Software de detecção de rootkit externo?

Navegue suas respostas
2

O problema com qualquer software de detecção de rootkit é que, se o rootkit é realmente bom, ele irá trabalhar para esconder traços de si mesmo do software de detecção também.

Eu imagino que os rootkits podem ser detectados com mais certeza, observando o tráfego que sai do computador potencialmente infectado de um computador alternativo. Algo como:

  1. Configure o computador alternativo (eu chamarei de "computador de monitoramento") para rotear todo o tráfego para o computador infectado (via com fio ou sem fio)
  2. Configure o computador infectado para usar o computador de monitoramento como seu gateway ou ponto de acesso sem fio
  3. O software no computador de monitoramento tem definições de tráfego provável que indicam infecção (por exemplo, assinaturas de vírus, padrões de protocolo IRC, padrões smtp para spam de saída)
  4. Se o computador de monitoramento detectar um problema, ele relatará o problema e descartará o tráfego suspeito.
  5. Todo o tráfego inocente é encaminhado para a frente.

Esse software existe para qualquer plataforma? O computador infectado provavelmente estaria executando o Windows, mas o computador de monitoramento poderia executar qualquer sistema operacional, já que está agindo como um roteador.

    
por Doug Harris 14.10.2009 / 17:11

2 respostas

1

Há cerca de um zilhão de maneiras de monitorar o tráfego: se você colocar um computador no meio, poderá analisar tudo. Você pode usar o Ethereal (agora Wireshark) ou Snort, ou o inferno, até mesmo o IPTraf. Você nem precisa ter uma máquina no meio, se você tem um hub em modo promíscuo.

O problema surge na segunda parte. Como saber qual tráfego é malicioso e o que o tráfego não é? O método comumente usado em redes corporativas é apenas bloquear todas as portas por padrão, e apenas permitir o tráfego em portas específicas (geralmente inofensivas), mas obviamente essa é uma abordagem de força bruta.

Uma coisa que você pode fazer é apenas monitorar a atividade e soltá-la quando ultrapassar um certo limite, mas isso pressupõe que seu rootkit é burro o suficiente para inundar a rede com tráfego, e nem sempre será esse o caso. / p>

O que eu faço é uma combinação dos dois. Eu bloqueio todas as portas, e só permito tráfego específico, e eu tenho o roteador upstream gerando um relatório de tráfego diariamente, que pode ser comparado com relatórios anteriores para mostrar uma possível infecção (eu uso Snort e Argus ... Eu gosto de Ethereal / Wireshark melhor para testes ativos do que para longo prazo monitoramento.)

    
por 14.10.2009 / 17:44
0

Eu não sei se algo assim existe, mas eu acho que não seria um grande problema para você mesmo fazer isso. Os dois primeiros e dois últimos passos seriam bastante fáceis ( E talvez você nem precise usar um computador real, alguma VM deve ser suficiente ), já que para o terceiro, eu não conheço nenhum. tipo de scanners de tráfego, embora eles certamente existam, mas por uma questão de simplicidade você poderia usar o IPTables (dado que o computador de "roteamento" usa o Linux). Mas eu não sou especialista nisso, quem sabe. :)

    
por 14.10.2009 / 17:28

Tags

Como converter SWF para AVI não comprimido? Otimizando o Windows XP para usar menos acesso ao HD