web-dev-qa-db-fra.com

Un scanner de rootkit basé sur les signatures?

Actuellement, les seuls scanners de rootkit que je connaisse doivent être installés sur la machine avant le rootkit pour pouvoir comparer les modifications de fichier, etc. (par exemple: chkrootkit et rkhunter), mais ce que je dois vraiment faire, c'est pour pouvoir analyser ma machine et d’autres machines à partir d’un LiveUSB, car si le rootkit est assez bon, il aura également pris en charge les programmes de détection de rootkit.

Existe-t-il donc un scanner de rootkit à base de signature pour Ubuntu/Linux que je pourrais simplement installer sur un LiveUSB et utiliser pour analyser de manière fiable les machines auxquelles je le branche sans qu'il soit nécessaire de surveiller le comportement ou de comparer des fichiers de dates antérieures?

20
user364819

AIDE (A avancé I ntruder D etection E nvionment) est un remplacement de tripwire mentionné dans une autre réponse ici. De wikipedia :

L’environnement de détection d’intrusion avancée (AIDE) a été initialement conçu pour remplacer gratuitement la licence Tripwire sous les conditions de la licence publique générale (GNU) GNU.

Les principaux développeurs sont Rami Lehti et Pablo Virolainen, associés à l’Université de Technologie de Tampere, aux côtés de Richard van den Berg, consultant indépendant en sécurité aux Pays-Bas. Le projet est utilisé sur de nombreux systèmes de type Unix en tant que système de contrôle de base peu coûteux et de détection de rootkit.


Fonctionnalité

AIDE prend un "instantané" de l'état du système, enregistre les hachages, les temps de modification et d'autres données concernant les fichiers définis par l'administrateur. Cet "instantané" est utilisé pour créer une base de données qui est enregistrée et peut être stockée sur un périphérique externe pour la sauvegarde.

Lorsque l'administrateur souhaite exécuter un test d'intégrité, il place la base de données précédemment construite dans un emplacement accessible et commande à AIDE de comparer la base de données au statut réel du système. En cas de modification de l'ordinateur entre la création de l'instantané et le test, AIDE le détectera et le notifiera à l'administrateur. Alternativement, AIDE peut être configuré pour s'exécuter selon un planning et signaler les changements quotidiennement à l'aide de technologies de planning telles que cron, qui est le comportement par défaut du paquet Debian AIDE . 2

Ceci est principalement utile pour des raisons de sécurité, étant donné que tout changement malveillant qui aurait pu se produire à l'intérieur du système serait signalé par AIDE.


Depuis la rédaction de l'article wikipedia, le responsable actuel de Richard van den Berg (2003-2010) a été remplacé par un nouveau responsable Hannes von Haugwitz de 2010 à aujourd'hui.

La page d'accueil AIDE déclare que Debian est supportée, ce qui signifie que l'application peut être installée dans Ubuntu avec le prédicatable suivant:

Sudo apt install aide

En ce qui concerne la portabilité et la clé USB, la page d'accueil dit:

Il crée une base de données à partir des règles sur les expressions régulières trouvées dans le ou les fichiers de configuration. Une fois que cette base de données est initialisée, elle peut être utilisée pour vérifier l’intégrité des fichiers. Il comporte plusieurs algorithmes de résumé de message (voir ci-dessous) utilisés pour vérifier l'intégrité du fichier. Tous les attributs de fichier habituels peuvent également être vérifiés pour vérifier les incohérences. Il peut lire des bases de données à partir de versions plus anciennes ou plus récentes. Voir les pages de manuel de la distribution pour plus d’informations.

Cela signifie pour moi que vous pourriez avoir la base de données de signatures sur votre clé USB avec l'application sur un stockage persistant USB en direct. Je ne suis pas sûr que AIDE corresponde à vos besoins, mais il remplace tripwire votre favori actuel.

3

Me rappelle tripwire qui crée des totaux de contrôle cryptographiques des fichiers que vous spécifiez. Installez une copie du système que vous vérifiez à partir d'une bonne source connue (DVD par exemple), installez les mêmes mises à jour du système cible), demandez à tripwire de créer le fichier de somme de contrôle. Copiez le fichier de somme de contrôle de tripwire sur le système cible et demandez à tripwire de comparer le fichier de somme de contrôle avec les fichiers du système cible.

Les mises à jour/mises à niveau/installations/fichiers de configuration non synchronisés seront bien sûr marquées/marquées comme étant modifiées.

Mise à jour 2018-05-06:

Je devrais également ajouter que le système cible doit être vérifié hors ligne. Si la cible a été compromise, le matériel, le microprogramme d’amorçage, le noyau OS, les pilotes du noyau, les bibliothèques système, les fichiers binaires ont peut-être déjà été compromis et interfèrent ou renvoient des faux positifs. Même exécuter un réseau sur le système cible peut ne pas être sûr car le système cible (compromis) traiterait les paquets du réseau, le système de fichiers, le périphérique de blocage, etc. localement.

Le plus petit scénario comparable auquel on pense est celui des cartes à puce (EMV utilisé dans les cartes de crédit, PIV utilisé par le gouvernement fédéral, etc.). Abstraction faite des interfaces sans fil et de toutes les protections hw/electric/rf, l’interface de contact est essentiellement un port série, trois fils ou deux fils. L'API est normalisée et encadrée en blanc, ainsi tout le monde s'accorde à dire qu'elle est imperméable. Ont-ils protégé les données en transit, dans la mémoire d'exécution, au repos dans la mémoire flash?

Mais l'implémentation est source fermée. Une porte dérobée peut exister dans le matériel pour copier l'intégralité du runtime et de la mémoire flash. D'autres peuvent manipuler les données en transit entre le matériel et les mémoires internes, le système d'exploitation de carte à puce ou les E/S depuis/vers la carte. Même si les compilateurs hw/fw/sw/sont des logiciels à source ouverte, vous devriez tout vérifier à chaque étape et vous risqueriez de rater quelque chose que vous ou tout le monde n’auriez pas pensé. La paranoïa peut vous envoyer dans une salle en caoutchouc blanc.

Désolé pour avoir couru sur une tangente paranoïa. Sérieusement, emmenez les lecteurs cibles pour les tester. Vous devez alors vous préoccuper du lecteur cible hw/fw. Mieux encore, sortez simplement les puces flash des disques durs/SSD pour disque dur (en supposant que votre système de test soit en or). ;)

3
rcpa0