Показано с 1 по 1 из 1.

Обнаружение факта использования эксплоитов для Linux и FreeBSD

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166

    Обнаружение факта использования эксплоитов для Linux и FreeBSD

    В статье "Real-time exploits tracking with Anti-Exploit" показан пример использования ПО AntiExploit, которое через взаимодействие с модулем ядра dazuko для Linux и FreeBSD, осуществляет постоянный контроль файловых операций и определяет факт использования популярных эксплоитов по базе контрольных сумм.
    http://www.it-observer.com/articles.php?id=884
    русский перевод
    Компьютерная индустрия разработала довольно внушительный набор инструментов, как коммерческих, так и бесплатных, которые могут помочь профессионалам отслеживать утилиты, используемые для нападения на сеть. Однако, несмотря на широкий набор возможностей, которыми они оснащаются, главный их недостаток - невозможность дать точный и своевременный ответ о нападении. Ведь утилиты защиты обычно создавались для расследования нападения и поиска цифровых следов преступления, когда уже взлом совершен. Но ведь в большинстве инцидентов хакеры не оставляют следов своего присутствия, и следовательно невозможно понять что же они использовали для нападения или обнаружить следы присутствия.

    Сегодня же мы хотели представить проект Anti-Exploit scanner, утилиту, которая поможет обнаружить нападающего до того как он выполнить вредоносную программу.
    Anti-Exploit - сканер для Linux и FreeBSD, использующий известный ядерный модуль dazuko в сочетании с базой сигнатур (в будущем) для отслеживания вредоносных программ, как на уровне их создания, так и на уровне использования. Anti-Exploit проверяет контрольные суммы (MD5) файлов и сравнивает их с распространенными эксплоитами, руткитами, вирусами и так далее.

    Как уже было сказано, Anti-Exploit не требует установки никакого дополнительного софта кроме ядерного модуля Dazuko, обеспечивающего доступ к файловой системе. Программа поставляется с файлом конфигурации (etc/aexpl.conf), в котором можно настроить, например, прокси (для обновлений), адреса рассылки и так далее (подробнее - на сайте проекта).

    После первого запуска необходимо будет обновить базу данных:

    # aexpl –u etc/aexpl.conf

    Загрузив себе обновления можно будет приступить к мониторингу системы:

    # aexpl –c etc/aexpl.conf

    Для проверки благополучного запуска можно просмотреть log-файл:

    # tail /var/log/aexplWed
    Sep 14 07:36:45 2005 AntiExploit started.
    Wed Sep 14 07:36:45 2005 Worker thread woken up

    Теперь, когда Anti-Exploit запущен, можно провести небольшой тест. Представим, что мы проникли на систему и пытаемся получить повышенные привилегии в операционной системе:

    # wget http://hades/pen-test/userroot.sh
    # tail –f /var/log/aexpl
    […]
    Wed Sep 14 07:55:47 2005
    Found suspious file:/root/userrooter.sh uid(0) gid(0)

    Что, собственно, и требовалось доказать. Программа кроме того отметилась в логах и отослала сообщение администратору о найденном эксплоите. Anti-Exploit, сам по себе, конечно не панацея для корпоративной сети, однако в совокупности с другими инструментами мониторинга вполне может сослужить правильную службу. Например можно запретить доступ к подозрительному файлу или запустить его в виртуальной среде дабы понять что же хакер хочет делать дальше...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

Похожие темы

  1. Ответов: 6
    Последнее сообщение: 08.01.2010, 19:17
  2. Eset представила новые решения для Linux и FreeBSD
    От Синауридзе Александр в разделе Linux
    Ответов: 0
    Последнее сообщение: 07.08.2007, 22:53

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01396 seconds with 16 queries