È possibile rilevare la minaccia solo con le informazioni sul file?

Naviga le tue risposte
0

È possibile rilevare la minaccia solo con le informazioni sui file di un file come hash del file (md5, sha1, sha256, ecc.), dimensione del file, tipo mime, ecc con ClamAV o Comodo AV per linux con comando shell?

È evidente che qui il file è assente, sono presenti solo tutte le informazioni di quel file.

    
posta Touhid 15.02.2015 - 15:01
fonte

3 risposte

2

La mia risposta presuppone che tu stia chiedendo questo per un sistema di produzione, e che non lo stai chiedendo perché stai iniziando a imparare a essere un ricercatore anti-virus.

Puoi farlo?

Sì, come altre risposte hanno dichiarato ci sono molti database che elencano gli hash, o possono identificare una minaccia con un hash.

ma dovrebbe essere l'unica linea di difesa?

Tuttavia, vi è un avvertimento importante a questo approccio. Pensi che il file in questione provenga da una minaccia automatica o non molto intelligente / persistente o provenga da una minaccia intelligente e persistente?

Se pensi che il file provenga da una campagna automatizzata (come un massiccio attacco di phishing) allora, sì, questo approccio potrebbe aiutarti.

Gli aggressori intelligenti continueranno a provare

Tuttavia, se si sospetta che dietro questo attacco sia presente un essere umano intelligente, modificherà il suo file in modo che non venga visualizzato su un database hash. Ci sono molti modi di "frugare" in un antivirus per vedere cosa permetterà. Gli aggressori intelligenti sono esperti nel software AV ingannatore.

Il mio consiglio per te

  • Indipendentemente dall'origine dei file, assicurati di avere un buon antivirus in esecuzione. Soprattutto se il tuo sistema deve prendere file casuali da Internet.
  • Se il tuo sistema DEVE accettare file arbitrari, assicurati di convalidarli prima di accettarli. Controlla la dimensione, l'estensione, le intestazioni, qualunque cosa tu possa.
  • E controlla anche che non sia possibile accedere a quei file in modi non previsti.
  • Se parliamo di un sistema desktop, assicurati di fare tutto il possibile per assicurarti che le persone non visitino siti Web funky o facciano clic su collegamenti sospetti.
  • Assicurati che tutti abbiano il loro firewall attivo (i firewall sono difficili da ingannare rispetto a AV)
  • Utilizza un IDS (anche più difficile da ingannare di AV)
  • Se possibile, prova un ID basato su host come link - questo scannerizzerà anche i tuoi registri e renderà la vita molto difficile un attaccante.
  • Se sei su Redhat / Cent assicurati di usare il loro sistema di permessi a grana fine.

Non utilizzare il controllo hash come singola linea di difesa. Sarai cullato da un falso senso di sicurezza

    
risposta data 15.02.2015 - 18:56
fonte
2

Fai una rapida ricerca su google e trovi molti database. OWASP ne offre uno con un'interfaccia abbastanza semplice: Archivio Hash di file OWASP . Basta inviare una query DNS con l'hash in MD5 o SHA-1 anteposto a hash.sapao.net (vedere "Test del sistema"). Se desideri eseguire un numero elevato di query, ti suggerisco di creare una copia della loro immagine Amazon AWS disponibile gratuitamente e di eseguire query locali per ridurre il carico sui loro server.

Questo non usa ClamAV o Comodo AV, ma puoi usare "dig" per la query DNS e semplicemente "grep" il risultato.

    
risposta data 15.02.2015 - 17:58
fonte
1

Puoi inviare l'hash a VirusTotal selezionando 'Cerca' e inserendo l'hash. VirusTotal restituirà lo stato se è già stato visto il file - se non lo è, potresti essere sfortunato.

    
risposta data 15.02.2015 - 17:06
fonte

Leggi altre domande sui tag

Come proteggersi da jQuery preventDefault phishing? Come un utente esperto decide che un download è sicuro? [chiuso]