Wie ich ein Trojan ermittele

Share

|

Trojans zu ermitteln ist einfach, wenn Sie ein statisches Suchmuster haben, zum auf abzulichten. Anti-Virus Software ermittelt routinemäßig (einige) Trojans das Verwenden viel die gleichen Muster-suchenden Techniken, die für das Ermitteln der Viren verwendet werden. Jedoch ist Kennzeichnung von einem bekannten Trojan nicht immer die beste Verteidigung. Abfragung von vorher unbekanntem Trojans ist auch (begrifflich) einfach, vorausgesetzt Sie immer die beste Sicherheit Praxis beibehalten haben (buchstäblich immer, mindestens insoweit das geschützte System).

Die meisten Abfragung Methoden auf traditionellen Multibenutzersystemen leiten von einer benannten Gegenstandversöhnung der Grundregel manchmal ab. Gegenstandversöhnung ist eine phantastische Weise des Bittens, "sind die gerechten Sachen noch die Weise I nach links sie?" Ist hier, wie es funktioniert: Gegenstände sind System Bereiche, wie Akten oder Verzeichnisse. Versöhnung ist der Prozeß des Vergleichens jener Gegenstände gegen eine Snapshotaufzeichnung der gleichen Gegenstände, die an einigem vorhergehendem Datum genommen werden, als der geschützte Gegenstand bekannt, um in einem vertrauenswürdigem zu sein, "säubern" Zustand.

Anmerkung

Ausschließlich sprechen, dort ist keine solche Zeit "des sauberen Zustandes". Sogar nimmt eine "Tagesnull" Installation der Systemsoftware auf ein reines System eine Programmsuite ohne Ersatz und Hintertüren an. Können Sie unbegrenztes Vertrauen in ein System legen Sie tun nicht Bau total vom Kratzer sich? "keine Menge der Quelle-Niveau Überprüfung oder der Nachforschung schützt Sie vor dem Verwenden untrusted Code," sagt Ken Thompson in seinen Reflexionen auf dem Vertrauen des Vertrauens. dieses Mittel wir oben geben sollte auf dieser Annäherung? Selbstverständlich nicht, aber wir sollten bedenken, daß, selbst wenn wir ein applica tion von nachgeforschtem Quellenprogramm errichten, wir nicht in der LageSEIN konnten, dem Compiler oder jedem snippet des Kleinteilmikrobefehles auf dem System Motherboard zu vertrauen.

Häufiger bekannt der Prozeß, der als Gegenstandversöhnung beschrieben wird, als Änderung Abfragung, Vollständigkeit Überprüfung oder Vollständigkeit Management. Jedoch sind diese Bezeichnungen nicht ausschließlich synonym.

Änderung Abfragung beschreibt einfach jede mögliche Technik, die den Benutzer zur Tatsache alarmiert, daß ein Gegenstand in etwas Respekt geändert worden ist.

Die Vollständigkeit Überprüfung hat die gleiche Kernbedeutung, aber wird häufig genommen, um eine hoch entwickeltere Annäherung, nicht nur zum Ermitteln der Änderung trotz der Versuche anzudeuten, sie zu verbergen, aber zum Sicherstellen, daß die berichtensoftware selbst nicht umgestürzt ist.

Vollständigkeit Management ist eine allgemeinere Bezeichnung. Es kann nicht nur die Abfragung der nicht autorisierten Änderungen, aber andere Methoden des Beibehaltens von von System Vollständigkeit einschließen. Solche Methoden können einiges oder die ganze folgende, in keinem bestimmten Auftrag mit einschließen:

• Beibehaltene verläßliche Unterstützungen
• Blockieren der unbekannten Eindringen an der Eintragung (zum Beispiel, durch das Laufen lassen der System Akten von den Read-only-Mitteln oder das Erneuern der System Akten von verläßlichen Read-only-Mitteln)
• Wartung der strengen Zugriffssteuerung
• Vorsichtige Anwendung der Herstellerflecken, zum der eben entdeckten Schlitze zu blockieren
• Ein fein ausgeführtes ändern-Management System mit nur unterzeichnetem (verläßlichem) Code.

Eine einfache Methode der Prüfung von von Akte Vollständigkeit, basiert auf Reports der Änderungen in den Akte Zustandinformationen. Unterschiedliche Akte Vollständigkeit Tests schwanken in Weltklugheit. Z.B. können Sie die Vollständigkeit einer Akte mit irgendwelchen der folgenden Indizes grob prüfen:

• Datumlast modified
• Akte Erstellungsdatum
• Akte Größe

Leider setzen keine dieser drei Methoden eine wirklich ausreichende Verteidigung gegen mehr als der gröbste Angriff fest. Jede Zeit wird eine Akte, seine Werte ändern geändert. Z.B. jede Zeit ist die Akte geöffnet, geändert, und gespeichert, taucht ein neues letzt-geändertes Datum auf. Jedoch kann dieses Datum leicht manipuliert werden. Erwägen Sie, diesen Akte Zeitstempel zu manipulieren. Ist es wie schwierig? Ändern Sie die System Zeit, wenden Sie gewünscht redigiert, archiviert die Akte und zurückstellt die System Zeit an. Verbessern Sie noch, erhalten Sie und außer den Date/timeinformationen mit Standardc Bibliotheksfunktionen (zum Beispiel), ändern oder ersetzen den Gegenstand und wieder.herstellen das Akte Änderung Datum. Auf einem Einbenutzersystem (wie MS-DOS) mit den minimalen oder keinen Zugriffssteuerungen, ist die Kodierung, die betroffen ist, trivial. Für diesen rea Sohn Zeit der Änderung ist zu überprüfen eine unzuverlässige Weise, Änderung zu ermitteln. Auch das letzte Datum der Änderung deckt nichts auf, wenn die Akte unverändert war (zum Beispiel, wenn es nur kopiert wurde, angesehen oder verschickt). Andererseits wenn es eine Verschiedenheit zwischen dem Änderung Datum gibt, das durch das System zurückgebracht werden und dem Datum der Änderung notiert durch ein System, das Dienstprogramm überwacht, es eine eindeutige Möglichkeit der böswilligen Tätigkeit gibt.

Eine andere Weise, die Vollständigkeit einer Akte zu überprüfen ist, indem sie seine Größe überprüft. Jedoch kann dieser Wert sehr leicht manipuliert werden, entweder, indem man die Akte selbst trimmt oder auffüllt oder indem man den Wert ändert, der durch das Betriebssystem berichtet wird.

Es gibt andere Indizes. Z.B. konnten grundlegende Prüfsummen verwendet werden. Jedoch obgleich Prüfsummen zuverlässiger als das Zeit- und Datumstempeln sind, können sie geändert werden, auch. Wenn Sie auf ein grundlegendes Prüfsumme System bauen (oder benutzen Sie Änderung Abfragung Software, die auf dem einfachen Checksumming beruht), ist es besonders wichtig, daß Sie Ihre Prüfsumme Liste in einem verläßlichen Klima führen. Dieses konnte auf einem unterschiedlichen Bediener bedeuten, oder sogar vertraute ein unterschiedliches Mittel, das nur durch Wurzel oder andere zugänglich ist, Benutzern. Prüfsummen arbeiten leistungsfähig und passend für die Überprüfung der Vollständigkeit einer gebrachten Akte, z.B. von Punkt A, B sind zu zeigen, aber nicht für hohe Sicherheit Anwendungen verwendbar. Sie einfach sind nicht entworfen, um gegen einen böswilligen Versuch zu schützen, sie umzustürzen, um falsche Informationen zurückzubringen.

Eine weniger leicht umgestürzte Technik bezieht mit ein, einen hoch entwickelteren digitalen Fingerabdruck für jede Akte mit verschiedenen Algorithmen zu errechnen. Eine Familie der Algorithmen, die die MD Reihe genannt werden, kann zu diesem Zweck benutzt werden. Eine der populärsten Implementierungen ist ein System, das MD5 genannt wird.

MD5

MD5 gehört einer Familie der Einwegdurcheinanderfunktionen, die Anzeige Auswahlalgorithmen genannt werden. Das System MD5 wird in RFC 1321 definiert, wie folgt:

Der Algorithmus nimmt als Eingang eine Anzeige der willkürlichen Länge und produziert wie Ausgang ein 128-bit "Fingerabdruck" oder "Anzeige Auswahl" des Einganges. Es wird, daß es rechnerisch infeasible ist, zwei Anzeigen zu produzieren, welche die gleiche Anzeige Auswahl haben, oder jede mögliche Anzeige zu produzieren vermutet, die eine gegebene prespecified Zielanzeige Auswahl hat. Der Algorithmus MD5 ist für digitale Unterzeichnunganwendungen bestimmt, in denen eine große Akte in einer sicheren Weise "komprimiert" sein muß, bevor sie mit einem privaten (geheimen) Schlüssel unter einem Öffentlichkeit-Schlüssel Schlüsselsystem wie RSA verschlüsselt wird.

Wenn Sie eine Akte durch MD5 laufen lassen, taucht der Fingerabdruck während ein Wert 32-character auf. Er sieht wie dieses aus:

2d50b2bffb537cc4e637dd1f07a187f4

Viele Aufstellungsorte, die UNIX Software-Gebrauch MD5 verteilen, digitale Fingerabdrücke für ihre Verteilungen zu erzeugen. Da Sie ihre Verzeichnisse grasen, können Sie den ursprünglichen digitalen Fingerabdruck jeder Akte überprüfen. Eine typische Verzeichnisauflistung konnte wie dieses aussehen:

MD5 (wn-1.17.8.tar.gz) = 
2f52aadd1defeda5bad91da8efc0f980

MD5 (wn-1.17.7.tar.gz) = 
b92916d83f377b143360f068df6d8116

MD5 (wn-1.17.6.tar.gz) = 
18d02b9f24a49dee239a78ecfaf9c6fa

MD5 (wn-1.17.5.tar.gz) = 
0cf8f8d0145bb7678abcc518f0cb39e9

MD5 (wn-1.17.4.tar.gz) = 
4afe7c522ebe0377269da0c7f26ef6b8

MD5 (wn-1.17.3.tar.gz) = 
aaf3c2b1c4eaa3ebb37e8227e3327856

MD5 (wn-1.17.2.tar.gz) = 
9b29eaa366d4f4dc6de6489e1e844fb9

MD5 (wn-1.17.1.tar.gz) = 
91759da54792f1cab743a034542107d0

MD5 (wn-1.17.0.tar.gz) = 
32f6eb7f69b4bdc64a163bf744923b41

Wenn Sie eine Akte von solch einem Bediener downloaden und finden, daß der digitale Fingerabdruck der downloadeten Akte unterschiedlich ist, gibt es eine gute Wahrscheinlichkeit, die etwas amiss ist.

Mit oder ohne MD5 ist Vollständigkeit Management ein komplizierter Prozeß. Verschiedene Dienstprogramme sind entworfen worden, um mit Vollständigkeit Management auf den komplizierten und Verbundsystemen zu unterstützen. Die folgenden Dienstprogramme wurden ursprünglich UNIX-gegründet, aber ähnliche Programme sind für Microsoft Betriebssysteme vorhanden.

Tripwire

Tripwire (geschrieben 1992) ist ein komplettes Akte Vollständigkeit Werkzeug. Tripwire ist gut entworfen, verstanden leicht und eingeführt leicht.

Die ursprünglichen Werte (digitale Fingerabdrücke) damit Akten überwacht werden können werden gehalten innerhalb einer Datenbankdatei. Daß Datenbankdatei im einfachen ASCII Format erreicht wird, wann immer eine Unterzeichnung errechnet werden oder überprüft werden muß.

Ideal würde ein Werkzeug wie Tripwire sofort nach einer frischen (Tag null) Installation benutzt. Dieses gibt Ihnen 100% Versicherung von Dateisystemvollständigkeit als Ausgangspunkt (oder fast 100%—erinnern Sie sich den an Ken Thompson Artikel). Sobald Sie die komplette Datenbank für Ihr Dateisystem erzeugen, können Sie andere Benutzer (wem vorstellen sofort Ihr System mit Trödel füllen, von der auf folgenden Überprüfungen beliebig auch Fingerabdrücke genommen werden und überprüft werden kann). Sind hier einige seiner nützlicheren Eigenschaften:

• Tripwire kann seine Aufgabe über Network Connections durchführen. Folglich ist es möglich, eine Datenbank der digitalen Fingerabdrücke für einige gesamte Netze zur Installation Zeit zu erzeugen.
• Tripwire wurde in C mit einem Verstand in Richtung zur Beweglichkeit geschrieben. Es kompiliert für viele Plattformen ohne Änderung.
• Tripwire kommt mit einer Makro-verarbeitensprache, damit Ihre Aufgaben automatisiert werden können.

Tripwire ist ein populäres und wirkungsvolles Werkzeug, aber es gibt einige Wertpapieremissionen, die für die meisten oder alle Vollständigkeit Führungsinstrumente allgemein sind. Eine solche Ausgabe bezieht auf der Datenbank von Werten, die erzeugt und beibehalten wird. Vom Anfang berücksichtigten Autoren Tripwires gut dieses:

Die Datenbank, die vom Vollständigkeit Kontrolleur benutzt wird, sollte vor nicht autorisierten Änderungen geschützt werden; ein Eindringling, der die Datenbank ändern kann, kann die gesamte Vollständigkeit umstürzen Entwurf überprüfend.

Eine Methode des Schützens der Datenbank soll sie auf Read-only-Mitteln speichern. Dieses beseitigt jede mögliche Wahrscheinlichkeit des Abgebens. Kim und Spafford schlagen vor, daß die Datenbank in dieser Weise geschützt wird, obgleich sie unterstreichen, daß diese einige praktische, Verfahrensprobleme darstellen könnte. Viel hängt nach, wie häufig die Datenbank aktualisiert ist, und seine Größe ab. Zweifellos wenn Sie Tripwire oder ein ähnliches Dienstprogramm auf einer breiten Skala (einführen und seine zwingendsten Einstellungen) benutzen, könnte die Wartung einer Read-only-Datenbank beeindruckend sein. Wie üblich, bricht dieses unten zu einem Kompromiß zwischen dem Niveau der Gefahr und der Unannehmlichkeit der Einstellung und des Beibehaltens der paranoiden Rückstellungen.

TAMU

Die TAMU Tigersuite (Texas A&M von der Universität) ist eine Ansammlung Werkzeuge die groß en hance die Sicherheit eines UNIX Kastens. Diese Werkzeuge wurden in-house, in Erwiderung auf einen umfangreichen Angriff von einer koordinierten Gruppe Internet-Crackern hergestellt. Das Paket ist verbessert worden und TARA umbenannte (Tiger-analytischen Forschung Assistenten). Es enthält eine Anzahl von den Indexen, die benutzt werden, um UNIX Systeme für Probleme abzulichten.

Hobgoblin

Hobgoblin ist eine interessante Implementierung von Akte und System-Vollständigkeit Überprüfung. Es ist eine Sprache und ein Interpret. Die Sprache, nach Ansicht der Autoren, beschreibt die Eigenschaften eines Satzes Akten und die Interpretüberprüfungen, ob die Beschreibung die tatsächlichen Akten zusammenbringt, und kennzeichnet alle mögliche Ausnahmen.

Auf Anderen Plattformen

Akte Vollständigkeit Kontrolleure bestehen für Windows, (tatsächlich gibt es eine Implementierung von Tripwire für Windows NT). Vollständigkeit Kontrolleure sind nicht notwendigerweise ausdrücklich entworfen, um mehrfache Maschinen und Dateisystemübernetze zu überprüfen. Einige ältere DOS und Windows Werkzeuge verwenden einfache zyklische Blockprüfung, die checksumming ist, wie ein Index und als Werkzeuge umzustürzen einfacher folglich sein konnte, die MD5 und in Verbindung stehende Algorithmen einsetzen. Die Majorität sind für Gebrauch als Ergänzung zu den Virusscannern bestimmt (da nachweisbare Änderungen an einem infectable Gegenstand Virusinfektion anzeigen konnten). Dieses erklärt nicht die mögliche Verwendungsfähigkeit der Vollständigkeit Kontrolleure da Mittel des Ermittelns des möglichen Ersatzes des verglichenen Codes für System Akten ungültig.

Jedoch ist Änderung Abfragung auf Windows Plattformen dadurch weniger bequem, daß die System Akten, die durch mehrfache Anwendungen erreicht werden, durch gesetzmaßige Installationen und Aufsteigen ersetzt werden können. Es gibt häufig eine schärfere Zeichnung auf anderen Plattformen zwischen den Akten, die dem System gehören und den Akten, die einer Anwendung gehören.

Ausserdem funktioniert Änderung Abfragung nur gut mit bestimmten Arten der binären executables, gleichmäßig im Kontext der Virusabfragung. Viele Viren und Trojans stecken Akten an deren Hauptzweck ist, Daten (Verteilungsbögen, Textverarbeitungsakten zu enthalten und so weiter). Jedoch sollen solche Akten normalerweise geändert werden, wie die Maschinenbordbuchakten, die auf vielen Multibenutzersystemen benutzt werden, um mögliche böswillige Tätigkeit aufzuspüren. Offenbar wird die Änderung Abfragung, die auf der Vermutung basiert, die Akten statisch bleiben, nicht in diesen Fällen arbeiten. In einigen Fällen ist es möglich, Änderungen zu spezifizieren, die einen Bruch (die Hinzufügung des Makrocodes zu einer Wortakte, zum Beispiel) bedeuten konnten. Diese Annäherung erfordert, daß die kontrollierende Software mehr über die internals der Akte "wissen", anstatt gerade sein digitaler Fingerabdruck. Das würde ernste administrative Schwierigkeiten zur Folge haben, also ist die Annäherung nicht zur Zeit bevorzugt wohles.

Die sicherste Verteidigung, obwohl, soll nicht autorisierte Änderung der System Akten durch das Codeunterzeichnen, die Read-only-Mittel und andere Vorkaufsmasse proaktiv blockieren.