AgentSmith HIDS – это мощный компонент системы обнаружения вторжений на основе хоста, обладающий функциями антируткита и позволяющий собирать информацию о хосте с высокой производительностью.
Технически AgentSmith-HIDS не является системой обнаружения вторжений на хосте (HIDS) из-за отсутствия движка правил и функции обнаружения.
Однако его можно использовать в качестве высокопроизводительного “агента сбора информации о хосте” в составе собственного решения HIDS.
Комплексность информации, которую может собирать этот агент, была одним из наиболее важных показателей при разработке проекта, поэтому он был создан для работы в стеке ядра и получил огромные преимущества по сравнению с функциями в стеке пользователя, такие как:
- Для повышения производительности – сбор необходимой информации осуществляется в стеке ядра, что позволяет избежать дополнительных дополнительных действий, таких как обход ‘/proc’; а для повышения производительности транспортировки данных сбор информации осуществляется через разделяемую оперативную память, а не через сетевой канал.
- Сложность обхода – сбор информации осуществляется с помощью специально разработанного диска ядра, что делает практически невозможным обход обнаружения вредоносных программ типа руткитов, которые могут намеренно скрывать себя.
- Простота интеграции – AgentSmith-HIDS был создан для интеграции с другими приложениями и может использоваться не только как средство безопасности, но и как хороший инструмент мониторинга или даже детектор ваших активов. Агент может собирать для вас данные о пользователях, файлах, процессах и Интернет-соединениях, поэтому представим, что при его интеграции с CMDB вы можете получить полную карту, состоящую из вашей сети, хоста, контейнера и бизнеса (даже зависимостей). А если у вас под рукой еще и инструмент для аудита баз данных? Карта может быть расширена и содержать взаимосвязи между вашей БД, пользователем БД, таблицами, полями, приложениями, сетью, хост-контейнерами и т.д. Если подумать о возможности интеграции с системами обнаружения сетевых вторжений и/или анализа угроз и т.д., то можно добиться и более высокой прослеживаемости. Это просто не устаревает.
- Стек ядра + стек пользователя – AgentSmith-HIDS также предоставляет модуль стека пользователя для дальнейшего расширения функциональности при работе с модулем стека ядра.
Сетевые системы обнаружения вторжений NIDS, HIDS. Виды, различия, плюсы и минусы
Особенности AgentSmith HIDS
- Модуль стека ядра позволяет выполнять запросы execve, connect, process inject, create file, DNS query, load LKM behaviors через Kprobe, а также осуществлять мониторинг контейнеров благодаря совместимости с пространством имен Linux.
- Модуль User stack использует встроенные функции обнаружения, включая запросы списка пользователей, списка прослушиваемых портов, списка системных RPM, заданий по расписанию.
AntiRootkit,From: Tyton , на данный момент добавлена функция PROC_FILE_HOOK,SYSCALL_HOOK,LKM_HIDDEN,INTERRUPTS_HOOK, но только для Kernel > 3.10. - Мониторинг изменения кред (кроме sudo/su/sshd)
- Мониторинг входа пользователей в систему
Использование AgentSmith
{
"uid":"0",
"data_type":"59",
"run_path":"/tmp",
"exe":"/opt/ltp/testcases/bin/growfiles",
"argv":"growfiles -W gf26 -D 0 -b -i 0 -L 60 -u -B 1000b -e 1 -r 128-32768:128 -R 512-64000 -T 4 -f gfsmallio-35861 -d /tmp/ltp-Ujxl8kKsKY ",
"pid":"35861",
"ppid":"35711",
"pgid":"35861",
"tgid":"35861",
"comm":"growfiles",
"nodename":"test",
"stdin":"/dev/pts/1",
"stdout":"/dev/pts/1",
"sessionid":"3",
"sip":"192.168.165.1",
"sport":"61726",
"dip":"192.168.165.128",
"dport":"22",
"sa_family":"1",
"pid_tree":"1(systemd)->1384(sshd)->2175(sshd)->2177(bash)->2193(fish)->35552(runltp)->35711(ltp-pan)->35861(growfiles)",
"tty_name":"pts1",
"socket_process_pid":"2175",
"socket_process_exe":"/usr/sbin/sshd",
"SSH_CONNECTION":"192.168.165.1 61726 192.168.165.128 22",
"LD_PRELOAD":"/root/ldpreload/test.so",
"user":"root",
"time":"1579575429143",
"local_ip":"192.168.165.128",
"hostname":"test",
"exe_md5":"01272152d4901fd3c2efacab5c0e38e5",
"socket_process_exe_md5":"686cd72b4339da33bfb6fe8fb94a301f"
}
СКАЧАТЬ
см. также:
