PDA

Просмотр полной версии : Обнаружение факта использования эксплоитов для Linux и FreeBSD



SDA
17.11.2005, 23:18
В статье "Real-time exploits tracking with Anti-Exploit" показан пример использования ПО AntiExploit, которое через взаимодействие с модулем ядра dazuko для Linux и FreeBSD, осуществляет постоянный контроль файловых операций и определяет факт использования популярных эксплоитов по базе контрольных сумм.
http://www.it-observer.com/articles.php?id=884
русский перевод
Компьютерная индустрия разработала довольно внушительный набор инструментов, как коммерческих, так и бесплатных, которые могут помочь профессионалам отслеживать утилиты, используемые для нападения на сеть. Однако, несмотря на широкий набор возможностей, которыми они оснащаются, главный их недостаток - невозможность дать точный и своевременный ответ о нападении. Ведь утилиты защиты обычно создавались для расследования нападения и поиска цифровых следов преступления, когда уже взлом совершен. Но ведь в большинстве инцидентов хакеры не оставляют следов своего присутствия, и следовательно невозможно понять что же они использовали для нападения или обнаружить следы присутствия.

Сегодня же мы хотели представить проект Anti-Exploit scanner, утилиту, которая поможет обнаружить нападающего до того как он выполнить вредоносную программу.
Anti-Exploit - сканер для Linux и FreeBSD, использующий известный ядерный модуль dazuko в сочетании с базой сигнатур (в будущем) для отслеживания вредоносных программ, как на уровне их создания, так и на уровне использования. Anti-Exploit проверяет контрольные суммы (MD5) файлов и сравнивает их с распространенными эксплоитами, руткитами, вирусами и так далее.

Как уже было сказано, Anti-Exploit не требует установки никакого дополнительного софта кроме ядерного модуля Dazuko, обеспечивающего доступ к файловой системе. Программа поставляется с файлом конфигурации (etc/aexpl.conf), в котором можно настроить, например, прокси (для обновлений), адреса рассылки и так далее (подробнее - на сайте проекта).

После первого запуска необходимо будет обновить базу данных:

# aexpl –u etc/aexpl.conf

Загрузив себе обновления можно будет приступить к мониторингу системы:

# aexpl –c etc/aexpl.conf

Для проверки благополучного запуска можно просмотреть log-файл:

# tail /var/log/aexplWed
Sep 14 07:36:45 2005 AntiExploit started.
Wed Sep 14 07:36:45 2005 Worker thread woken up

Теперь, когда Anti-Exploit запущен, можно провести небольшой тест. Представим, что мы проникли на систему и пытаемся получить повышенные привилегии в операционной системе:

# wget http://hades/pen-test/userroot.sh
# tail –f /var/log/aexpl
[…]
Wed Sep 14 07:55:47 2005
Found suspious file:/root/userrooter.sh uid(0) gid(0)

Что, собственно, и требовалось доказать. Программа кроме того отметилась в логах и отослала сообщение администратору о найденном эксплоите. Anti-Exploit, сам по себе, конечно не панацея для корпоративной сети, однако в совокупности с другими инструментами мониторинга вполне может сослужить правильную службу. Например можно запретить доступ к подозрительному файлу или запустить его в виртуальной среде дабы понять что же хакер хочет делать дальше...