Sebbene si dica molto che i sistemi operativi Linux non sono vulnerabili agli attacchi di virus, al giorno d'oggi con le crescenti minacce che si presentano e le diverse tecniche utilizzate senza dubbio nessun sistema è protetto al 100% e quindi dobbiamo prendere le rispettive misure di sicurezza per prevenire gli attacchi e furto di informazioni sensibili. Detto questo, abbiamo due minacce critiche come malware e rootkit, malware e rootkit in particolare, possono funzionare in modo integrato e completo in Linux come fanno in altri sistemi operativi "non sicuri".
Solvetic esaminerà alcuni dei migliori strumenti per scansionare il sistema Linux alla ricerca di malware o rootkit che potrebbero comprometterne il normale funzionamento.
Cos'è un rootkit?Un rootkit è un tipo di strumento che ha il potere di agire in modo indipendente, o stare insieme a qualsiasi variante di codice dannoso, il cui obiettivo principale è nascondere i suoi scopi agli utenti e agli amministratori di sistema.
Il compito fondamentale di un rootkit è nascondere informazioni associate a processi, connessioni di rete, file, directory, privilegi, ma può aggiungere funzionalità come backdoor o backdoor al fine di fornire un accesso permanente al sistema o utilizzare i keylogger la cui compito è intercettare le sequenze di tasti che mettono a rischio imminente le attività dell'utente.
Esistono diversi tipi di rootkit come:
Rootkit nello spazio utenteQuesto tipo di rootkit viene eseguito direttamente nello spazio utente allo stesso livello di altre applicazioni e file binari, il suo compito è sostituire gli eseguibili di sistema legittimi con altri che sono stati modificati, in modo che le informazioni fornite vengano manipolate per scopi negativi. . Tra i principali binari attaccati da rootkit abbiamo ls, df, stat, du, find, lsof, lsatrr, chatrr, sync, ip, route, neststat, lsof, nc, iptables, arp, crontab, at, crontab, at e altro ancora.
Rootkit nello spazio del kernelÈ uno dei più pericolosi poiché in questo caso è possibile accedere al sistema e ottenere privilegi di superutente per installare un rootkit in modalità kernel e, in questo modo, ottenere il controllo totale del sistema, quindi, una volta integrato nel sistema, il loro rilevamento sarà molto più complesso in quanto passano a un livello di privilegio superiore con i permessi per essere modificati e modificare non solo i binari ma anche le funzioni e le chiamate del sistema operativo.
BootkitQuesti hanno la capacità di aggiungere funzionalità di avvio ai rootkit e da questa mod influenzano il firmware di sistema e i settori di avvio del disco.
Cos'è il malwareMalware (Malicious software), è sostanzialmente un programma che ha la funzione di danneggiare un sistema o causare un malfunzionamento sia nel sistema che nelle applicazioni ivi installate, all'interno di questo gruppo troviamo Virus, Trojan (Trojan), Worm (Worm), keylogger, botnet, ransomware, spyware, adware, ladri e molti altri.
Il malware ha diversi percorsi di accesso in cui può essere inserito nel sistema, come ad esempio:
- Social media
- Siti web fraudolenti
- Dispositivi USB/CD/DVD infetti
- Allegati in e-mail non richieste (Spam)
Ora vedremo i migliori strumenti per rilevare queste minacce e procedere con la loro correzione.
Lynis
Lynis è uno strumento di sicurezza progettato per sistemi che eseguono Linux, macOS o un sistema operativo basato su Unix.
Il suo ruolo consiste nell'eseguire un'ampia scansione dell'integrità del sistema per supportare il rafforzamento del sistema ed eseguire i test di conformità necessari per escludere le minacce. Lynis è un software open source con licenza GPL ed è disponibile dal 2007.
Azioni principaliLe sue azioni principali si concentrano su:
- Audit di sicurezza
- Test di conformità come PCI, HIPAA, SOx
- Test di penetrazione per vedere la sicurezza interna
- Rilevamento vulnerabilità
- Indurimento del sistema
Per la sua installazione, innanzitutto, scaricheremo il file dal sito ufficiale:
cd/opt/wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
INGRANDIRE
Estraiamo il contenuto:
tar xvzf lynis-2.6.6.tar.gz
INGRANDIRE
Infine spostiamo l'applicazione nella directory corretta:
mv lynis / usr / local / ln -s / usr / local / lynis / lynis / usr / local / bin / lynisLa scansione di Lynis si basa sull'opportunità, ovvero utilizzerà solo ciò che è disponibile come strumenti o librerie disponibili, quindi, utilizzando questo metodo di scansione, lo strumento può essere eseguito quasi senza dipendenze.
Cosa copreGli aspetti che Lynis copre sono:
- Inizializzazione e controlli di base
- Determinare il sistema operativo e gli strumenti di accompagnamento
- Cerca le utilità di sistema disponibili
- Verifica l'aggiornamento di Lynis
- Esegui plugin abilitati
- Esegui test di sicurezza basati su categorie
- Esegui test personalizzati
- Segnala lo stato della scansione di sicurezza
Per eseguire un'analisi completa del sistema eseguiamo:
sistema di controllo lynis
INGRANDIRE
Lì inizierà l'intero processo di analisi e infine vedremo tutti i risultati in categorie:
INGRANDIRE
È possibile abilitare il funzionamento di Lynis in modo automatico in un intervallo di tempo definito, per questo dobbiamo aggiungere la seguente voce cron, che verrà eseguita, in questo caso, alle 11 di notte e invierà i report all'indirizzo email inserito :
0 23 * * * / usr / local / bin / lynis --quick 2> & 1 | mail -s "Rapporto Lynis" [email protected]
Rkhunter
RKH (RootKit Hunter), è uno strumento gratuito, open source e semplice da usare grazie al quale sarà possibile scansionare backdoor, rootkit ed exploit locali su sistemi POSIX compatibili, come Linux.Il suo compito è quello di rilevare i rootkit, poiché è stato creato come strumento di monitoraggio e analisi della sicurezza che ispeziona il sistema in dettaglio per rilevare falle di sicurezza nascoste.
Lo strumento rkhunter può essere installato utilizzando il seguente comando su sistemi basati su Ubuntu e CentOS:
sudo apt install rkhunter (Ubuntu) yum install epel-release (CentOS) yum install rkhunter (CentOS)
INGRANDIRE
Inseriamo la lettera S per confermare il download e l'installazione dell'utility. Una volta installato, possiamo monitorare il sistema eseguendo quanto segue:
sudo rkhunter -c
INGRANDIRE
Lì continuerà il processo di analisi del sistema alla ricerca di situazioni pericolose:
INGRANDIRE
Lì analizzerà tutte le opzioni di rootkit esistenti ed eseguirà ulteriori azioni di analisi sulla rete e su altri elementi.
Chkrootkit
Chkrootkit è un altro degli strumenti che sono stati sviluppati per verificare localmente se ci sono rootkit, questa utility include:
chkrootkitÈ uno script di shell che controlla i binari di sistema per la modifica del rootkit.
ifpromisc.cControlla se l'interfaccia è in modalità promiscua
chklastlog.cControlla le eliminazioni dell'ultimo registro
chkwtmp.cControlla le eliminazioni di wtmp
check_wtmpx.cControlla le eliminazioni di wtmpx
chkproc.cCerca segni di trojan LKM
chkdirs.cCerca segni di trojan LKM
stringhe.cSostituzione rapida e sporca della catena
chkutmp.cControlla le eliminazioni di utmp
Chkrootkit può essere installato eseguendo:
sudo apt install chkrootkit
INGRANDIRE
Nel caso di CentOS dobbiamo eseguire:
yum update yum install wget gcc-c ++ glibc-static wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar -xzf chkrootkit.tar.gz mkdir / usr / local / chkrootkit mv chkrootkit-0.52 / * / usr / local / chkrootkit cd / usr / local / chkrootkit ha sensoPer eseguire questo strumento possiamo utilizzare una delle seguenti opzioni:
sudo chkrootkit / usr / local / chkrootkit / chkrootkit
INGRANDIRE
vongolaAV
Un'altra delle soluzioni ben note per l'analisi delle vulnerabilità in Linux è ClamAV che è stato sviluppato come motore antivirus open source (GPL) che può essere eseguito per varie azioni tra cui la scansione della posta elettronica, la scansione del Web e la sicurezza del Web. Punto finale.
ClamAV ci offre una serie di utilità tra cui un demone multithread flessibile e scalabile, uno scanner da riga di comando e uno strumento avanzato per gli aggiornamenti automatici del database.
CaratteristicheTra le sue caratteristiche più importanti troviamo:
- Scanner da riga di comando
- Interfaccia Milter per sendmail
- Aggiornamento database avanzato con supporto per aggiornamenti con script e firme digitali
- Supporto integrato per formati di archivio come Zip, RAR, Dmg, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS e altri
- Database dei virus costantemente aggiornato
- Supporto integrato per tutti i formati di file di posta standard
- Supporto integrato per eseguibili ELF e file eseguibili portatili compressi con UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack e offuscati con SUE, Y0da Cryptor e altri
- Supporto integrato per formati di documenti MS Office e MacOffice, HTML, Flash, RTF e PDF.
Per installare ClamAV eseguiremo il seguente comando:
sudo apt install clamav
INGRANDIRE
Inseriamo la lettera S per confermare il download e l'installazione di ClamAV.
Nel caso di CentOS, possiamo eseguire quanto segue:
yum -y aggiorna yum -y installa clamavPer l'esecuzione di ClamAV eseguiremo quanto segue:
sudo clamscan -r -i "Directory"
INGRANDIRE
LMD - Rilevamento malware per Linux
Linux Malware Detect (LMD) è stato sviluppato come scanner di malware per Linux con licenza GNU GPLv2, la cui funzione principale è quella di utilizzare i dati delle minacce dai sistemi di rilevamento delle intrusioni per estrarre il malware utilizzato attivamente negli attacchi e generare firme per rilevare queste minacce .
Le firme utilizzate da LMD sono hash di file MD5 e corrispondenze di pattern HEX, che possono anche essere facilmente esportati in vari strumenti di rilevamento come ClamAV.
caratteristicheTra le sue caratteristiche troviamo:
- Rilevamento ClamAV integrato da utilizzare come motore di scansione per i migliori risultati
- Rilevamento dell'hash del file MD5 per l'identificazione rapida delle minacce
- Componente di analisi statistica per il rilevamento delle minacce
- Funzione di aggiornamento della versione integrata con -d
- Funzione di aggiornamento della firma integrata con -u
- Script cron giornaliero compatibile con i sistemi in stile RH, Cpanel e Ensim
- Kernel inotify monitor che può prendere i dati del percorso da STDIN o FILE
- Scansione giornaliera basata su cron di tutte le modifiche ai log degli utenti nelle ultime 24 ore
- Opzione di ripristino in quarantena per ripristinare i file nel percorso originale, incluso il proprietario
- Opzioni per ignorare le regole in base a percorsi, estensioni e firme
Per installare LMD in Linux eseguiremo quanto segue:
cd / tmp / curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -zxvf maldetect-current.tar.gz cd maldetect-1.6.2 / bash install.sh
INGRANDIRE
Ora possiamo eseguire la directory desiderata, in questo caso tmp in questo modo:
maldet -a / tmp
INGRANDIRE
Con uno qualsiasi di questi strumenti sarà possibile preservare l'integrità del nostro sistema evitando la presenza di malware o rootkit.