lunes, diciembre 01, 2008

Ksec - my Linux Defense System

Kernel viruses/rootkits are dificult to detect, but admins change the kernel frequently and the attacker loose the rootkit.

People infect user-space, and pre-root attacks are also in user-space, then a system to log user-space dangerous activities will be very useful.

A year ago I coded a defense system that is now public.
Is simple but useful, I hook open, socketcall, execve and unlink, for example if your "ls" is connecting to internet you will see:

Dec 1 13:44:51 hostname kernel: ls CONNECT(80.33.158.80:1337 fam:2)

If your ls Opening for writting:

Dec 1 13:44:25 pwn3d kernel: ls OPEN(/dev/.shm/.sniff w)

try the Defense System here

4 comentarios:

Sergio Arcos dijo...

Al final todo es proporcional, pero una capa de más en el sistema nunca sobra.

Sige en ello, bonito blog!

Saludos :)

Jesús dijo...

que quieres decir con proporcional?

salu2

Sergio Arcos dijo...

Proporcional en tema de daño/tiempo, donde el daño significa las perdidas que te pueden ocasionar (no es lo mismo que te metan un nuevo servicio como proceso nuevo en usuario nobody a que te metan un rootkit hasta el fondo) y donde el tiempo significa cuanto un atacante ha podido estar investigando sobre ese sistema. Es usual hacer un primer ataque para recopilar informacion (versiones, etc) y despues personalizarte el ataque. Entonces es relativamente facil lograr saltarse este sistema si obtienes root y vuelves a hookear las syscalls, claro, siempre que sepas que eso esta ahi xD (o borrar los logs directamente xD [eso si, añadir logs falsos mola mas xD]). A esto me refereia con el "no sobran capas". No le quito merito a esto eh! ;D

Un saludito y feliz navidad, jeje

Jesús dijo...

Tienes toda la razon, pueden pillar root antes que vea los logs, y los borran, infectan kernel etc ..

Mas que nada, cuando tu "user space" hace cosas raras, con esto puedes ver bien k hace.

por ej k si de repente el firefox emite conexiones a una web concreta (virus javascript) o si tu cliente jabber empieza a borrar ficheros :) etc ..

Para cuando estas en modo paranoide, y ves bichos en todos los procesos :) va bien.

salu2