AgentSmith HIDS – это мощный компонент системы обнаружения вторжений на основе хоста, обладающий функциями антируткита и позволяющий собирать информацию о хосте с высокой производительностью.
Технически AgentSmith-HIDS не является системой обнаружения вторжений на хосте (HIDS) из-за отсутствия движка правил и функции обнаружения.
Однако его можно использовать в качестве высокопроизводительного “агента сбора информации о хосте” в составе собственного решения HIDS.
Комплексность информации, которую может собирать этот агент, была одним из наиболее важных показателей при разработке проекта, поэтому он был создан для работы в стеке ядра и получил огромные преимущества по сравнению с функциями в стеке пользователя, такие как:
- Для повышения производительности – сбор необходимой информации осуществляется в стеке ядра, что позволяет избежать дополнительных дополнительных действий, таких как обход ‘/proc’; а для повышения производительности транспортировки данных сбор информации осуществляется через разделяемую оперативную память, а не через сетевой канал.
- Сложность обхода – сбор информации осуществляется с помощью специально разработанного диска ядра, что делает практически невозможным обход обнаружения вредоносных программ типа руткитов, которые могут намеренно скрывать себя.
- Простота интеграции – AgentSmith-HIDS был создан для интеграции с другими приложениями и может использоваться не только как средство безопасности, но и как хороший инструмент мониторинга или даже детектор ваших активов. Агент может собирать для вас данные о пользователях, файлах, процессах и Интернет-соединениях, поэтому представим, что при его интеграции с CMDB вы можете получить полную карту, состоящую из вашей сети, хоста, контейнера и бизнеса (даже зависимостей). А если у вас под рукой еще и инструмент для аудита баз данных? Карта может быть расширена и содержать взаимосвязи между вашей БД, пользователем БД, таблицами, полями, приложениями, сетью, хост-контейнерами и т.д. Если подумать о возможности интеграции с системами обнаружения сетевых вторжений и/или анализа угроз и т.д., то можно добиться и более высокой прослеживаемости. Это просто не устаревает.
- Стек ядра + стек пользователя – AgentSmith-HIDS также предоставляет модуль стека пользователя для дальнейшего расширения функциональности при работе с модулем стека ядра.
Сетевые системы обнаружения вторжений NIDS, HIDS. Виды, различия, плюсы и минусы
Особенности AgentSmith HIDS
- Модуль стека ядра позволяет выполнять запросы execve, connect, process inject, create file, DNS query, load LKM behaviors через Kprobe, а также осуществлять мониторинг контейнеров благодаря совместимости с пространством имен Linux.
- Модуль User stack использует встроенные функции обнаружения, включая запросы списка пользователей, списка прослушиваемых портов, списка системных RPM, заданий по расписанию.
AntiRootkit,From: Tyton , на данный момент добавлена функция PROC_FILE_HOOK,SYSCALL_HOOK,LKM_HIDDEN,INTERRUPTS_HOOK, но только для Kernel > 3.10. - Мониторинг изменения кред (кроме sudo/su/sshd)
- Мониторинг входа пользователей в систему
Использование AgentSmith
{ "uid":"0", "data_type":"59", "run_path":"/tmp", "exe":"/opt/ltp/testcases/bin/growfiles", "argv":"growfiles -W gf26 -D 0 -b -i 0 -L 60 -u -B 1000b -e 1 -r 128-32768:128 -R 512-64000 -T 4 -f gfsmallio-35861 -d /tmp/ltp-Ujxl8kKsKY ", "pid":"35861", "ppid":"35711", "pgid":"35861", "tgid":"35861", "comm":"growfiles", "nodename":"test", "stdin":"/dev/pts/1", "stdout":"/dev/pts/1", "sessionid":"3", "sip":"192.168.165.1", "sport":"61726", "dip":"192.168.165.128", "dport":"22", "sa_family":"1", "pid_tree":"1(systemd)->1384(sshd)->2175(sshd)->2177(bash)->2193(fish)->35552(runltp)->35711(ltp-pan)->35861(growfiles)", "tty_name":"pts1", "socket_process_pid":"2175", "socket_process_exe":"/usr/sbin/sshd", "SSH_CONNECTION":"192.168.165.1 61726 192.168.165.128 22", "LD_PRELOAD":"/root/ldpreload/test.so", "user":"root", "time":"1579575429143", "local_ip":"192.168.165.128", "hostname":"test", "exe_md5":"01272152d4901fd3c2efacab5c0e38e5", "socket_process_exe_md5":"686cd72b4339da33bfb6fe8fb94a301f" }