Externe Rootkit-Erkennungssoftware?

723
Doug Harris

Das Problem mit jeder Rootkit-Erkennungssoftware besteht darin, dass das Rootkit, wenn es wirklich gut ist, auch dazu dient, Spuren von sich selbst vor der Erkennungssoftware zu verbergen.

Ich kann mir vorstellen, dass Rootkits sicherer erkannt werden könnten, wenn der Datenverkehr eines potenziell infizierten Computers von einem anderen Computer aus beobachtet wird. So etwas wie:

  1. Konfigurieren Sie einen alternativen Computer (ich nenne ihn "Überwachungscomputer"), um den gesamten Datenverkehr für den infizierten Computer zu lenken (entweder über Kabel oder drahtlos).
  2. Konfigurieren Sie einen infizierten Computer so, dass er den Überwachungscomputer als Gateway oder Wireless Access Point verwendet
  3. Software auf dem Überwachungscomputer enthält Definitionen des wahrscheinlichen Datenverkehrs, der auf eine Infektion hindeuten würde (z. B. Virensignaturen, IRC-Protokollmuster, SMTP-Muster für ausgehenden Spam).
  4. Wenn der Überwachungscomputer ein Problem feststellt, meldet er das Problem und verwirft den verdächtigen Datenverkehr.
  5. Der gesamte unschuldige Verkehr wird weitergeleitet.

Gibt es eine solche Software für eine Plattform? Der infizierte Computer würde wahrscheinlich Windows ausführen, aber der Überwachungscomputer könnte jedes Betriebssystem ausführen, da er als Router fungiert.

2

2 Antworten auf die Frage

1
Satanicpuppy

Es gibt unzählige Möglichkeiten, den Datenverkehr zu überwachen: Wenn Sie einen Computer dazwischen stellen, können Sie alles analysieren. Sie können Ethereal (jetzt Wireshark) oder Snort oder Hölle oder sogar IPTraf verwenden. Sie müssen nicht einmal eine Maschine dazwischen haben, wenn Sie einen Hub im Promiscuous-Modus haben.

Das Problem tritt im zweiten Teil auf. Woher weiß man, welcher Verkehr bösartig ist und welcher nicht? Die in Unternehmensnetzwerken gebräuchliche Methode blockiert standardmäßig jeden Port und lässt nur den Verkehr auf bestimmten (normalerweise harmlosen) Ports zu. Offensichtlich handelt es sich hierbei jedoch um einen Brute-Force-Ansatz.

Sie können lediglich die Aktivität überwachen und löschen, wenn ein bestimmter Schwellenwert überschritten wird. Dies setzt jedoch voraus, dass Ihr Rootkit stumm genug ist, um das Netzwerk mit Datenverkehr zu überfluten, und dies ist nicht immer der Fall.

Was ich mache, ist eine Kombination der beiden. Ich blockiere alle Ports und erlaube nur bestimmten Datenverkehr, und ich muss den Upstream-Router täglich einen Verkehrsbericht generieren, der mit vorherigen Berichten verglichen werden kann, um mögliche Infektionen anzuzeigen (ich verwende Snort und Argus ... Ich mag Ethereal / Wireshark besser für aktive Prüfung als für Langzeitüberwachung.)

0
sYnfo

Ich weiß nicht, ob so etwas existiert, aber ich denke, es sollte kein großes Problem sein, es selbst zu machen. Die ersten beiden und die letzten beiden Schritte wären ziemlich einfach ( und vielleicht müssen Sie nicht einmal einen echten Computer verwenden, einige VMs sollten ausreichen ), und für den dritten Schritt kenne ich keine Art von Traffic-Scannern, obwohl sie es sind Sicher existieren, aber aus Gründen der Vereinfachung könnten Sie IPTables verwenden (da der "Routing" -Computer Linux verwendet).
Aber ich bin kein Experte, wer weiß. :)

Verwandte Probleme