Компьютерная индустрия разработала
довольно внушительный набор инструментов,
как коммерческих, так и бесплатных, которые
могут помочь профессионалам отслеживать
утилиты, используемые для нападения на сеть.
Однако, несмотря на широкий набор возможностей,
которыми они оснащаются, главный их
недостаток — невозможность дать точный и
своевременный ответ о нападении. Ведь
утилиты защиты обычно создавались для
расследования нападения и поиска цифровых
следов преступления, когда уже взлом
совершен. Но ведь в большинстве инцидентов
хакеры не оставляют следов своего
присутствия, и следовательно невозможно
понять что же они использовали для
нападения или обнаружить следы присутствия.

Сегодня же мы хотели представить проект Anti-Exploit
scanner
, утилиту, которая поможет обнаружить
нападающего до того как он выполнить
вредоносную программу. 

Anti-Exploit — сканер для Linux и FreeBSD, использующий
известный ядерный модуль dazuko в сочетании с
базой сигнатур (в будущем) для отслеживания
вредоносных программ, как на уровне их
создания, так и на уровне использования.
Anti-Exploit проверяет контрольные суммы (MD5)
файлов и сравнивает их с распространенными
эксплоитами, руткитами, вирусами и так
далее. 

Как уже было сказано, Anti-Exploit не требует
установки никакого дополнительного софта
кроме ядерного модуля Dazuko, обеспечивающего
доступ к файловой системе. Программа
поставляется с файлом конфигурации (etc/aexpl.conf),
в котором можно настроить, например, прокси
(для обновлений), адреса рассылки и так
далее (подробнее — на сайте проекта). 

После первого запуска необходимо будет
обновить базу данных:

# aexpl –u etc/aexpl.conf

Загрузив себе обновления можно будет
приступить к мониторингу системы:

# aexpl –c etc/aexpl.conf

Для проверки благополучного запуска
можно просмотреть log-файл:

# tail /var/log/aexplWed
Sep 14 07:36:45 2005 AntiExploit started.
Wed Sep 14 07:36:45 2005 Worker thread woken up

Теперь, когда Anti-Exploit запущен, можно провести
небольшой тест. Представим, что мы проникли
на систему и пытаемся получить повышенные
привилегии в операционной системе:

# wget http://hades/pen-test/userroot.sh
# tail –f /var/log/aexpl
[…]
Wed Sep 14 07:55:47 2005 
Found suspious file:/root/userrooter.sh uid(0) gid(0)

Что, собственно, и требовалось доказать.
Программа кроме того отметилась в логах и
отослала сообщение администратору о
найденном эксплоите. Anti-Exploit, сам по себе,
конечно не панацея для корпоративной сети,
однако в совокупности с другими
инструментами мониторинга вполне может
сослужить правильную службу. Например
можно запретить доступ к подозрительному
файлу или запустить его в виртуальной среде
дабы понять что же хакер хочет делать
дальше…

Оставить мнение

Check Also

Инженеры Oracle исправили более 300 багов в своих продуктах

Oracle устранила более 300 уязвимостей в своих решениях, однако это не самый большой пакет…