आदि का प्रसंस्करण करेगी।

सबसे छोटा तुलनीय परिदृश्य जो दिमाग में आता है वह है स्मार्ट कार्ड (क्रेडिट कार्ड में इस्तेमाल की जाने वाली ईएमवी, संघीय सरकार द्वारा इस्तेमाल किया जाने वाला PIV)। वायरलेस इंटरफेस, और सभी hw / इलेक्ट्रिकल / आरएफ सुरक्षा की उपेक्षा, संपर्क इंटरफ़ेस अनिवार्य रूप से एक सीरियल पोर्ट, तीन तार, या दो तार है। एपीआई मानकीकृत और सफेद बॉक्सिंग है, जिससे हर कोई सहमत है कि यह अभेद्य है। क्या वे ट्रांसमिट में डेटा की रक्षा करते हैं, रनटाइम मेमोरी में, फ्लैश मेमोरी में आराम करते हैं?

लेकिन कार्यान्वयन बंद स्रोत है। पूरे रनटाइम को कॉपी करने और मेमोरी को फ्लैश आउट करने के लिए एक बैकडोर हार्डवेयर में मौजूद हो सकता है। अन्य लोग हार्डवेयर और आंतरिक यादों, स्मार्ट कार्ड ओएस, या I / O से कार्ड के बीच पारगमन में डेटा में हेरफेर कर सकते हैं। यहां तक ​​कि अगर hw / fw / sw / compilers खुला स्रोत हैं, तो आपको हर कदम पर सब कुछ ऑडिट करना होगा और फिर भी आप कुछ ऐसा याद कर सकते हैं जो आप / हर किसी ने नहीं सोचा था। व्यामोह आपको एक सफेद रबर के कमरे में भेज सकता है।

एक व्यामोह स्पर्शरेखा पर भागने के लिए क्षमा करें। गंभीरता से, परीक्षण करने के लिए लक्ष्य ड्राइव करें। आपको केवल लक्ष्य ड्राइव hw / fw के बारे में चिंता करनी होगी। बेहतर अभी तक, बस एचडीडी प्लेटर्स / एसएसडी फ्लैश चिप्स को परीक्षण करने के लिए बाहर ले जाएं (यह मानते हुए कि आपका परीक्षण सिस्टम सुनहरा है)। ;)


सुधार हुआ हाँ, लेकिन यह वास्तव में समस्या का एक बहुत अच्छा समाधान है! मैं इसे स्वीकार कर लूंगा, क्योंकि लिनक्स के लिए एक और अच्छा समाधान नहीं है। यद्यपि यदि कोई अन्य उत्तर आता है जो पूर्ण प्रदान करता है और प्रश्न का समाधान पूछा जाता है तो मुझे स्वीकार मार्कर को स्थानांतरित करना होगा। लेकिन इस कम से कम अस्थायी समाधान के लिए बहुत-बहुत धन्यवाद!

नोट: कुछ एसएसडी वास्तव में फ्लैश मेमोरी में आराम से डेटा को एन्क्रिप्ट करते हैं, इसलिए परीक्षण के लिए सिर्फ फ्लैश चिप्स बाहर ले जाने के बारे में मेरी टिप्पणी इस मामले में काम नहीं करेगी। कुछ बिंदु पर आपको बस सुरक्षा के बीच समझौता करने और अपने कंप्यूटिंग कार्य को प्राप्त करने के लिए आहें भरनी होगी।
rcpa0
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.