LMD Linux 恶意软件检测工具开源项目

我要开发同款
匿名用户2015年10月30日
40阅读
开发技术PerlSHELL
所属分类安全相关、管理和监控
授权协议GPLv2

作品详情

Linux恶意软件检测工具(LMD)是一个GNUGPLv2许可下发布的Linux恶意软件扫描器,其设计理念是是针对在共享主机环境中所面临的威胁。它使用来自网络边界的入侵检测系统的威胁数据,提取当前被经常用于攻击的恶意软件,并针对检测到的恶意软件生成标识。此外,数据的威胁也来自于用户通过LMD上传功能提交的恶意软件,以及从恶意软件联盟中获取到的资源。LMD使用的签名,是MD5散列和HEX模式匹配,他们也能较为容易地输出到其他的检测工具如ClamAV。

LMD=LinuxMalwareDetection

这款工具的出现背景是因为当前支持对Linux系统恶意程序检测的开源或者免费工具,有着较高的误报和漏报率。许多防病毒产品对于linux平台上的恶意程序检测却有着一个较差的威胁检测跟踪记录,特别是针对在共享的主机环境。

共享主机环境的威胁环境相比于其他环境是较为独特的,标准的AV产品检测组件,他们的检测目标主要是OS级别的木马,rootkit和传统的感染文件病毒,但是却忽略了越来越多的用户帐户级上的恶意软件,而这些一般被攻击者作为攻击的平台或者跳板。

从目前来看,支持多用户共享环境的恶意软件检测、修复的商业产品依然表现糟糕。通过LMD1.5检测,可针对8883种恶意软件的哈希值进行分析识别,而相比之下,近30款商业防病毒和恶意软件的产品的表现,却令人不太满意。检测结果如下,

DETECTED KNOWN MALWARE: 1951% AV DETECT (AVG): 58% AV DETECT (LOW): 10% AV DETECT (HIGH): 100UNKNOWN MALWARE: 6931

从上面的数据我们可以看到,有6931种(约占总数78%)的威胁,未被商业防病毒和恶意软件产品发现。而检测到的1951个威胁中,商业防病毒和恶意软件产品的平均检出率为58%,较低和较高的检出率分别为10%和100%。从以上的数据看,目前的多用户共享环境恶意程序威胁检测应该是开发的重点。

功能特点

-文件MD5哈希值检测,快速识别威胁-用于识别威胁变量的HEX模式匹配-拥有对模糊威胁进行检测的统计分析组件(例如:Base64编码)-作为性能改进的扫描引擎,与ClamAV等工具进行联合检测-通过-u|-update进行签名更新-通过-d|-update更新集成的版本功能 -通过扫描最近的选项来扫描在一定时间内已添加/改变的文件-全路径扫描-上传可疑的恶意软件到rfxn.com对其哈希值进行重查-查看扫描结果的报表系统-在安全的方式中存储威胁的隔离队列-隔离批处理的选项,以隔离当前或过去的扫描结果-隔离恢复选项,将文件还原到原路径-针对恶意代码注入的字符串的清除规则-清除批处理选项,可清除之前的扫描报告-清除规则针对Base64和gzinflate-每日定时对过去24小时用户homedirs上进行扫描-基于内核inotify实时对文件的创建/修改进行扫描-基于内核inotify监控标准输入或文件-基于内核inotify监控系统用户的操作特征-基于内核inotify监控可配置的用户的HTML root

数据来源

LMD不仅仅是基于签名和哈希值地对恶意软件进行检测,它也收集外部其他环境的威胁以及其他被检测到的威胁,来提高它本身的检测能力。

针对恶意软件的数据,用于生成LMD签名主要有四个来源:

1、来自网络边界的IPS:网络管理作为日常工作的一部分,因为其主要是网站相关的,比如网站服务器经常会收到大量的滥用事件,而所有这一切都是通过网络边界的IPS进行记录。IPS事件被进行处理,从其中提取到恶意URL,将编码成playload和Base64/GZIP的滥用数据进行解码,最终对恶意软件进行检索,分类,然后生成适签名。LMD的签名,绝大多数是来自IPS提取的数据。

2、来自社区联盟数据:数据的收集是从多个恶意社区网站如clean-mx和malwaredomainlist,然后对新的恶意软件进行处理检索,分类审查,然后生成签名。

3、来自ClamAV:从ClamAV上的Hex和MD5签名监测到相关更新,并适用于低的目标用户群加入到LMD中。而到目前为止,已经有大约400个签名从ClamAV移植到LMD项目,而LMD项目也贡献回ClamAV超过1100个签名,目前也继续在现有基础上这么做。

4、来自用户提交:LMD具有校验功能,允许用户提交可疑的恶意软件进行审查,这已经成为一个非常受欢迎的功能,它平均每周可提交30-50个可疑恶意软件。

威胁检测

截止到目前为止,LMD1.5共有10822个(8908MD5/1914)签名。其中检测到的60大威胁如下,

base64.inject.unclassed     perl.ircbot.xscanbin.dccserv.irsexxy         perl.mailer.yellsoftbin.fakeproc.Xnuxer         perl.shell.cbLorDbin.ircbot.nbot             perl.shell.cgitelnetbin.ircbot.php3             php.cmdshell.c100bin.ircbot.unclassed        php.cmdshell.c99bin.pktflood.ABC123         php.cmdshell.cihbin.pktflood.osf            php.cmdshell.egyspiderbin.trojan.linuxsmalli      php.cmdshell.fx29c.ircbot.tsunami            php.cmdshell.ItsmYarDexp.linux.rstb              php.cmdshell.Ketemuexp.linux.unclassed         php.cmdshell.N3tshellexp.setuid0.unclassed       php.cmdshell.r57gzbase64.inject             php.cmdshell.unclassedhtml.phishing.auc61         php.defash.bunohtml.phishing.hsbc          php.exe.globalsperl.connback.DataCha0s     php.include.remoteperl.connback.N2            php.ircbot.InsideTeamperl.cpanel.cpwrap          php.ircbot.lolwutperl.ircbot.atrixteam       php.ircbot.sniperperl.ircbot.bRuNo           php.ircbot.vj_denieperl.ircbot.Clx             php.mailer.10hackperl.ircbot.devil           php.mailer.bombamperl.ircbot.fx29            php.mailer.PostManperl.ircbot.magnum          php.phishing.AliKayperl.ircbot.oldwolf         php.phishing.mrbrainperl.ircbot.putr4XtReme     php.phishing.ReZulTperl.ircbot.rafflesia       php.pktflood.oeyperl.ircbot.UberCracker     php.shell.rc99perl.ircbot.xdh             php.shell.shellcomm

实时监控

Inotify监控功能的目的是监测路径/用户实时文件创建/修改/移动操作。此选项需要内核支持inotify_watch(config_inotify)。如果您运行的是CentOS4,你应该考虑进行升级:

升级路径:https://www.rfxn.com/upgrade-centos-4-8-to-5-3/ 

针对监控对象(用户/路径/文件)的不同,分为三种不同的监控模式,

e.g: maldet --monitor userse.g: maldet --monitor /root/monitor_pathse.g: maldet --monitor /home/mike,/home/ashto

内容转载自FreeBuf.com

声明:本文仅代表作者观点,不代表本站立场。如果侵犯到您的合法权益,请联系我们删除侵权资源!如果遇到资源链接失效,请您通过评论或工单的方式通知管理员。未经允许,不得转载,本站所有资源文章禁止商业使用运营!
下载安装【程序员客栈】APP
实时对接需求、及时收发消息、丰富的开放项目需求、随时随地查看项目状态

评论