Компьютерная индустрия разработала
довольно внушительный набор инструментов,
как коммерческих, так и бесплатных, которые
могут помочь профессионалам отслеживать
утилиты, используемые для нападения на сеть.
Однако, несмотря на широкий набор возможностей,
которыми они оснащаются, главный их
недостаток — невозможность дать точный и
своевременный ответ о нападении. Ведь
утилиты защиты обычно создавались для
расследования нападения и поиска цифровых
следов преступления, когда уже взлом
совершен. Но ведь в большинстве инцидентов
хакеры не оставляют следов своего
присутствия, и следовательно невозможно
понять что же они использовали для
нападения или обнаружить следы присутствия.

Сегодня же мы хотели представить проект Anti-Exploit
scanner
, утилиту, которая поможет обнаружить
нападающего до того как он выполнить
вредоносную программу. 

Anti-Exploit — сканер для Linux и FreeBSD, использующий
известный ядерный модуль dazuko в сочетании с
базой сигнатур (в будущем) для отслеживания
вредоносных программ, как на уровне их
создания, так и на уровне использования.
Anti-Exploit проверяет контрольные суммы (MD5)
файлов и сравнивает их с распространенными
эксплоитами, руткитами, вирусами и так
далее. 

Как уже было сказано, Anti-Exploit не требует
установки никакого дополнительного софта
кроме ядерного модуля Dazuko, обеспечивающего
доступ к файловой системе. Программа
поставляется с файлом конфигурации (etc/aexpl.conf),
в котором можно настроить, например, прокси
(для обновлений), адреса рассылки и так
далее (подробнее — на сайте проекта). 

После первого запуска необходимо будет
обновить базу данных:

# aexpl –u etc/aexpl.conf

Загрузив себе обновления можно будет
приступить к мониторингу системы:

# aexpl –c etc/aexpl.conf

Для проверки благополучного запуска
можно просмотреть log-файл:

# tail /var/log/aexplWed
Sep 14 07:36:45 2005 AntiExploit started.
Wed Sep 14 07:36:45 2005 Worker thread woken up

Теперь, когда Anti-Exploit запущен, можно провести
небольшой тест. Представим, что мы проникли
на систему и пытаемся получить повышенные
привилегии в операционной системе:

# wget http://hades/pen-test/userroot.sh
# tail –f /var/log/aexpl
[…]
Wed Sep 14 07:55:47 2005 
Found suspious file:/root/userrooter.sh uid(0) gid(0)

Что, собственно, и требовалось доказать.
Программа кроме того отметилась в логах и
отослала сообщение администратору о
найденном эксплоите. Anti-Exploit, сам по себе,
конечно не панацея для корпоративной сети,
однако в совокупности с другими
инструментами мониторинга вполне может
сослужить правильную службу. Например
можно запретить доступ к подозрительному
файлу или запустить его в виртуальной среде
дабы понять что же хакер хочет делать
дальше…

Оставить мнение

Check Also

На что способна ада. Делаем утилиту для детекта гипервизора на полузабытом языке

Лучше всего познавать язык на реальном проекте, поэтому, когда я решил поэкспериментироват…