Su un sistema Linux è possibile rilevare keylogger sconosciuti? I keylogger che sono nuovi e non sono stati inseriti nel database di qualsiasi software di rilevamento?
Su un sistema Linux è possibile rilevare keylogger sconosciuti? I keylogger che sono nuovi e non sono stati inseriti nel database di qualsiasi software di rilevamento?
Sì, è possibile rilevare keylogger e altri malware sconosciuti, in genere tramite computer forensics (Volatility o EnCase sono ottimali software noto per farlo).
Il rilevamento di keylogger, come per virus e altri malware, può essere sostanzialmente ottenuto attraverso due metodi (io semplifico la chiarezza della risposta):
Ovviamente, un keylogger sconosciuto non verrà catturato dai prodotti di rilevamento basati sulla firma (può essere però, in caso di riutilizzo del codice per ex.), e dovrai fare affidamento sull'euristica o sul rilevamento comportamentale, che di solito genera un maggior numero di risultati falsi positivi.
Fortunatamente, la cosa è che gli sviluppatori di keylogger di solito si affidano a metodi ben noti per sviluppare il loro codice dannoso e che consentono al ricercatore di trovarli e rilevarli rapidamente. Tali metodi sono ad esempio:
In generale, se il tuo sistema è stato compromesso a livello kernel da un malware sconosciuto, l'unica cosa che puoi fare è eliminarla e reinstallarne una pulita, poiché le modifiche a livello del kernel possono essere quasi impossibili da rilevare se eseguite correttamente .
Puoi leggere questo ESET Paper sulla rilevazione di malware sconosciuti o questo di Symantec , o solo Google per uno dei tanti articoli interessanti / articolo su questo argomento.
Sì. Ad esempio, è possibile eseguire un controllo del codice per identificare il software fuori posto.
Oppure potresti essere in grado di rilevare i dati mentre ritorna verso l'aggressore.
L'elemento chiave è se conosci se c'è un keylogger (o hai un ragionevole sospetto) o se vuoi solo un modo per rilevarlo automaticamente.
Nel primo caso è molto probabile che un'indagine conduca a qualcosa: i dati tornano all'attaccante (come altri hanno sottolineato), i dispositivi sospetti, le prove di manomissione e così via.
In quest'ultimo caso la probabilità di rilevare automaticamente un keylogger è molto piccola: stai usando prodotti standard? Puoi misurare i tempi di tutti i componenti dei sistemi e confrontarli con valori noti e buoni? Riesci a isolare il sistema in una gabbia di Faraday per evitare keylogger passivi che trasmettono dati di ritorno quando sono irradiati (a-la NSA TAO)? Hai il controllo di tutti i livelli di astrazione dalla schermata di avvio alla GUI e puoi verificare crittograficamente il software che esegue (tramite una forma di avvio affidabile)?
Sì, ma normalmente non è un compito facile
Esiste un framework esattamente per questo chiamato Volatility: mazzo di strumenti scritti in python
scorrerà attraverso la memoria per determinare se alcuni keylogger sono in esecuzione dai un'occhiata al link
spero che aiuti
In teoria, è possibile interrompere tutte le applicazioni che si conoscono generando traffico di rete, quindi scrivere una piccola parte di codice per simulare molti eventi di digitazione delle chiavi e monitorare il traffico di rete per cercare un aumento delle conversazioni sul filo. Anche se il traffico viene crittografato e inviato in pacchetti alla rinfusa, puoi comunque avere un'idea generale di ciò che le tue applicazioni stanno facendo e indipendentemente dal fatto che tu fossi o meno il bersaglio di un software keylogger. Da quel momento in poi spetterà a te indagare ulteriormente, trovare l'app dannosa e agire per proteggerti attivamente e magari tornare indietro alla sua applicazione.
Leggi altre domande sui tag linux keyloggers