工具介紹

Linux惡意軟件檢測工具(LMD)是一個GNU GPLv2許可下發(fā)布的Linux惡意軟件掃描器，其設計理念是是針對在共享主機環(huán)境中所面臨的威脅。它使用來自網絡邊界的入侵檢測系統的威脅數據，提取當前被經常用于攻擊的惡意軟件，并針對檢測到的惡意軟件生成標識。此外，數據的威脅也來自于用戶通過LMD上傳功能提交的惡意軟件，以及從惡意軟件聯盟中獲取到的資源。LMD使用的簽名，是MD5散列和 HEX模式匹配，他們也能較為容易地輸出到其他的檢測工具如ClamAV。

[[154282]]

這款工具的出現背景是因為當前支持對Linux系統惡意程序檢測的開源或者免費工具，有著較高的誤報和漏報率。許多防病毒產品對于linux平臺上的惡意程序檢測卻有著一個較差的威脅檢測跟蹤記錄，特別是針對在共享的主機環(huán)境。

共享主機環(huán)境的威脅環(huán)境相比于其他環(huán)境是較為獨特的，標準的AV產品檢測組件，他們的檢測目標主要是OS級別的木馬，rootkit和傳統的感染文件病毒，但是卻忽略了越來越多的用戶帳戶級上的惡意軟件，而這些一般被攻擊者作為攻擊的平臺或者跳板。

從目前來看，支持多用戶共享環(huán)境的惡意軟件檢測、修復的商業(yè)產品依然表現糟糕。通過LMD 1.5檢測，可針對8883種惡意軟件的哈希值進行分析識別，而相比之下，近30款商業(yè)防病毒和惡意軟件的產品的表現，卻令人不太滿意。檢測結果如下，

從上面的數據我們可以看到，有6931種(約占總數78%)的威脅，未被商業(yè)防病毒和惡意軟件產品發(fā)現。而檢測到的1951個威脅中，商業(yè)防病毒和惡意軟件產品的平均檢出率為58%，較低和較高的檢出率分別為10%和100%。從以上的數據看，目前的多用戶共享環(huán)境惡意程序威脅檢測應該是開發(fā)的重點。

功能特點

-文件MD5哈希值檢測，快速識別威脅

-用于識別威脅變量的HEX模式匹配

-擁有對模糊威脅進行檢測的統計分析組件(例如：Base64編碼)

-作為性能改進的掃描引擎，與ClamAV等工具進行聯合檢測

-通過-u|-update進行簽名更新

-通過-d|-update更新集成的版本功能

-通過掃描最近的選項來掃描在一定時間內已添加/改變的文件

-全路徑掃描

-上傳可疑的惡意軟件到rfxn.com對其哈希值進行重查

-查看掃描結果的報表系統

-在安全的方式中存儲威脅的隔離隊列

-隔離批處理的選項，以隔離當前或過去的掃描結果

-隔離恢復選項，將文件還原到原路徑

-針對惡意代碼注入的字符串的清除規(guī)則

-清除批處理選項，可清除之前的掃描報告

-清除規(guī)則針對Base64和gzinflate

-每日定時對過去24小時用戶homedirs上進行掃描

-基于內核inotify實時對文件的創(chuàng)建/修改進行掃描

-基于內核inotify監(jiān)控標準輸入或文件

-基于內核inotify監(jiān)控系統用戶的操作特征

-基于內核inotify監(jiān)控可配置的用戶的HTML root

數據來源

LMD不僅僅是基于簽名和哈希值地對惡意軟件進行檢測，它也收集外部其他環(huán)境的威脅以及其他被檢測到的威脅，來提高它本身的檢測能力。

針對惡意軟件的數據，用于生成LMD簽名主要有四個來源：

1、來自網絡邊界的IPS:網絡管理作為日常工作的一部分，因為其主要是網站相關的，比如網站服務器經常會收到大量的濫用事件，而所有這一切都是通過網絡邊界的IPS進行記錄。IPS事件被進行處理，從其中提取到惡意URL，將編碼成playload和Base64 / GZIP的濫用數據進行解碼，最終對惡意軟件進行檢索，分類，然后生成適簽名。LMD的簽名，絕大多數是來自IPS提取的數據。

2、來自社區(qū)聯盟數據：數據的收集是從多個惡意社區(qū)網站如clean-mx和malwaredomainlist，然后對新的惡意軟件進行處理檢索，分類審查，然后生成簽名。

3、來自ClamAV：從ClamAV上的Hex和MD5簽名監(jiān)測到相關更新，并適用于低的目標用戶群加入到 LMD中。而到目前為止，已經有大約400個簽名從ClamAV移植到LMD項目，而LMD項目也貢獻回ClamAV超過1100個簽名，目前也繼續(xù)在現有基礎上這么做。

4、來自用戶提交：LMD具有校驗功能，允許用戶提交可疑的惡意軟件進行審查，這已經成為一個非常受歡迎的功能，它平均每周可提交30-50個可疑惡意軟件。

威脅檢測

截止到目前為止，LMD 1.5共有10822個(8908 MD5 / 1914)簽名。其中檢測到的60大威脅如下，

base64.inject.unclassed     perl.ircbot.xscan
bin.dccserv.irsexxy         perl.mailer.yellsoft
bin.fakeproc.Xnuxer         perl.shell.cbLorD
bin.ircbot.nbot             perl.shell.cgitelnet
bin.ircbot.php3             php.cmdshell.c100
bin.ircbot.unclassed        php.cmdshell.c99
bin.pktflood.ABC123         php.cmdshell.cih
bin.pktflood.osf            php.cmdshell.egyspider
bin.trojan.linuxsmalli      php.cmdshell.fx29
c.ircbot.tsunami            php.cmdshell.ItsmYarD
exp.linux.rstb              php.cmdshell.Ketemu
exp.linux.unclassed         php.cmdshell.N3tshell
exp.setuid0.unclassed       php.cmdshell.r57
gzbase64.inject             php.cmdshell.unclassed
html.phishing.auc61         php.defash.buno
html.phishing.hsbc          php.exe.globals
perl.connback.DataCha0s     php.include.remote
perl.connback.N2            php.ircbot.InsideTeam
perl.cpanel.cpwrap          php.ircbot.lolwut
perl.ircbot.atrixteam       php.ircbot.sniper
perl.ircbot.bRuNo           php.ircbot.vj_denie
perl.ircbot.Clx             php.mailer.10hack
perl.ircbot.devil           php.mailer.bombam
perl.ircbot.fx29            php.mailer.PostMan
perl.ircbot.magnum          php.phishing.AliKay
perl.ircbot.oldwolf         php.phishing.mrbrain
perl.ircbot.putr4XtReme     php.phishing.ReZulT
perl.ircbot.rafflesia       php.pktflood.oey
perl.ircbot.UberCracker     php.shell.rc99
perl.ircbot.xdh             php.shell.shellcomm

實時監(jiān)控

Inotify監(jiān)控功能的目的是監(jiān)測路徑/用戶實時文件創(chuàng)建/修改/移動操作。此選項需要內核支持inotify_watch(config_inotify)。如果您運行的是CentOS 4，你應該考慮進行升級：

升級路徑：http://www.rfxn.com/upgrade-centos-4-8-to-5-3/

針對監(jiān)控對象(用戶/路徑/文件)的不同，分為三種不同的監(jiān)控模式，

LMD Tool 下載鏈接，請戳我