Ksec - my Linux Defense System

Kernel viruses/rootkits are dificult to detect, but admins change the kernel frequently and the attacker loose the rootkit.

People infect user-space, and pre-root attacks are also in user-space, then a system to log user-space dangerous activities will be very useful.

A year ago I coded a defense system that is now public.
Is simple but useful, I hook open, socketcall, execve and unlink, for example if your "ls" is connecting to internet you will see:

Dec 1 13:44:51 hostname kernel: ls CONNECT(80.33.158.80:1337 fam:2)

If your ls Opening for writting:

Dec 1 13:44:25 pwn3d kernel: ls OPEN(/dev/.shm/.sniff w)

try the Defense System here

Comentarios

Sergio Arcos ha dicho que…
Al final todo es proporcional, pero una capa de más en el sistema nunca sobra.

Sige en ello, bonito blog!

Saludos :)
Jesús ha dicho que…
que quieres decir con proporcional?

salu2
Sergio Arcos ha dicho que…
Proporcional en tema de daño/tiempo, donde el daño significa las perdidas que te pueden ocasionar (no es lo mismo que te metan un nuevo servicio como proceso nuevo en usuario nobody a que te metan un rootkit hasta el fondo) y donde el tiempo significa cuanto un atacante ha podido estar investigando sobre ese sistema. Es usual hacer un primer ataque para recopilar informacion (versiones, etc) y despues personalizarte el ataque. Entonces es relativamente facil lograr saltarse este sistema si obtienes root y vuelves a hookear las syscalls, claro, siempre que sepas que eso esta ahi xD (o borrar los logs directamente xD [eso si, añadir logs falsos mola mas xD]). A esto me refereia con el "no sobran capas". No le quito merito a esto eh! ;D

Un saludito y feliz navidad, jeje
Jesús ha dicho que…
Tienes toda la razon, pueden pillar root antes que vea los logs, y los borran, infectan kernel etc ..

Mas que nada, cuando tu "user space" hace cosas raras, con esto puedes ver bien k hace.

por ej k si de repente el firefox emite conexiones a una web concreta (virus javascript) o si tu cliente jabber empieza a borrar ficheros :) etc ..

Para cuando estas en modo paranoide, y ves bichos en todos los procesos :) va bien.

salu2