Vorresti utilizzare misurato l'avvio , una tecnica per verificare una catena di fiducia dal BIOS tutte le fino al kernel. Una volta verificato il kernel, è possibile utilizzare una funzionalità chiamata IMA , l'Integrity Measurement Architecture, che consente il kernel per verificare gli eseguibili prima dell'esecuzione. Questo è simile ai correttori di integrità di base come AIDE , ma consente la prevenzione in tempo reale, non solo il rilevamento dopo il fatto. L'avvio misurato richiede la presenza di un TPM, che i sistemi più moderni hanno.
Se un sistema è in esecuzione da molto tempo e può essere contaminato, non esiste un modo semplice ed efficace per verificare la presenza di malware. Mentre alcune semplici utility come unhide potrebbero essere in grado di rilevare rootkit molto semplici, un rootkit ben progettato avrà agganciato il kernel e può efficacemente impedisce a qualsiasi strumento userspace di rilevarlo. In questi casi, dovrai scaricare la memoria del server su hardware specializzato e analizzarlo con un framework di analisi della memoria come Volatilità .
Per malware meno sofisticati che non utilizzano gli hook del kernel per nascondersi dallo userspace, le tecniche forensi digitali tradizionali possono funzionare bene. Un elenco non esaustivo di tecniche per rilevare manomissioni a livello di software da malware o intrusioni può includere:
-
Verifica dei log di sistema vitali per le voci sospette (preferibilmente da un backup offline).
-
Analisi dell'attività di rete per rilevare connessioni non autorizzate in entrata e in uscita.
-
Visualizzazione dell'albero del processo e dei moduli caricati per cercare entità impreviste.
-
Ottenere un elenco di file setuid e setgid per cercare quelli sospetti (ad esempio setuid sed
).
-
Verifica che i numeri di inode dei file di sistema critici siano sequenziali.
Ricorda, solo perché non trovi nulla di sospetto non significa che il malware non sia presente. Un malware particolarmente sofisticato può essere eseguito in un contesto di gestione del sistema invisibile al kernel o caricato su un dispositivo programmabile e compatibile con DMA come la GPU. Se il servizio è altamente sensibile, dovresti eseguire una reinstallazione completa se il malware è una possibilità concreta.