足球资料库数据/孙祥/nba五佳球/足球直播哪个平台好 - cctv5今日现场直播

首頁 > 知識庫 > 正文

Linux惡意軟件檢測工具LMD Tool介紹
2016-02-20 19:33:53   來源: 佚名 Freebuf    評論:0 點擊:

Linux惡意軟件檢測工具(LMD)是一個GNU GPLv2許可下發布的Linux惡意軟件掃描器,其設計理念是是針對在共享主機環境中所面臨的威脅。它使用來自網絡邊界的入侵檢測系統的威脅數據,提取當前被經常用于攻擊的惡意軟件,并針對檢測到的惡意軟件生成標識。

\

工具介紹

Linux惡意軟件檢測工具(LMD)是一個GNU GPLv2許可下發布的Linux惡意軟件掃描器,其設計理念是是針對在共享主機環境中所面臨的威脅。它使用來自網絡邊界的入侵檢測系統的威脅數據,提取當前被經常用于攻擊的惡意軟件,并針對檢測到的惡意軟件生成標識。此外,數據的威脅也來自于用戶通過LMD上傳功能提交的惡意軟件,以及從惡意軟件聯盟中獲取到的資源。LMD使用的簽名,是MD5散列和 HEX模式匹配,他們也能較為容易地輸出到其他的檢測工具如ClamAV。

\

這款工具的出現背景是因為當前支持對Linux系統惡意程序檢測的開源或者免費工具,有著較高的誤報和漏報率。許多防病毒產品對于linux平臺上的惡意程序檢測卻有著一個較差的威脅檢測跟蹤記錄,特別是針對在共享的主機環境。

共享主機環境的威脅環境相比于其他環境是較為獨特的,標準的AV產品檢測組件,他們的檢測目標主要是OS級別的木馬,rootkit和傳統的感染文件病毒,但是卻忽略了越來越多的用戶帳戶級上的惡意軟件,而這些一般被攻擊者作為攻擊的平臺或者跳板。

從目前來看,支持多用戶共享環境的惡意軟件檢測、修復的商業產品依然表現糟糕。通過LMD 1.5檢測,可針對8883種惡意軟件的哈希值進行分析識別,而相比之下,近30款商業防病毒和惡意軟件的產品的表現,卻令人不太滿意。檢測結果如下:

  1. DETECTED KNOWN MALWARE: 1951 
  2. % AV DETECT (AVG): 58 
  3. % AV DETECT (LOW): 10 
  4. % AV DETECT (HIGH): 100 
  5. UNKNOWN MALWARE: 6931 

從上面的數據我們可以看到,有6931種(約占總數78%)的威脅,未被商業防病毒和惡意軟件產品發現。而檢測到的1951個威脅中,商業防病毒和惡意軟件產品的平均檢出率為58%,較低和較高的檢出率分別為10%和100%。從以上的數據看,目前的多用戶共享環境惡意程序威脅檢測應該是開發的重點。

功能特點

◆文件MD5哈希值檢測,快速識別威脅

◆用于識別威脅變量的HEX模式匹配

◆擁有對模糊威脅進行檢測的統計分析組件(例如:Base64編碼)

◆作為性能改進的掃描引擎,與ClamAV等工具進行聯合檢測

◆通過-u|-update進行簽名更新

◆通過-d|-update更新集成的版本功能 

◆通過掃描最近的選項來掃描在一定時間內已添加/改變的文件

◆全路徑掃描

◆上傳可疑的惡意軟件到rfxn.com對其哈希值進行重查

◆查看掃描結果的報表系統

◆在安全的方式中存儲威脅的隔離隊列

◆隔離批處理的選項,以隔離當前或過去的掃描結果

◆隔離恢復選項,將文件還原到原路徑

◆針對惡意代碼注入的字符串的清除規則

◆清除批處理選項,可清除之前的掃描報告

◆清除規則針對Base64和gzinflate

◆每日定時對過去24小時用戶homedirs上進行掃描

◆基于內核inotify實時對文件的創建/修改進行掃描

◆基于內核inotify監控標準輸入或文件

◆基于內核inotify監控系統用戶的操作特征

◆基于內核inotify監控可配置的用戶的HTML root

數據來源

LMD不僅僅是基于簽名和哈希值地對惡意軟件進行檢測,它也收集外部其他環境的威脅以及其他被檢測到的威脅,來提高它本身的檢測能力。

針對惡意軟件的數據,用于生成LMD簽名主要有四個來源:

1.來自網絡邊界的IPS:網絡管理作為日常工作的一部分,因為其主要是網站相關的,比如網站服務器經常會收到大量的濫用事件,而所有這一切都是通過網絡邊界的IPS進行記錄。IPS事件被進行處理,從其中提取到惡意URL,將編碼成playload和Base64 / GZIP的濫用數據進行解碼,最終對惡意軟件進行檢索,分類,然后生成適簽名。LMD的簽名,絕大多數是來自IPS提取的數據。

2.來自社區聯盟數據:數據的收集是從多個惡意社區網站如clean-mx和malwaredomainlist,然后對新的惡意軟件進行處理檢索,分類審查,然后生成簽名。

3.來自ClamAV:從ClamAV上的Hex和MD5簽名監測到相關更新,并適用于低的目標用戶群加入到 LMD中。而到目前為止,已經有大約400個簽名從ClamAV移植到LMD項目,而LMD項目也貢獻回ClamAV超過1100個簽名,目前也繼續在現有基礎上這么做。

4.來自用戶提交:LMD具有校驗功能,允許用戶提交可疑的惡意軟件進行審查,這已經成為一個非常受歡迎的功能,它平均每周可提交30-50個可疑惡意軟件。

威脅檢測

截止到目前為止,LMD 1.5共有10822個(8908 MD5 / 1914)簽名。其中檢測到的60大威脅如下:

base64.inject.unclassed     perl.ircbot.xscan

bin.dccserv.irsexxy         perl.mailer.yellsoft

bin.fakeproc.Xnuxer         perl.shell.cbLorD

bin.ircbot.nbot             perl.shell.cgitelnet

bin.ircbot.php3             php.cmdshell.c100

bin.ircbot.unclassed        php.cmdshell.c99

bin.pktflood.ABC123         php.cmdshell.cih

bin.pktflood.osf            php.cmdshell.egyspider

bin.trojan.linuxsmalli      php.cmdshell.fx29

c.ircbot.tsunami            php.cmdshell.ItsmYarD

exp.linux.rstb              php.cmdshell.Ketemu

exp.linux.unclassed         php.cmdshell.N3tshell

exp.setuid0.unclassed       php.cmdshell.r57

gzbase64.inject             php.cmdshell.unclassed

html.phishing.auc61         php.defash.buno

html.phishing.hsbc          php.exe.globals

perl.connback.DataCha0s     php.include.remote

perl.connback.N2            php.ircbot.InsideTeam

perl.cpanel.cpwrap          php.ircbot.lolwut

perl.ircbot.atrixteam       php.ircbot.sniper

perl.ircbot.bRuNo           php.ircbot.vj_denie

perl.ircbot.Clx             php.mailer.10hack

perl.ircbot.devil           php.mailer.bombam

perl.ircbot.fx29            php.mailer.PostMan

perl.ircbot.magnum          php.phishing.AliKay

perl.ircbot.oldwolf         php.phishing.mrbrain

perl.ircbot.putr4XtReme     php.phishing.ReZulT

perl.ircbot.rafflesia       php.pktflood.oey

perl.ircbot.UberCracker     php.shell.rc99

perl.ircbot.xdh             php.shell.shellcomm

實時監控

Inotify監控功能的目的是監測路徑/用戶實時文件創建/修改/移動操作。此選項需要內核支持inotify_watch(config_inotify)。如果您運行的是CentOS 4,你應該考慮進行升級:

升級路徑:http://www.rfxn.com/upgrade-centos-4-8-to-5-3/

針對監控對象(用戶/路徑/文件)的不同,分為三種不同的監控模式:

e.g: maldet --monitor users

e.g: maldet --monitor /root/monitor_paths

e.g: maldet --monitor /home/mike,/home/ashton

LMD Tool 下載鏈接,請戳我

*參考來源:digitalmunition 編譯及測試/troy 轉載請注明來自黑客與極客(FreeBuf.com)

【編輯推薦】

  1. 微軟愛Linux的鐵證:運行在Hyper-V上的Linux與FreeBSD
  2. Windows管理員需要了解的Linux技巧
  3. 十個Linux系統下的passwd實用命令示例
  4. 開源還是商用?十大云運維監控工具測評告訴你答案
  5. 火狐瀏覽器開發者工具將整合Firebug功能
【責任編輯:火鳳凰 TEL:(010)68476606】


相關熱詞搜索:LMD Tool 工具 Linux

上一篇:數據運維對于運維具有哪些重要意義
下一篇:微軟應用開發工具更新 無需編程就能創建Windows 10應用

分享到: 收藏