精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當(dāng)前位置:安全行業(yè)動(dòng)態(tài) → 正文

LMD Tool:Linux惡意軟件檢測工具

責(zé)任編輯:editor007 作者:寰者 |來源:企業(yè)網(wǎng)D1Net  2015-10-30 17:21:54 本文摘自:FreeBuf

工具介紹

Linux惡意軟件檢測工具(LMD)是一個(gè)GNU GPLv2許可下發(fā)布的Linux惡意軟件掃描器,其設(shè)計(jì)理念是是針對(duì)在共享主機(jī)環(huán)境中所面臨的威脅。它使用來自網(wǎng)絡(luò)邊界的入侵檢測系統(tǒng)的威脅數(shù)據(jù),提取當(dāng)前被經(jīng)常用于攻擊的惡意軟件,并針對(duì)檢測到的惡意軟件生成標(biāo)識(shí)。此外,數(shù)據(jù)的威脅也來自于用戶通過LMD上傳功能提交的惡意軟件,以及從惡意軟件聯(lián)盟中獲取到的資源。LMD使用的簽名,是MD5散列和 HEX模式匹配,他們也能較為容易地輸出到其他的檢測工具如ClamAV。

LMD Tool:Linux惡意軟件檢測工具

這款工具的出現(xiàn)背景是因?yàn)楫?dāng)前支持對(duì)Linux系統(tǒng)惡意程序檢測的開源或者免費(fèi)工具,有著較高的誤報(bào)和漏報(bào)率。許多防病毒產(chǎn)品對(duì)于linux平臺(tái)上的惡意程序檢測卻有著一個(gè)較差的威脅檢測跟蹤記錄,特別是針對(duì)在共享的主機(jī)環(huán)境。

LMD Tool:Linux惡意軟件檢測工具

共享主機(jī)環(huán)境的威脅環(huán)境相比于其他環(huán)境是較為獨(dú)特的,標(biāo)準(zhǔn)的AV產(chǎn)品檢測組件,他們的檢測目標(biāo)主要是OS級(jí)別的木馬,rootkit和傳統(tǒng)的感染文件病毒,但是卻忽略了越來越多的用戶帳戶級(jí)上的惡意軟件,而這些一般被攻擊者作為攻擊的平臺(tái)或者跳板。

從目前來看,支持多用戶共享環(huán)境的惡意軟件檢測、修復(fù)的商業(yè)產(chǎn)品依然表現(xiàn)糟糕。通過LMD 1.5檢測,可針對(duì)8883種惡意軟件的哈希值進(jìn)行分析識(shí)別,而相比之下,近30款商業(yè)防病毒和惡意軟件的產(chǎn)品的表現(xiàn),卻令人不太滿意。檢測結(jié)果如下,

從上面的數(shù)據(jù)我們可以看到,有6931種(約占總數(shù)78%)的威脅,未被商業(yè)防病毒和惡意軟件產(chǎn)品發(fā)現(xiàn)。而檢測到的1951個(gè)威脅中,商業(yè)防病毒和惡意軟件產(chǎn)品的平均檢出率為58%,較低和較高的檢出率分別為10%和100%。從以上的數(shù)據(jù)看,目前的多用戶共享環(huán)境惡意程序威脅檢測應(yīng)該是開發(fā)的重點(diǎn)。

功能特點(diǎn)

-文件MD5哈希值檢測,快速識(shí)別威脅

-用于識(shí)別威脅變量的HEX模式匹配

-擁有對(duì)模糊威脅進(jìn)行檢測的統(tǒng)計(jì)分析組件(例如:Base64編碼)

-作為性能改進(jìn)的掃描引擎,與ClamAV等工具進(jìn)行聯(lián)合檢測

-通過-u|-update進(jìn)行簽名更新

-通過-d|-update更新集成的版本功能

-通過掃描最近的選項(xiàng)來掃描在一定時(shí)間內(nèi)已添加/改變的文件

-全路徑掃描

-上傳可疑的惡意軟件到rfxn.com對(duì)其哈希值進(jìn)行重查

-查看掃描結(jié)果的報(bào)表系統(tǒng)

-在安全的方式中存儲(chǔ)威脅的隔離隊(duì)列

-隔離批處理的選項(xiàng),以隔離當(dāng)前或過去的掃描結(jié)果

-隔離恢復(fù)選項(xiàng),將文件還原到原路徑

-針對(duì)惡意代碼注入的字符串的清除規(guī)則

-清除批處理選項(xiàng),可清除之前的掃描報(bào)告

-清除規(guī)則針對(duì)Base64和gzinflate

-每日定時(shí)對(duì)過去24小時(shí)用戶homedirs上進(jìn)行掃描

-基于內(nèi)核inotify實(shí)時(shí)對(duì)文件的創(chuàng)建/修改進(jìn)行掃描

-基于內(nèi)核inotify監(jiān)控標(biāo)準(zhǔn)輸入或文件

-基于內(nèi)核inotify監(jiān)控系統(tǒng)用戶的操作特征

-基于內(nèi)核inotify監(jiān)控可配置的用戶的HTML root

數(shù)據(jù)來源

LMD不僅僅是基于簽名和哈希值地對(duì)惡意軟件進(jìn)行檢測,它也收集外部其他環(huán)境的威脅以及其他被檢測到的威脅,來提高它本身的檢測能力。

針對(duì)惡意軟件的數(shù)據(jù),用于生成LMD簽名主要有四個(gè)來源:

1、來自網(wǎng)絡(luò)邊界的IPS:網(wǎng)絡(luò)管理作為日常工作的一部分,因?yàn)槠渲饕蔷W(wǎng)站相關(guān)的,比如網(wǎng)站服務(wù)器經(jīng)常會(huì)收到大量的濫用事件,而所有這一切都是通過網(wǎng)絡(luò)邊界的IPS進(jìn)行記錄。IPS事件被進(jìn)行處理,從其中提取到惡意URL,將編碼成playload和Base64 / GZIP的濫用數(shù)據(jù)進(jìn)行解碼,最終對(duì)惡意軟件進(jìn)行檢索,分類,然后生成適簽名。LMD的簽名,絕大多數(shù)是來自IPS提取的數(shù)據(jù)。

2、來自社區(qū)聯(lián)盟數(shù)據(jù):數(shù)據(jù)的收集是從多個(gè)惡意社區(qū)網(wǎng)站如clean-mx和malwaredomainlist,然后對(duì)新的惡意軟件進(jìn)行處理檢索,分類審查,然后生成簽名。

3、來自ClamAV:從ClamAV上的Hex和MD5簽名監(jiān)測到相關(guān)更新,并適用于低的目標(biāo)用戶群加入到 LMD中。而到目前為止,已經(jīng)有大約400個(gè)簽名從ClamAV移植到LMD項(xiàng)目,而LMD項(xiàng)目也貢獻(xiàn)回ClamAV超過1100個(gè)簽名,目前也繼續(xù)在現(xiàn)有基礎(chǔ)上這么做。

4、來自用戶提交:LMD具有校驗(yàn)功能,允許用戶提交可疑的惡意軟件進(jìn)行審查,這已經(jīng)成為一個(gè)非常受歡迎的功能,它平均每周可提交30-50個(gè)可疑惡意軟件。

威脅檢測

截止到目前為止,LMD 1.5共有10822個(gè)(8908 MD5 / 1914)簽名。其中檢測到的60大威脅如下,

base64.inject.unclassed perl.ircbot.xscan

bin.dccserv.irsexxy perl.mailer.yellsoft

bin.fakeproc.Xnuxer perl.shell.cbLorD

bin.ircbot.nbot perl.shell.cgitelnet

bin.ircbot.php3 php.cmdshell.c100

bin.ircbot.unclassed php.cmdshell.c99

bin.pktflood.ABC123 php.cmdshell.cih

bin.pktflood.osf php.cmdshell.egyspider

bin.trojan.linuxsmalli php.cmdshell.fx29

c.ircbot.tsunami php.cmdshell.ItsmYarD

exp.linux.rstb php.cmdshell.Ketemu

exp.linux.unclassed php.cmdshell.N3tshell

exp.setuid0.unclassed php.cmdshell.r57

gzbase64.inject php.cmdshell.unclassed

html.phishing.auc61 php.defash.buno

html.phishing.hsbc php.exe.globals

perl.connback.DataCha0s php.include.remote

perl.connback.N2 php.ircbot.InsideTeam

perl.cpanel.cpwrap php.ircbot.lolwut

perl.ircbot.atrixteam php.ircbot.sniper

perl.ircbot.bRuNo php.ircbot.vj_denie

perl.ircbot.Clx php.mailer.10hack

perl.ircbot.devil php.mailer.bombam

perl.ircbot.fx29 php.mailer.PostMan

perl.ircbot.magnum php.phishing.AliKay

perl.ircbot.oldwolf php.phishing.mrbrain

perl.ircbot.putr4XtReme php.phishing.ReZulT

perl.ircbot.rafflesia php.pktflood.oey

perl.ircbot.UberCracker php.shell.rc99

perl.ircbot.xdh php.shell.shellcomm

實(shí)時(shí)監(jiān)控

Inotify監(jiān)控功能的目的是監(jiān)測路徑/用戶實(shí)時(shí)文件創(chuàng)建/修改/移動(dòng)操作。此選項(xiàng)需要內(nèi)核支持inotify_watch(config_inotify)。如果您運(yùn)行的是CentOS 4,你應(yīng)該考慮進(jìn)行升級(jí):

升級(jí)路徑:http://www.rfxn.com/upgrade-centos-4-8-to-5-3/

針對(duì)監(jiān)控對(duì)象(用戶/路徑/文件)的不同,分為三種不同的監(jiān)控模式,

LMD Tool 下載鏈接,請(qǐng)戳我

關(guān)鍵字:惡意軟件PHPLMD

本文摘自:FreeBuf

x LMD Tool:Linux惡意軟件檢測工具 掃一掃
分享本文到朋友圈
當(dāng)前位置:安全行業(yè)動(dòng)態(tài) → 正文

LMD Tool:Linux惡意軟件檢測工具

責(zé)任編輯:editor007 作者:寰者 |來源:企業(yè)網(wǎng)D1Net  2015-10-30 17:21:54 本文摘自:FreeBuf

工具介紹

Linux惡意軟件檢測工具(LMD)是一個(gè)GNU GPLv2許可下發(fā)布的Linux惡意軟件掃描器,其設(shè)計(jì)理念是是針對(duì)在共享主機(jī)環(huán)境中所面臨的威脅。它使用來自網(wǎng)絡(luò)邊界的入侵檢測系統(tǒng)的威脅數(shù)據(jù),提取當(dāng)前被經(jīng)常用于攻擊的惡意軟件,并針對(duì)檢測到的惡意軟件生成標(biāo)識(shí)。此外,數(shù)據(jù)的威脅也來自于用戶通過LMD上傳功能提交的惡意軟件,以及從惡意軟件聯(lián)盟中獲取到的資源。LMD使用的簽名,是MD5散列和 HEX模式匹配,他們也能較為容易地輸出到其他的檢測工具如ClamAV。

LMD Tool:Linux惡意軟件檢測工具

這款工具的出現(xiàn)背景是因?yàn)楫?dāng)前支持對(duì)Linux系統(tǒng)惡意程序檢測的開源或者免費(fèi)工具,有著較高的誤報(bào)和漏報(bào)率。許多防病毒產(chǎn)品對(duì)于linux平臺(tái)上的惡意程序檢測卻有著一個(gè)較差的威脅檢測跟蹤記錄,特別是針對(duì)在共享的主機(jī)環(huán)境。

LMD Tool:Linux惡意軟件檢測工具

共享主機(jī)環(huán)境的威脅環(huán)境相比于其他環(huán)境是較為獨(dú)特的,標(biāo)準(zhǔn)的AV產(chǎn)品檢測組件,他們的檢測目標(biāo)主要是OS級(jí)別的木馬,rootkit和傳統(tǒng)的感染文件病毒,但是卻忽略了越來越多的用戶帳戶級(jí)上的惡意軟件,而這些一般被攻擊者作為攻擊的平臺(tái)或者跳板。

從目前來看,支持多用戶共享環(huán)境的惡意軟件檢測、修復(fù)的商業(yè)產(chǎn)品依然表現(xiàn)糟糕。通過LMD 1.5檢測,可針對(duì)8883種惡意軟件的哈希值進(jìn)行分析識(shí)別,而相比之下,近30款商業(yè)防病毒和惡意軟件的產(chǎn)品的表現(xiàn),卻令人不太滿意。檢測結(jié)果如下,

從上面的數(shù)據(jù)我們可以看到,有6931種(約占總數(shù)78%)的威脅,未被商業(yè)防病毒和惡意軟件產(chǎn)品發(fā)現(xiàn)。而檢測到的1951個(gè)威脅中,商業(yè)防病毒和惡意軟件產(chǎn)品的平均檢出率為58%,較低和較高的檢出率分別為10%和100%。從以上的數(shù)據(jù)看,目前的多用戶共享環(huán)境惡意程序威脅檢測應(yīng)該是開發(fā)的重點(diǎn)。

功能特點(diǎn)

-文件MD5哈希值檢測,快速識(shí)別威脅

-用于識(shí)別威脅變量的HEX模式匹配

-擁有對(duì)模糊威脅進(jìn)行檢測的統(tǒng)計(jì)分析組件(例如:Base64編碼)

-作為性能改進(jìn)的掃描引擎,與ClamAV等工具進(jìn)行聯(lián)合檢測

-通過-u|-update進(jìn)行簽名更新

-通過-d|-update更新集成的版本功能

-通過掃描最近的選項(xiàng)來掃描在一定時(shí)間內(nèi)已添加/改變的文件

-全路徑掃描

-上傳可疑的惡意軟件到rfxn.com對(duì)其哈希值進(jìn)行重查

-查看掃描結(jié)果的報(bào)表系統(tǒng)

-在安全的方式中存儲(chǔ)威脅的隔離隊(duì)列

-隔離批處理的選項(xiàng),以隔離當(dāng)前或過去的掃描結(jié)果

-隔離恢復(fù)選項(xiàng),將文件還原到原路徑

-針對(duì)惡意代碼注入的字符串的清除規(guī)則

-清除批處理選項(xiàng),可清除之前的掃描報(bào)告

-清除規(guī)則針對(duì)Base64和gzinflate

-每日定時(shí)對(duì)過去24小時(shí)用戶homedirs上進(jìn)行掃描

-基于內(nèi)核inotify實(shí)時(shí)對(duì)文件的創(chuàng)建/修改進(jìn)行掃描

-基于內(nèi)核inotify監(jiān)控標(biāo)準(zhǔn)輸入或文件

-基于內(nèi)核inotify監(jiān)控系統(tǒng)用戶的操作特征

-基于內(nèi)核inotify監(jiān)控可配置的用戶的HTML root

數(shù)據(jù)來源

LMD不僅僅是基于簽名和哈希值地對(duì)惡意軟件進(jìn)行檢測,它也收集外部其他環(huán)境的威脅以及其他被檢測到的威脅,來提高它本身的檢測能力。

針對(duì)惡意軟件的數(shù)據(jù),用于生成LMD簽名主要有四個(gè)來源:

1、來自網(wǎng)絡(luò)邊界的IPS:網(wǎng)絡(luò)管理作為日常工作的一部分,因?yàn)槠渲饕蔷W(wǎng)站相關(guān)的,比如網(wǎng)站服務(wù)器經(jīng)常會(huì)收到大量的濫用事件,而所有這一切都是通過網(wǎng)絡(luò)邊界的IPS進(jìn)行記錄。IPS事件被進(jìn)行處理,從其中提取到惡意URL,將編碼成playload和Base64 / GZIP的濫用數(shù)據(jù)進(jìn)行解碼,最終對(duì)惡意軟件進(jìn)行檢索,分類,然后生成適簽名。LMD的簽名,絕大多數(shù)是來自IPS提取的數(shù)據(jù)。

2、來自社區(qū)聯(lián)盟數(shù)據(jù):數(shù)據(jù)的收集是從多個(gè)惡意社區(qū)網(wǎng)站如clean-mx和malwaredomainlist,然后對(duì)新的惡意軟件進(jìn)行處理檢索,分類審查,然后生成簽名。

3、來自ClamAV:從ClamAV上的Hex和MD5簽名監(jiān)測到相關(guān)更新,并適用于低的目標(biāo)用戶群加入到 LMD中。而到目前為止,已經(jīng)有大約400個(gè)簽名從ClamAV移植到LMD項(xiàng)目,而LMD項(xiàng)目也貢獻(xiàn)回ClamAV超過1100個(gè)簽名,目前也繼續(xù)在現(xiàn)有基礎(chǔ)上這么做。

4、來自用戶提交:LMD具有校驗(yàn)功能,允許用戶提交可疑的惡意軟件進(jìn)行審查,這已經(jīng)成為一個(gè)非常受歡迎的功能,它平均每周可提交30-50個(gè)可疑惡意軟件。

威脅檢測

截止到目前為止,LMD 1.5共有10822個(gè)(8908 MD5 / 1914)簽名。其中檢測到的60大威脅如下,

base64.inject.unclassed perl.ircbot.xscan

bin.dccserv.irsexxy perl.mailer.yellsoft

bin.fakeproc.Xnuxer perl.shell.cbLorD

bin.ircbot.nbot perl.shell.cgitelnet

bin.ircbot.php3 php.cmdshell.c100

bin.ircbot.unclassed php.cmdshell.c99

bin.pktflood.ABC123 php.cmdshell.cih

bin.pktflood.osf php.cmdshell.egyspider

bin.trojan.linuxsmalli php.cmdshell.fx29

c.ircbot.tsunami php.cmdshell.ItsmYarD

exp.linux.rstb php.cmdshell.Ketemu

exp.linux.unclassed php.cmdshell.N3tshell

exp.setuid0.unclassed php.cmdshell.r57

gzbase64.inject php.cmdshell.unclassed

html.phishing.auc61 php.defash.buno

html.phishing.hsbc php.exe.globals

perl.connback.DataCha0s php.include.remote

perl.connback.N2 php.ircbot.InsideTeam

perl.cpanel.cpwrap php.ircbot.lolwut

perl.ircbot.atrixteam php.ircbot.sniper

perl.ircbot.bRuNo php.ircbot.vj_denie

perl.ircbot.Clx php.mailer.10hack

perl.ircbot.devil php.mailer.bombam

perl.ircbot.fx29 php.mailer.PostMan

perl.ircbot.magnum php.phishing.AliKay

perl.ircbot.oldwolf php.phishing.mrbrain

perl.ircbot.putr4XtReme php.phishing.ReZulT

perl.ircbot.rafflesia php.pktflood.oey

perl.ircbot.UberCracker php.shell.rc99

perl.ircbot.xdh php.shell.shellcomm

實(shí)時(shí)監(jiān)控

Inotify監(jiān)控功能的目的是監(jiān)測路徑/用戶實(shí)時(shí)文件創(chuàng)建/修改/移動(dòng)操作。此選項(xiàng)需要內(nèi)核支持inotify_watch(config_inotify)。如果您運(yùn)行的是CentOS 4,你應(yīng)該考慮進(jìn)行升級(jí):

升級(jí)路徑:http://www.rfxn.com/upgrade-centos-4-8-to-5-3/

針對(duì)監(jiān)控對(duì)象(用戶/路徑/文件)的不同,分為三種不同的監(jiān)控模式,

LMD Tool 下載鏈接,請(qǐng)戳我

關(guān)鍵字:惡意軟件PHPLMD

本文摘自:FreeBuf

電子周刊
回到頂部

關(guān)于我們聯(lián)系我們版權(quán)聲明隱私條款廣告服務(wù)友情鏈接投稿中心招賢納士

企業(yè)網(wǎng)版權(quán)所有 ©2010-2024 京ICP備09108050號(hào)-6 京公網(wǎng)安備 11010502049343號(hào)

^ 
    • <menuitem id="jw4sk"></menuitem>
    

    • 

      3. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      
主站蜘蛛池模板:
麦盖提县|
合肥市|
沁源县|
新巴尔虎左旗|
潞西市|
乐亭县|
阿尔山市|
开封市|
鲁山县|
临猗县|
韶关市|
景东|
龙陵县|
科技|
丰城市|
岳池县|
镇安县|
呼和浩特市|
宝鸡市|
新源县|
定州市|
交口县|
西城区|
保亭|
安龙县|
田阳县|
赣州市|
伊宁市|
灵川县|
安达市|
汉中市|
靖安县|
荥经县|
浮山县|
广丰县|
荔浦县|
平原县|
沅陵县|
武冈市|
绥阳县|
梓潼县|