Esiste un modo per verificare la presenza di processi "vuoti" o di malware nascosti all'interno di processi "normali"

6

Recentemente mi sono imbattuto in un articolo su The Verge , incentrato sul concetto di produzione di malware commerciale e su come viene utilizzato in tutto il mondo. L'articolo mi ha presentato un numero di concetti interessanti (e preoccupanti) come "process hollowing", accesso remoto all'hardware nascosto al sistema / utente ecc.

Anche se non ho motivo di avere preoccupazioni simili menzionate nell'articolo, lavorare con i problemi IT e svilupparmi in Java, insieme ai recenti bug più importanti (shellshock, heartbleed ecc) e la crescente complessità del malware mi rende piuttosto paranoico sulle vulnerabilità dei sistemi che uso e amministro.

Ogni volta che noto un comportamento sospetto (come lentezza insolita, riattivazione casuale dal sonno, carica della CPU elevata mentre non si esegue attivamente il software impegnativo) tendo a controllare i processi in esecuzione sulle macchine mac / * nix. Finora non ho trovato nulla che catturasse la mia attenzione, ma ciò non significa che non ci siano processi "vuoti".

C'è un modo per indagare su un sistema OSX o Linux, per verificare se ci sia o meno un malware nascosto?

    
posta posdef 22.01.2015 - 14:03
fonte

2 risposte

2

Potresti trovare interessante uno strumento forense chiamato unhide!

link

unhide utilizza una varietà di tecniche per trovare (o mostrare) i processi nascosti e le porte TCP / UDP utilizzate da rootkit / LKM (moduli kernel caricabili). Supporta sia Linux / Unix & Finestre ...

Maggiori dettagli sulle tecniche utilizzate possono essere trovati sul sito web:

link

    
risposta data 02.03.2015 - 19:24
fonte
0

non esattamente .. La maggior parte dei Linux ha una cartella / proc / che ti permette di vedere vari dettagli sui processi. uno "potrebbe" creare una semplice mappa di binari o file aperti e aggiungerla manualmente a questo elenco finché non si dispone di un profilo di sistema abbastanza definitivo della macchina. Si potrebbe anche agganciare questo (con un report in un cron job da eseguire ogni minuto o pochi secondi.)

Questo ovviamente richiede che tu capisca cosa fa effettivamente ogni processo in esecuzione e quali file dovrebbe accedere. e richiederà un po 'di lavoro iniziale

  1. per scrivere la suddetta applicazione
  2. per autorizzare i processi mentre il sistema sta ancora imparando.

potresti anche estenderlo all'attività di rete di moniter.

In questo modo sapresti almeno se sei stato comprimato.

    
risposta data 25.02.2015 - 08:07
fonte

Leggi altre domande sui tag