Сканер rootkit на основі підписів?

В даний час єдині мені відомі сканери руткітів повинні бути встановлені на машині перед руткітом, щоб вони могли порівнювати зміни файлів тощо (наприклад: chkrootkitі rkhunter), але те, що я дійсно потрібно зробити, - це можливість сканувати свою машину та інші машини від LiveUSB, тому що якщо rootkit досить хороший, він також взяв на себе програми виявлення rootkit.

Так є сканер rootkit на основі підпису для Ubuntu / Linux, який я міг би просто встановити на LiveUSB і використовувати для надійного сканування машин, до яких я підключаю, без того, щоб слідкувати за поведінкою або порівнювати файли попередніх дат?

AIDE ( dvanced I ntruder D etection E nvionment) є заміною згадувалося в іншу відповідь тут. З Вікіпедії :tripwire

Розширене середовище виявлення вторгнень (AIDE) було спочатку розроблено як безкоштовна заміна Tripwire, ліцензованого згідно з умовами Загальної публічної ліцензії GNU (GPL).

Первинні розробники названі як Рамі Лехті і Пабло Віролайнен, які обоє пов'язані з Тамперерським технологічним університетом, а також Річард ван ден Берг, незалежний консультант з питань безпеки в Голландії. Проект використовується в багатьох системах, схожих на Unix, як недорога система управління базовою лінією і виявлення руткітів.

Функціональність

AIDE робить "знімок" стану системи, реєструє хеші, часи модифікації та інші дані стосовно файлів, визначених адміністратором. Цей "знімок" використовується для створення бази даних, яка зберігається і може зберігатися на зовнішньому пристрої для збереження.

Коли адміністратор хоче запустити тест на цілісність, адміністратор розміщує попередньо вбудовану базу даних у доступному місці та командує AIDE для порівняння бази даних з реальним статусом системи. Якщо на комп'ютері відбулася зміна між створенням знімка та тестом, AIDE виявить його та повідомить адміністратору. Крім того, AIDE може бути налаштована для роботи за графіком та щоденно повідомляти про зміни за допомогою технологій планування, таких як cron, що є поведінкою за замовчуванням пакету Debian AIDE. 2

Це в основному корисно в цілях безпеки, враховуючи, що AIDE повідомляє про будь-які зловмисні зміни, які могли статися всередині системи.

З тих пір, як стаття у Вікіпедії була написана нинішнім керівником Річардом ван ден Бергом (2003-2010 рр.), З 2010 року по теперішній час замінено новим керівником Ханнесом фон Хогвіц .

Підтримується Debian на головній сторінці AIDE, що означає, що програма може бути встановлена ​​в ubuntu за допомогою передбачуваного:

sudo apt install aide

Що стосується портативності та USB-накопичувача, на головній сторінці йдеться так:

Він створює базу даних з правил регулярного вираження, які вона знаходить з конфігураційних файлів. Після ініціалізації цієї бази даних її можна використовувати для перевірки цілісності файлів. Він має кілька алгоритмів дайвінгу повідомлень (див. Нижче), які використовуються для перевірки цілісності файлу. Усі звичайні атрибути файлів також можна перевірити на наявність невідповідностей. Він може читати бази даних із старих чи новіших версій. Для отримання додаткової інформації дивіться сторінки керівництва в дистрибутиві.

Це означає, що ви можете мати базу даних підписів на своєму накопичувачі, а також додаток на живій USB-накопичувачі. Я не впевнений, що AIDE відповідає вашим потребам, але, оскільки це заміна tripwireвашому поточному улюбленому, це не дивиться.

Нагадує мені про провідний провід, який створює криптографічні контрольні суми вказаних вами файлів. Встановіть копію системи, яку ви перевіряєте, з відомого хорошого джерела (наприклад, DVD), встановіть ті самі оновлення цільової системи), укажіть тривимірний файл контрольної суми. Скопіюйте файл контрольної суми tripwire в цільову систему, порівнюйте файл контрольної суми за допомогою tripwire з файлами цільової системи.

Звичайно, оновлення / оновлення / встановлення / синхронізації / файли конфігурації для системи синхронізації, звичайно, будуть позначені міткою / позначені як змінені.

Оновлення 2018-05-06:

Слід також додати, що цільову систему потрібно перевірити в автономному режимі. Якщо мета була порушена, апаратне забезпечення, програмне забезпечення для завантаження, ядро ​​os, драйвери ядра, системні бібліотеки, бінарні файли, можливо, вже були порушені та заважають або повертають помилкові позитиви. Навіть запуск через мережу в цільову систему може не бути безпечним, оскільки (компрометована) цільова система буде обробляти мережеві пакети, файлову систему, блоковий пристрій тощо.

Найменший порівняний сценарій, який спадає на думку, - це смарт-карти (EMV, що використовується у кредитних картках, PIV, що використовується федеральним урядом тощо). Не зважаючи на бездротові інтерфейси та всі захисні пристрої hw / electric / rf, контактний інтерфейс по суті є послідовним портом, трьома проводами або двома проводами. API є стандартизованим та білим ящиком, тому всі згодні, що він непроникний. Чи захищали вони дані під час транзиту, в пам'яті виконання, у спокої у флеш-пам’яті?

Але реалізація є закритим джерелом. У апаратному забезпеченні може існувати резервна камера для копіювання всього часу виконання та флеш-пам’яті. Інші можуть маніпулювати даними, які перебувають у режимі транспорту між апаратними засобами та внутрішніми пам'яттю, ОС ОС Smart Card або введенням / виведенням з / на карту. Навіть якщо компілятори hw / fw / sw / є відкритим кодом, вам доведеться ревізувати все на кожному кроці, і все одно ви можете пропустити те, про що ви / всі інші не думали. Параноїя може відправити вас у білу гумову кімнату.

Вибачте за те, що бігав по дотичній параної. Серйозно, візьміть цільові диски для тестування. Тоді потрібно турбуватися лише про цільовий привід hw / fw. А ще краще, просто вийміть для тестування платівки жорстких дисків / SSD флеш-пам'ять (припустимо, що ваша тестова система золота). ;)