Pemindai rootkit berbasis tanda tangan?

Saat ini satu-satunya pemindai rootkit yang saya tahu harus diinstal pada mesin sebelum rootkit sehingga mereka dapat membandingkan perubahan file dll (misalnya: chkrootkitdan rkhunter), tetapi yang benar-benar perlu saya lakukan adalah dapat memindai mesin saya dan mesin lain dari LiveUSB karena jika rootkit cukup baik maka ia akan mengambil alih program deteksi rootkit juga.

Jadi apakah ada pemindai rootkit berbasis tanda tangan untuk Ubuntu / Linux yang bisa saya instal pada LiveUSB dan gunakan untuk memindai mesin yang andal yang saya tancapkan tanpa harus memantau perilaku atau membandingkan file dari tanggal sebelumnya?

AIDE ( A dvanced saya ntruder D etection E nvionment) adalah pengganti untuk tripwiredisebutkan dalam jawaban lain di sini. Dari wikipedia :

Lingkungan Deteksi Intrusi Tingkat Lanjut (AIDE) pada awalnya dikembangkan sebagai pengganti gratis untuk Tripwire yang dilisensikan dengan ketentuan GNU General Public License (GPL).

Pengembang utama diberi nama Rami Lehti dan Pablo Virolainen, yang keduanya terkait dengan Universitas Teknologi Tampere, bersama dengan Richard van den Berg, seorang konsultan keamanan independen Belanda. Proyek ini digunakan pada banyak sistem mirip Unix sebagai kontrol dasar yang murah dan sistem deteksi rootkit.

Fungsionalitas

AIDE mengambil "snapshot" dari keadaan sistem, mendaftar hash, waktu modifikasi, dan data lain mengenai file yang ditentukan oleh administrator. "Cuplikan" ini digunakan untuk membangun basis data yang disimpan dan dapat disimpan pada perangkat eksternal untuk diamankan.

Ketika administrator ingin menjalankan tes integritas, administrator menempatkan basis data yang sebelumnya dibangun di tempat yang dapat diakses dan memerintahkan AIDE untuk membandingkan database dengan status sebenarnya dari sistem. Jika terjadi perubahan pada komputer antara pembuatan snapshot dan pengujian, AIDE akan mendeteksinya dan melaporkannya ke administrator. Atau, AIDE dapat dikonfigurasi untuk berjalan pada jadwal dan melaporkan perubahan setiap hari menggunakan teknologi penjadwalan seperti cron, yang merupakan perilaku default paket Debian AIDE. 2

Ini terutama berguna untuk tujuan keamanan, mengingat bahwa setiap perubahan berbahaya yang mungkin terjadi di dalam sistem akan dilaporkan oleh AIDE.

Sejak artikel wikipedia ditulis, pemilik saat itu Richard van den Berg (2003-2010) telah digantikan oleh pemilik baru Hannes von Haugwitz dari 2010 hingga sekarang.

Halaman beranda AIDE menyatakan Debian didukung yang berarti aplikasi dapat diinstal di ubuntu dengan predikabel:

sudo apt install aide

Sejauh portabilitas dan dukungan USB drive homepage selanjutnya mengatakan:

Itu membuat database dari aturan ekspresi reguler yang ditemukannya dari file config. Setelah database ini diinisialisasi, ini dapat digunakan untuk memverifikasi integritas file. Ini memiliki beberapa algoritma intisari pesan (lihat di bawah) yang digunakan untuk memeriksa integritas file. Semua atribut file yang biasa juga dapat diperiksa untuk ketidakkonsistenan. Itu bisa membaca database dari versi yang lebih lama atau lebih baru. Lihat halaman manual dalam distribusi untuk info lebih lanjut.

Ini menyiratkan bagi saya Anda bisa memiliki database tanda tangan pada pen drive Anda bersama dengan aplikasi pada penyimpanan persisten langsung USB. Saya tidak yakin AIDE cocok dengan kebutuhan Anda, tetapi karena ini adalah pengganti tripwirefavorit Anda saat ini, maka perlu diperhatikan.

Mengingatkan saya pada tripwire yang membuat checksum kriptografi dari file yang Anda tentukan. Instal salinan sistem yang Anda periksa dari sumber yang dikenal baik (misalnya DVD), instal pembaruan yang sama dari sistem target), minta tripwire membuat file checksum. Salin file checksum tripwire ke sistem target, minta tripwire membandingkan file checksum dengan file sistem target.

Pembaruan / pemutakhiran / pemasangan / file konfigurasi khusus sistem yang tidak selaras tentu saja akan ditandai / ditandai sebagai diubah.

Pembaruan 2018-05-06:

Saya juga harus menambahkan bahwa sistem target harus diperiksa offline. Jika target telah dikompromikan, perangkat keras, boot firmware, os kernel, driver kernel, pustaka sistem, binari mungkin telah dikompromikan dan mengganggu atau mengembalikan false positive. Bahkan berlari melintasi jaringan ke sistem target mungkin tidak aman karena sistem target (yang dikompromikan) akan memproses paket jaringan, sistem file, perangkat blok, dll. Secara lokal.

Skenario sebanding terkecil yang muncul dalam pikiran adalah kartu pintar (EMV digunakan dalam kartu kredit, PIV digunakan oleh pemerintah federal, dll). Mengabaikan antarmuka nirkabel, dan semua perlindungan hw / listrik / rf, antarmuka kontak pada dasarnya adalah port serial, tiga kabel, atau dua kabel. API terstandarisasi dan kotak putih sehingga semua orang setuju itu tahan. Apakah mereka melindungi data dalam perjalanan, dalam memori runtime, diam di memori flash?

Tetapi implementasinya adalah sumber tertutup. Backdoor mungkin ada di perangkat keras untuk menyalin seluruh runtime dan mem-flash memori. Orang lain dapat memanipulasi data dalam perjalanan antara perangkat keras dan memori internal, OS Kartu Pintar, atau I / O dari / ke kartu. Bahkan jika hw / fw / sw / compiler adalah open source, Anda harus mengaudit semuanya pada setiap langkah dan Anda masih bisa melewatkan sesuatu yang Anda / orang lain tidak pikirkan. Paranoia dapat mengirim Anda ke ruang karet putih.

Maaf karena melarikan diri dengan tangen paranoia. Serius, keluarkan target drive untuk diuji. Anda hanya perlu khawatir tentang drive target hw / fw itu. Lebih baik lagi, keluarkan piring-piring HDD / chip flash SSD untuk menguji (dengan asumsi sistem pengujian Anda berwarna emas). ;)