Внешняя программа обнаружения руткита?
Проблема с любой программой обнаружения руткита состоит в том, что, если руткит действительно хорош, он будет работать для сокрытия трассировок себя из программного обеспечения обнаружения также.
Я предполагаю, что руткиты могли быть обнаружены с большей уверенностью путем наблюдения трафика, выходящего из потенциально зараженного компьютера от альтернативного компьютера. Что-то как:
- Настройте альтернативный компьютер (я назову его "контролирующим компьютером") направить весь трафик для зараженного компьютера (или через проводной или через беспроводное)
- Настройте зараженный компьютер для использования контролирующего компьютера в качестве его шлюза или точки беспроводного доступа
- Программное обеспечение на контролирующем компьютере имеет определения вероятного трафика, который указал бы на заражение (например, вирусные подписи, шаблоны протокола IRC, smtp шаблоны для исходящего спама)
- Если контролирующий компьютер обнаруживает проблему, он сообщает о проблеме и отбрасывает подозрительный трафик.
- Весь невинный трафик направляется вперед.
Такое программное обеспечение существует для какой-либо платформы? Зараженный компьютер, вероятно, запустил бы Windows, но контролирующий компьютер мог выполнить любую ОС, так как это действует как маршрутизатор.
2 ответа
Существует приблизительно огромное количество способов контролировать трафик: при помещении промежуточного компьютера можно проанализировать все это. Можно использовать Эфирный (теперь Wireshark) или Фырканье, или черт, даже IPTraf. У Вас не должно даже быть промежуточной машины, если у Вас есть концентратор в неразборчивом режиме.
Проблема подходит во второй части. Как знать, какой трафик является вредоносным и каков трафик не? Метод, наиболее часто используемый в корпоративных сетях, просто блокируют каждый порт по умолчанию и только позволяют трафик в определенном (обычно безопасный) порты, но очевидно это - метод решения "в лоб".
Одна вещь, которую можно сделать, просто контролировать действие и отбросить его, когда оно передает определенный порог, но это предполагает, что руткит является достаточно немым для лавинной рассылки сети с трафиком, и это не всегда будет случаем.
То, что я делаю, является комбинацией двух. Я блокирую все порты и только позволяю определенный трафик, и у меня есть восходящий маршрутизатор, ежедневно генерируют отчет траффика, который может быть по сравнению с предыдущими отчетами для показа возможного заражения (я использую Фырканье и Бдительного стража... Мне нравится Ethereal/Wireshark лучше за активное тестирование, чем для долгосрочного контроля.)
Я не знаю, существует ли что-то вроде этого, но я предполагаю, что это не должна быть большая часть проблемы для создания его самостоятельно. Сначала два и последние два шага было бы довольно легко (И возможно, Вы не должны даже использовать реальный компьютер, некоторый VM должен быть достаточно), что касается третьего, я не знаю вида транспортных сканеров, хотя они, конечно, существуют, но ради syplicity Вы могли использовать IPTables (Учитывая, что компьютер "маршрутизации" использует Linux).
Но я не эксперт в этом, который знает.:)