🛡️ AgentSmith HIDS – обнаружение вторжений на основе хоста |

🛡️ AgentSmith HIDS – обнаружение вторжений на основе хоста

Обзоры

AgentSmith HIDS – это мощный компонент системы обнаружения вторжений на основе хоста, обладающий функциями антируткита и позволяющий собирать информацию о хосте с высокой производительностью.

Технически AgentSmith-HIDS не является системой обнаружения вторжений на хосте (HIDS) из-за отсутствия движка правил и функции обнаружения.

Однако его можно использовать в качестве высокопроизводительного “агента сбора информации о хосте” в составе собственного решения HIDS.

Комплексность информации, которую может собирать этот агент, была одним из наиболее важных показателей при разработке проекта, поэтому он был создан для работы в стеке ядра и получил огромные преимущества по сравнению с функциями в стеке пользователя, такие как:

  • Для повышения производительности – сбор необходимой информации осуществляется в стеке ядра, что позволяет избежать дополнительных дополнительных действий, таких как обход ‘/proc’; а для повышения производительности транспортировки данных сбор информации осуществляется через разделяемую оперативную память, а не через сетевой канал.
  • Сложность обхода – сбор информации осуществляется с помощью специально разработанного диска ядра, что делает практически невозможным обход обнаружения вредоносных программ типа руткитов, которые могут намеренно скрывать себя.
  • Простота интеграции – AgentSmith-HIDS был создан для интеграции с другими приложениями и может использоваться не только как средство безопасности, но и как хороший инструмент мониторинга или даже детектор ваших активов. Агент может собирать для вас данные о пользователях, файлах, процессах и Интернет-соединениях, поэтому представим, что при его интеграции с CMDB вы можете получить полную карту, состоящую из вашей сети, хоста, контейнера и бизнеса (даже зависимостей). А если у вас под рукой еще и инструмент для аудита баз данных? Карта может быть расширена и содержать взаимосвязи между вашей БД, пользователем БД, таблицами, полями, приложениями, сетью, хост-контейнерами и т.д. Если подумать о возможности интеграции с системами обнаружения сетевых вторжений и/или анализа угроз и т.д., то можно добиться и более высокой прослеживаемости. Это просто не устаревает.
  • Стек ядра + стек пользователя – AgentSmith-HIDS также предоставляет модуль стека пользователя для дальнейшего расширения функциональности при работе с модулем стека ядра.

Сетевые системы обнаружения вторжений NIDS, HIDS. Виды, различия, плюсы и минусы

Особенности AgentSmith HIDS

  • Модуль стека ядра позволяет выполнять запросы execve, connect, process inject, create file, DNS query, load LKM behaviors через Kprobe, а также осуществлять мониторинг контейнеров благодаря совместимости с пространством имен Linux.
  • Модуль User stack использует встроенные функции обнаружения, включая запросы списка пользователей, списка прослушиваемых портов, списка системных RPM, заданий по расписанию.
    AntiRootkit,From: Tyton , на данный момент добавлена функция PROC_FILE_HOOK,SYSCALL_HOOK,LKM_HIDDEN,INTERRUPTS_HOOK, но только для Kernel > 3.10.
  • Мониторинг изменения кред (кроме sudo/su/sshd)
  • Мониторинг входа пользователей в систему

Использование AgentSmith

{

    "uid":"0",

    "data_type":"59",

    "run_path":"/tmp",

    "exe":"/opt/ltp/testcases/bin/growfiles",

    "argv":"growfiles -W gf26 -D 0 -b -i 0 -L 60 -u -B 1000b -e 1 -r 128-32768:128 -R 512-64000 -T 4 -f gfsmallio-35861 -d /tmp/ltp-Ujxl8kKsKY ",

    "pid":"35861",

    "ppid":"35711",

    "pgid":"35861",

    "tgid":"35861",

    "comm":"growfiles",

    "nodename":"test",

    "stdin":"/dev/pts/1",

    "stdout":"/dev/pts/1",

    "sessionid":"3",

    "sip":"192.168.165.1",

    "sport":"61726",

    "dip":"192.168.165.128",

    "dport":"22",

    "sa_family":"1",

    "pid_tree":"1(systemd)->1384(sshd)->2175(sshd)->2177(bash)->2193(fish)->35552(runltp)->35711(ltp-pan)->35861(growfiles)",

    "tty_name":"pts1",

    "socket_process_pid":"2175",

    "socket_process_exe":"/usr/sbin/sshd",

    "SSH_CONNECTION":"192.168.165.1 61726 192.168.165.128 22",

    "LD_PRELOAD":"/root/ldpreload/test.so",

    "user":"root",

    "time":"1579575429143",

    "local_ip":"192.168.165.128",

    "hostname":"test",

    "exe_md5":"01272152d4901fd3c2efacab5c0e38e5",

    "socket_process_exe_md5":"686cd72b4339da33bfb6fe8fb94a301f"

}
СКАЧАТЬ
см. также:
Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий