Embora muito se diga que os sistemas operativos Linux não são vulneráveis a ataques de vírus, hoje em dia com o aumento das ameaças que surgem e as diferentes técnicas utilizadas, sem dúvida que nenhum sistema está 100% protegido e por isso devemos tomar as respectivas medidas de segurança para prevenir ataques e roubo de informações confidenciais. Diante disso, temos duas ameaças que são críticas, como malware e rootkit, malware e rootkits em particular, eles podem funcionar de forma integrada e completa no Linux como funcionam em outros sistemas operacionais “inseguros”.
O Solvetic analisará algumas das melhores ferramentas para fazer a varredura no sistema Linux em busca de malware ou rootkits que possam comprometer seu funcionamento normal.
O que é um rootkitUm rootkit é um tipo de ferramenta que tem o poder de agir de forma independente, ou estar junto com qualquer variante de código malicioso, cujo principal objetivo é ocultar seus propósitos dos usuários e administradores de sistema.
A tarefa fundamental de um rootkit é ocultar informações associadas a processos, conexões de rede, arquivos, diretórios, privilégios, mas pode adicionar funcionalidades como backdoor ou backdoor para fornecer acesso permanente ao sistema ou fazer uso dos keyloggers cujo tarefa é interceptar os pressionamentos de tecla, o que coloca as atividades do usuário em risco iminente.
Existem diferentes tipos de rootkit, como:
Rootkit no espaço do usuárioEste tipo de rootkit é executado diretamente no espaço do usuário no mesmo nível que outros aplicativos e arquivos binários, sua tarefa é substituir os executáveis do sistema legítimos por outros que foram modificados, de forma que as informações que eles fornecem sejam manipuladas para fins negativos. Dentro de los principales binarios que son atacados por rootkit tenemos ls, df, stat, du, find, lsof, lsatrr, chatrr, sync, ip, route, neststat, lsof, nc, iptables, arp, crontab, at, crontab, at e mais.
Rootkit no espaço do kernelÉ um dos mais perigosos, pois neste caso você pode acessar o sistema e obter privilégios de superusuário para instalar um rootkit em modo kernel e, desta forma, obter o controle total do sistema, assim, uma vez integrado ao sistema, sua detecção será muito mais complexa, pois eles passam para um nível de privilégio mais alto com permissões para serem modificados e modificar não apenas os binários, mas também as funções e chamadas do sistema operacional.
BootkitsEles têm a capacidade de adicionar funcionalidades de inicialização aos rootkits e, a partir desse modo, afetam o firmware do sistema e os setores de inicialização do disco.
O que é malwareMalware (software malicioso), é basicamente um programa que tem a função de danificar um sistema ou causar um mau funcionamento tanto no sistema como nas aplicações nele instaladas, dentro deste grupo encontramos Vírus, Trojans (Trojans), Worms (Worm), keyloggers, botnets, ransomwares, spyware, adware, Rogues e muitos mais.
O malware possui diferentes caminhos de acesso onde pode ser inserido no sistema, como:
- Redes sociais
- Sites fraudulentos
- Dispositivos / CDs / DVDs USB infectados
- Anexos em e-mails não solicitados (Spam)
Agora veremos as melhores ferramentas para detectar essas ameaças e proceder com sua correção.
Lynis
Lynis é uma ferramenta de segurança projetada para sistemas que executam Linux, macOS ou um sistema operacional baseado em Unix.
Sua função é realizar uma ampla verificação da integridade do sistema para oferecer suporte ao sistema de proteção e executar os testes de conformidade necessários para descartar ameaças. Lynis é um software de código aberto com licença GPL e está disponível desde 2007.
Principais açõesSuas principais ações estão focadas em:
- Auditorias de segurança
- Teste de conformidade como PCI, HIPAA, SOx
- Teste de penetração para ver a segurança interna
- Detecção de vulnerabilidade
- Endurecimento do sistema
Para sua instalação, em primeiro lugar, baixaremos o arquivo do site oficial:
cd / opt / wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
PROLONGAR
Extraímos o conteúdo:
tar xvzf lynis-2.6.6.tar.gz
PROLONGAR
Por fim, movemos o aplicativo para o diretório correto:
mv lynis / usr / local / ln -s / usr / local / lynis / lynis / usr / local / bin / lynisA varredura do Lynis é baseada na oportunidade, ou seja, só usará o que estiver disponível, como ferramentas ou bibliotecas disponíveis, portanto, com esse método de varredura, a ferramenta pode ser executada quase sem dependências.
Que compreendeOs aspectos que Lynis cobre são:
- Inicialização e controles básicos
- Determine o sistema operacional e as ferramentas que o acompanham
- Pesquise os utilitários de sistema disponíveis
- Verifique a atualização do Lynis
- Executar plug-ins habilitados
- Execute testes de segurança baseados em categorias
- Execute testes personalizados
- Relatar o status da verificação de segurança
Para executar uma análise completa do sistema que executamos:
sistema de auditoria lynis
PROLONGAR
Lá começará todo o processo de análise e finalmente veremos todos os resultados em categorias:
PROLONGAR
É possível habilitar o funcionamento do Lynis para ser automático em um intervalo de tempo definido, para isso devemos adicionar a seguinte entrada do cron, que será executada, neste caso, às 11 da noite e enviará relatórios para o endereço de e-mail informado :
0 23 * * * / usr / local / bin / lynis --quick 2> & 1 | mail -s "Relatório Lynis" [email protected]
Rkhunter
RKH (RootKit Hunter), é uma ferramenta gratuita, open source e simples de usar graças à qual será possível fazer a varredura de backdoors, rootkits e exploits locais em sistemas compatíveis com POSIX, como o Linux. Sua tarefa é detectar rootkits, desde foi criado como uma ferramenta de monitoramento e análise de segurança que inspeciona o sistema em detalhes para detectar falhas de segurança ocultas.
A ferramenta rkhunter pode ser instalada usando o seguinte comando em sistemas baseados em Ubuntu e CentOS:
sudo apt install rkhunter (Ubuntu) yum install epel-release (CentOS) yum install rkhunter (CentOS)
PROLONGAR
Inserimos a letra S para confirmar o download e a instalação do utilitário. Depois de instalado, podemos monitorar o sistema executando o seguinte:
sudo rkhunter -c
PROLONGAR
Lá continuará o processo de análise do sistema em busca de situações de perigo:
PROLONGAR
Lá, ele analisará todas as opções de rootkit existentes e executará ações de análise adicionais na rede e em outros itens.
Chkrootkit
Chkrootkit é outra das ferramentas que foram desenvolvidas para verificar localmente se há rootkits, este utilitário inclui:
chkrootkitÉ um script de shell que verifica os binários do sistema para modificação do rootkit.
ifpromisc.cVerifique se a interface está em modo promíscuo
chklastlog.cVerifique as exclusões do lastlog
chkwtmp.cVerifique as exclusões wtmp
check_wtmpx.cVerifique as exclusões wtmpx
chkproc.cProcure sinais de Trojans LKM
chkdirs.cProcure sinais de Trojans LKM
strings.cSubstituição rápida e suja da corrente
chkutmp.cVerifique as exclusões de utmp
O Chkrootkit pode ser instalado executando:
sudo apt install chkrootkit
PROLONGAR
No caso do CentOS, devemos executar:
yum update yum install wget gcc-c ++ glibc-static wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar -xzf chkrootkit.tar.gz mkdir / usr / local / chkrootkit mv chkrootkit-0.52 / * / usr / local / chkrootkit cd / usr / local / chkrootkit faz sentidoPara executar esta ferramenta, podemos usar qualquer uma das seguintes opções:
sudo chkrootkit / usr / local / chkrootkit / chkrootkit
PROLONGAR
ClamAV
Otra de las soluciones conocidas para el análisis de vulnerabilidades en Linux es ClamAV la cual se ha desarrollado como un motor antivirus de código abierto (GPL) que puede ser ejecutado para diversas acciones incluyendo la exploración de correo electrónico, el escaneo web y la seguridad del ponto final.
O ClamAV nos oferece uma série de utilitários, incluindo um daemon multithread flexível e escalonável, um scanner de linha de comando e uma ferramenta avançada para atualizações automáticas de banco de dados.
CaracteristicasEntre suas características mais destacadas, encontramos:
- Scanner de linha de comando
- Interface Milter para sendmail
- Atualizador de banco de dados avançado com suporte para atualizações de script e assinaturas digitais
- Suporte integrado para formatos de arquivo como Zip, RAR, Dmg, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS e outros
- Banco de dados de vírus atualizado constantemente
- Suporte integrado para todos os formatos de arquivo de e-mail padrão
- Suporte integrado para executáveis ELF e arquivos executáveis portáteis compactados com UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack e ofuscados com SUE, Y0da Cryptor e outros
- Suporte integrado para formatos de documentos MS Office e MacOffice, HTML, Flash, RTF e PDF.
Para instalar o ClamAV, vamos executar o seguinte comando:
sudo apt install clamav
PROLONGAR
Entramos com a letra S para confirmar o download e a instalação do ClamAV.
No caso do CentOS, podemos executar o seguinte:
yum -y update yum -y install clamavPara a execução do ClamAV vamos executar o seguinte:
sudo clamscan -r -i "Diretório"
PROLONGAR
LMD - Linux Malware Detect
O Linux Malware Detect (LMD) foi desenvolvido como um scanner de malware para Linux sob a licença GNU GPLv2, cuja principal função é usar dados de ameaças de sistemas de detecção de intrusão para extrair malware que é usado ativamente em ataques e pode gerar assinaturas para detectar essas ameaças .
As assinaturas que o LMD usa são hashes de arquivo MD5 e correspondências de padrão HEX, que também podem ser facilmente exportadas para várias ferramentas de detecção, como o ClamAV.
CaracteristicasEntre suas características encontramos:
- Detecção embutida do ClamAV para ser usada como mecanismo de varredura para obter melhores resultados
- Detecção de hash de arquivo MD5 para identificação rápida de ameaças
- Componente de análise estatística para detecção de ameaças
- Função de atualização de versão integrada com -d
- Função de atualização de assinatura integrada com -u
- Cron script diário compatível com sistemas de estilo RH, Cpanel e Ensim
- Monitor de notificação de kernel que pode pegar dados de caminho de STDIN ou FILE
- Verificação diária baseada em cron de todas as mudanças nas últimas 24 horas nos registros do usuário
- Opção de restauração em quarentena para restaurar os arquivos no caminho original, incluindo o proprietário
- Opções para ignorar regras com base em rotas, extensões e assinaturas
Para instalar o LMD no Linux, vamos executar o seguinte:
cd / tmp / curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -zxvf maldetect-current.tar.gz cd maldetect-1.6.2 / bash install.sh
PROLONGAR
Agora, podemos executar o diretório desejado, neste caso tmp assim:
maldet -a / tmp
PROLONGAR
Com qualquer uma dessas ferramentas será possível preservar a integridade do nosso sistema evitando a presença de malware ou rootkits.
