どうすればよいトロイの木馬を検出する


  Share  
|


トロイの木馬の検出は簡単ですが、お持ちの場合は静的な検索パターンをスキャンします。 日常的にウィルス対策ソフトウェアを使ってトロイの木馬を検出(いくつか)とほぼ同じパターンのウイルスを検出するための検索テクニックを使用します。 しかし、身分証明書の既知のトロイの木馬ではありませんが、常に最善の防御します。 以前にも未知のトロイの木馬の検出(概念的に)簡単で、提供する必要があり、常に最善のセキュリティを維持しプラクティス(文字通り、常に、少なくとも限り、保護されたシステムは、省庁)します。

ほとんどの伝統的なマルチユーザーのシステム上の検出手法の原理から派生するオブジェクトの和解とも呼ばれます。 オブジェクトの和解は、空想の方法を要求する"で、物事の道に忘れてきただけでまだですか" ここでの仕組み:オブジェクトはシステムの分野では、ファイルやディレクトリのようです。 和解のプロセスは、それらのオブジェクトを比較するのスナップショットを記録し、同じオブジェクトをいくつかの前の日に撮影時には、保護さだったことが分かっているオブジェクトは、信頼できる"きれいな"状態になります。

注意

厳密に言えば、ありません。このような"クリーンな状態"時間です。 さらに"ゼロの日"を搭載するシステムソフトウェアのインストールバージンsuiteのシステムを前提とせずに、プログラムやバックドア置換えします。 無限の信頼を置くことができませんでしたシステムをゼロから完全に構築しているの? "いや量のソースレベルの検証や精査を保護するよりは、信頼できないコードを使用した"と述べたケントンプソンを信じて疑わない信頼を反射します。 しなければならないということは、このアプローチをあきらめていますか? もちろんませんが、ベアしなければならないことに注意して、たとえ私たちを構築する出願tionからのソースコードを調べ、私たちを信頼できないかもしれない、コンパイラのハードウェアまたはマイクロコードスニペットのすべてのシステム上のマザーボードにします。

より広く、和解のプロセスとして記述オブジェクトとして知られる変化検出、整合性のチェック、または保全管理します。 しかし、これらの条件はありません厳密に同義語でした。

変化検出して簡単に説明してユーザーに警告しいかなる手法をするという事実を尊重するいくつかのオブジェクトが変更されました。

整合性のチェックには、同じコアの意味が、これはしばしば取らより洗練されたアプローチを意味するだけでなく変化を検出するにもかかわらず、隠ぺいしようとしてではなく、ソフトウェア自体を報告していることを確認していないsubvertedます。

整合性の管理には、より広義の用語です。 を含めることはできません。無許可の変更のみを検出するが、他の方法でシステムの整合性を維持します。 このような方法で、いくつかまたはすべてを含めることができ、次の、特定の順序ではない:

  • バックアップの信頼を維持する
  • 未知の侵入をブロックするエントリ(たとえば、実行することによりシステムからのファイルの読み取り専用のファイルシステムやメディアからのさわやかな信頼できる読み取り専用メディア)
  • メンテナンスの厳密なアクセス制御
  • 製造元のアプリケーションをブロックするパッチを慎重に新たに発見さ抜け穴
  • 細かく管理システムの設計を変更するには、コードのみを使って署名(信頼)します。

ファイルの整合性のテストをする簡単な方法は、報告書に基づいて、国家情報ファイルを変更します。 洗練された異なる形式のファイルの整合性テストで異なります。 たとえば、ファイルの整合性をテストすることができぞんざい以下のいずれかのインデックスを使用する:

  • 最終更新日
  • ファイルの作成日
  • ファイルサイズ

残念なことに、これらの3つの方法を構成する非常に十分な防御以上のcrudest攻撃します。 ファイルが変更されるたびに、その値を変更します。 たとえば、ファイルが開かれるたびに、改変、および保存し、新たに最終更新日がはっきりします。 しかし、この日付を簡単に操作することができます。 このファイルのタイムスタンプを考慮操作します。 どのように難しいですか? システム時間を変更し、希望の編集を適用して、アーカイブファイル、およびシステム時間を再設定しています。 まだ改善の取得と保存して日付/時間の情報を使って標準cライブラリ関数(例えば)は、オブジェクトを変更したり交換するには、ファイルの修正日と復元します。 ユーザーは、 1つのシステム( ms - dosのような)アクセス制御を最小限に抑えてありませんか、ささいなコーディングがかかわっています。 このレアの息子、チェック時間の変更を検出する方法は、信頼できない変更します。 また、この日の最後の修正ファイルだった場合、何も明らかに変質していない(たとえば、コピーしただけで、閲覧、または郵送)します。 その半面、格差がある場合、システムによって返された日付の変更や修正の日付で記録されたシステムの監視ユーティリティで、異なる可能性がある悪意のある行動をします。

別の方法をチェックして、ファイルの整合性の検討は、その大きされました。 しかし、この値は非常に簡単に操作することができ、どちらかのパディング、またはトリミングされたファイル自体、または値を変えることによって、オペレーティングシステムが報告されました。

そこには他のインデックスに登録されます。 たとえば、基本的な可能性があるチェックサムを使用している。 しかし、より信頼性よりもかかわらずチェックサムは、時間と日付の刻印、彼らを変更することができます。 チェックサムに頼っている場合は、システムの基本的な(または変化検出ソフトウェアを使用し、これに頼っている単純なchecksumming )は、特に重要なことはしておくようにしてチェックサムのリストは、信頼できる環境にします。 この意味するかもしれないし、別のサーバーまたは別のメディアでさえ、ルートによってのみアクセス可能なユーザーまたはその他の信頼します。 仕事を効率的かつ適切なチェックサムの整合性をチェックし、ファイル転送、例えば、 aとbの地点から、ではありません高セキュリティアプリケーションに適しています。 彼らだけではありませんから身を守るに設計され、悪意のある打倒しようとして情報をfalseを返します。

あまり簡単にsubverted技術計算には、より洗練されたデジタル指紋ごとにさまざまなアルゴリズムを使用してファイルします。 家族のアルゴリズムはmdシリーズと呼ばれ、この目的のために使用することができます。 最も人気のある実装の1つは、システムと呼ばれるのmd5ます。

のmd5

のmd5に属している家族片道ハッシュ関数と呼ばれるメッセージダイジェストアルゴリズムます。 のmd5システムで定義さのrfc 1321以下のとおり:

このアルゴリズムは、任意の長さのメッセージを入力として出力を生成する128ビットの"指紋"または"メッセージダイジェスト"を入力します。 それはconjecturedことは実行不可能な計算を生産する2つのメッセージが同じメッセージダイジェスト、またはを生産するすべてのメッセージが与えられたprespecifiedターゲットメッセージダイジェストします。 のmd5アルゴリズムは、デジタル署名アプリケーションで、大きなファイルをしなければならない"圧縮"は、安全な方法で暗号化されてから、民間(秘密)キーの下に公開鍵暗号システムなどのrsaます。

を実行する場合は、ファイルを介しのmd5 、指紋がはっきりするとして32文字の値です。 それのようになります: 

  2 d50b2bffb537cc4e637dd1f07a187f4

多くのサイトで配布してunixソフトウェアを使用するのmd5を生成するために彼らのデジタル指紋を提供します。 ディレクトリを参照して、オリジナルのデジタル指紋を調べることができ、各ファイルです。 かもしれない、典型的なディレクトリリストのようになります: 

 のmd5 (北西- 1.17.8.tar.gz ) = 2f52aadd1defeda5bad91da8efc0f980 
 のmd5 (北西- 1.17.7.tar.gz ) = b92916d83f377b143360f068df6d8116 
 のmd5 (北西- 1.17.6.tar.gz ) = 18d02b9f24a49dee239a78ecfaf9c6fa 
 のmd5 (北西- 1.17.5.tar.gz ) = 0cf8f8d0145bb7678abcc518f0cb39e9 
 のmd5 (北西- 1.17.4.tar.gz ) = 4afe7c522ebe0377269da0c7f26ef6b8 
 のmd5 (北西- 1.17.3.tar.gz ) = aaf3c2b1c4eaa3ebb37e8227e3327856 
 のmd5 (北西- 1.17.2.tar.gz ) = 9b29eaa366d4f4dc6de6489e1e844fb9 
 のmd5 (北西- 1.17.1.tar.gz ) = 91759da54792f1cab743a034542107d0 
 のmd5 (北西- 1.17.0.tar.gz ) = 32f6eb7f69b4bdc64a163bf744923b41

このような場合は、サーバーからファイルをダウンロードすると、デジタル指紋を発見し、ダウンロードしたファイルは異なっており、可能性が高い、何かが気を悪くしています。

の有無にかかわらずのmd5 、整合性の管理は複雑なプロセスです。 さまざまなユーティリティを支援するために設計されてきた複雑な分散システムの整合性を管理します。 次のユーティリティはもともとunixベースが、似たようなプログラムはマイクロソフト社のオペレーティングシステムをご利用いただけます。

トリップワイヤー

トリップワイヤー(で書かれた1992年)は、ファイルの整合性の包括的ツールです。 tripwireの設計はよく、容易に理解できるし、簡単に実装します。

元の値(デジタル指紋)を監視するには、ファイル内のデータベースファイルを保存します。 ascii形式でファイルを簡単にデータベースにアクセスするたびに署名や検証を行って算出する必要があります。

理想的には、このようなツールとして使用された直後にtripwireのだろう、新鮮な(ゼロ日)をインストールします。 これにより100 %の保証をファイルシステムの整合性を出発点(またはほぼ100 %に覚えているケントンプソン記事)します。 データベースを生成したら、完全なファイルをお使いのシステムでは、他のユーザーに紹介することができ(すぐに誰が記入して迷惑をお使いのシステムは、オプションで、場合もあることを確認し、指紋採取とその後のチェック)します。 ここではいくつかのより便利な機能があります:

  • tripwireのネットワーク接続をやり直すそのタスクを実行することができます。 したがって、データベースを生成することが可能になり、デジタル指紋ネットワーク全体をいくつかのインストール時にします。
  • c言語で書かれたtripwireの心に向かって移植します。 それは、多くのプラットフォームでコンパイルせずに変化します。
  • tripwireのマクロ処理言語が付いてくるので、お客様のタスクを自動化することができます。

tripwireのは、人気の高い効果的なツールと、そこにはいくつかのセキュリティ上の問題に共通のほとんどの整合性、またはすべての管理ツールです。 このような問題の1つに、データベースの値との関連性が生成され、維持されます。 初めから、 tripwireの著者の本をよく知った:

データベースの整合性チェッカーで使用されなければならないから保護の不正な変更;侵入者を変更することができ、データベース全体の整合性のチェックスキームを覆すことができます。

1つの方法は、データベースの保護を保存して読み取り専用のメディアです。 これにより、すべての可能性を改ざんします。 金spafford示唆して、データベースと、この方法で保護されるべき、と指摘しているものの、この現在のいくつかの現実的な可能性は、手続きの問題があります。 くらいかかって、どのくらいの頻度データベースに自動的に更新され、その大きさです。 確かに、仕掛けを実装する場合は、または同様のユーティリティを広大な規模(および設定を使用して、最も厳しい)は、読み取り専用データベースのメンテナンス手ごわいかもしれないします。 いつものように、下の方には、この休憩の間にトレードオフのレベルをおかけしリスクと妄想のデフォルトの設定および維持します。

tamu

タイガーtamuのスイート( a & m大学からテキサス州)は、コレクションのツールを大幅にenハンスのセキュリティボックスをオンにするunixます。 これらのツールで作成された家は、大規模な攻撃に対応して、インターネットからのクラッカーグループ協調します。 パッケージをアップグレードされた名前の変更やタラ(タイガー分析助手)します。 それを取り入れて、いくつかのスクリプトunixシステムをスキャンするために使用される問題があります。

お化け

お化けは、興味深い実装ファイルおよびシステムの整合性のチェックします。 それは両方の言語と通訳します。 言語によると、作者は、説明して、ファイルのプロパティを設定しており、通訳の説明にマッチしたかどうかを確認して実際のファイル、およびフラグを任意の例外があります。

その他のプラットフォーム上

チェッカーのために存在するファイルの整合性窓、 (実際には実装tripwireのwindows nt用)です。 チェッカーの整合性は必ずしも明示的に設計されたファイルシステムのチェックやネットワーク上の複数のマシンだ。 古いdosのいくつかのツールを使用するとwindowsのcrc checksummingとしてインデックスに登録して簡単かもしれませんので簡単に覆すことよりもツールのアルゴリズムを採用するのmd5と関連します。 大多数の使用を目的としてサプリメントをウィルススキャナ(変更を検知して以来、 infectableオブジェクトのウイルス感染を示すかもしれない)します。 これを無効にしていない潜在的有用性の整合性チェッカーを検出する手段としての可能性置換えシステムファイルのコードを侵害します。

しかし、変化検出が少ないwindowsプラットフォーム上で、その便利なシステムファイルにアクセスすることができ、複数のアプリケーションをインストールやアップグレードを合法的に置き換えられます。 シャープな描写には、多くの場合、他のプラットフォームとの間でのファイルシステムに属しているファイルをアプリケーションに所属しています。

また、変化検出のみ動作している特定の種類のバイナリ実行ファイルでも、文脈では、ウイルス検出します。 多くのウイルスやトロイの木馬に感染したファイルの主要な目的は、データが含まれます(表計算、ワープロファイルなど)にします。 しかし、このような修正されることを意図したファイルは、通常、ログファイルには、多くのマルチユーザーシステムで使われている可能性が悪意のある行動を追跡します。 明らかに、変化検出に基づいたと仮定して静的なファイルのままではありませんが、これらのインスタンスを出勤します。 いくつかのインスタンスを指定することが可能に変更することを意味するかもしれない違反(マクロにコードを追加し、単語のファイル、例えば) 。 このアプローチを必要とし、検査ソフトウェア"知っている"の詳細については、内部のファイルのみではなく、デジタル指紋ます。 それは必然的に深刻な問題が行政ではないので、現時点でのアプローチではありません井戸優遇します。

最も安全な防衛だけど、無許可の変更は、システムファイルをブロックするコードを積極的に署名され、読み取り専用メディア、およびその他の措置を先制します。

これは、記事を追加したマルセルボールドウィン

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions