Linux 惡意軟件檢測(cè)工具（LMD）是一個(gè) GNU GPLv2 許可下發(fā)布的Linux惡意軟件掃描器，其設(shè)計(jì)理念是是針對(duì)在共享主機(jī)環(huán)境中所面臨的威脅。它使用來(lái)自網(wǎng)絡(luò)邊界的入侵檢測(cè)系統(tǒng)的威脅數(shù)據(jù)，提取當(dāng)前被經(jīng)常用于攻擊的惡意軟件，并針對(duì)檢測(cè)到的惡意軟件生成標(biāo)識(shí)。此外，數(shù)據(jù)的威脅也來(lái)自于用戶(hù)通過(guò)LMD上傳功能提交的惡意軟件，以及從惡意軟件聯(lián)盟中獲取到的資源。LMD使用的簽名，是MD5散列和 HEX模式匹配，他們也能較為容易地輸出到其他的檢測(cè)工具如ClamAV。

LMD ＝ Linux Malware Detection

這款工具的出現(xiàn)背景是因?yàn)楫?dāng)前支持對(duì)Linux系統(tǒng)惡意程序檢測(cè)的開(kāi)源或者免費(fèi)工具，有著較高的誤報(bào)和漏報(bào)率。許多防病毒產(chǎn)品對(duì)于linux平臺(tái)上的惡意程序檢測(cè)卻有著一個(gè)較差的威脅檢測(cè)跟蹤記錄，特別是針對(duì)在共享的主機(jī)環(huán)境。

共享主機(jī)環(huán)境的威脅環(huán)境相比于其他環(huán)境是較為獨(dú)特的，標(biāo)準(zhǔn)的AV產(chǎn)品檢測(cè)組件，他們的檢測(cè)目標(biāo)主要是OS級(jí)別的木馬，rootkit和傳統(tǒng)的感染文件病毒，但是卻忽略了越來(lái)越多的用戶(hù)帳戶(hù)級(jí)上的惡意軟件，而這些一般被攻擊者作為攻擊的平臺(tái)或者跳板。

從目前來(lái)看，支持多用戶(hù)共享環(huán)境的惡意軟件檢測(cè)、修復(fù)的商業(yè)產(chǎn)品依然表現(xiàn)糟糕。通過(guò)LMD 1.5檢測(cè)，可針對(duì)8883種惡意軟件的哈希值進(jìn)行分析識(shí)別，而相比之下，近30款商業(yè)防病毒和惡意軟件的產(chǎn)品的表現(xiàn)，卻令人不太滿(mǎn)意。檢測(cè)結(jié)果如下，

DETECTED?KNOWN?MALWARE:?1951
%?AV?DETECT?(AVG):?58
%?AV?DETECT?(LOW):?10
%?AV?DETECT?(HIGH):?100
UNKNOWN?MALWARE:?6931

從上面的數(shù)據(jù)我們可以看到，有6931種（約占總數(shù)78%）的威脅，未被商業(yè)防病毒和惡意軟件產(chǎn)品發(fā)現(xiàn)。而檢測(cè)到的1951個(gè)威脅中，商業(yè)防病毒和惡意軟件產(chǎn)品的平均檢出率為58%，較低和較高的檢出率分別為10%和100%。從以上的數(shù)據(jù)看，目前的多用戶(hù)共享環(huán)境惡意程序威脅檢測(cè)應(yīng)該是開(kāi)發(fā)的重點(diǎn)。

功能特點(diǎn)

－文件MD5哈希值檢測(cè)，快速識(shí)別威脅
－用于識(shí)別威脅變量的HEX模式匹配
－擁有對(duì)模糊威脅進(jìn)行檢測(cè)的統(tǒng)計(jì)分析組件（例如：Base64編碼）
－作為性能改進(jìn)的掃描引擎，與ClamAV等工具進(jìn)行聯(lián)合檢測(cè)
－通過(guò)-u|-update進(jìn)行簽名更新
－通過(guò)-d|-update更新集成的版本功能?
－通過(guò)掃描最近的選項(xiàng)來(lái)掃描在一定時(shí)間內(nèi)已添加/改變的文件
－全路徑掃描
－上傳可疑的惡意軟件到rfxn.com對(duì)其哈希值進(jìn)行重查
－查看掃描結(jié)果的報(bào)表系統(tǒng)
－在安全的方式中存儲(chǔ)威脅的隔離隊(duì)列
－隔離批處理的選項(xiàng)，以隔離當(dāng)前或過(guò)去的掃描結(jié)果
－隔離恢復(fù)選項(xiàng)，將文件還原到原路徑
－針對(duì)惡意代碼注入的字符串的清除規(guī)則
－清除批處理選項(xiàng)，可清除之前的掃描報(bào)告
－清除規(guī)則針對(duì)Base64和gzinflate
－每日定時(shí)對(duì)過(guò)去24小時(shí)用戶(hù)homedirs上進(jìn)行掃描
－基于內(nèi)核inotify實(shí)時(shí)對(duì)文件的創(chuàng)建/修改進(jìn)行掃描
－基于內(nèi)核inotify監(jiān)控標(biāo)準(zhǔn)輸入或文件
－基于內(nèi)核inotify監(jiān)控系統(tǒng)用戶(hù)的操作特征
－基于內(nèi)核inotify監(jiān)控可配置的用戶(hù)的HTML?root

數(shù)據(jù)來(lái)源

LMD不僅僅是基于簽名和哈希值地對(duì)惡意軟件進(jìn)行檢測(cè)，它也收集外部其他環(huán)境的威脅以及其他被檢測(cè)到的威脅，來(lái)提高它本身的檢測(cè)能力。

針對(duì)惡意軟件的數(shù)據(jù)，用于生成LMD簽名主要有四個(gè)來(lái)源：

1、來(lái)自網(wǎng)絡(luò)邊界的IPS:網(wǎng)絡(luò)管理作為日常工作的一部分，因?yàn)槠渲饕蔷W(wǎng)站相關(guān)的，比如網(wǎng)站服務(wù)器經(jīng)常會(huì)收到大量的濫用事件，而所有這一切都是通過(guò)網(wǎng)絡(luò)邊界的IPS進(jìn)行記錄。IPS事件被進(jìn)行處理，從其中提取到惡意URL，將編碼成playload和Base64 / GZIP的濫用數(shù)據(jù)進(jìn)行解碼，最終對(duì)惡意軟件進(jìn)行檢索，分類(lèi)，然后生成適簽名。LMD的簽名，絕大多數(shù)是來(lái)自IPS提取的數(shù)據(jù)。

2、來(lái)自社區(qū)聯(lián)盟數(shù)據(jù)：數(shù)據(jù)的收集是從多個(gè)惡意社區(qū)網(wǎng)站如clean－mx和malwaredomainlist，然后對(duì)新的惡意軟件進(jìn)行處理檢索，分類(lèi)審查，然后生成簽名。

3、來(lái)自ClamAV：從ClamAV上的Hex和MD5簽名監(jiān)測(cè)到相關(guān)更新，并適用于低的目標(biāo)用戶(hù)群加入到 LMD中。而到目前為止，已經(jīng)有大約400個(gè)簽名從ClamAV移植到LMD項(xiàng)目，而LMD項(xiàng)目也貢獻(xiàn)回ClamAV超過(guò)1100個(gè)簽名，目前也繼續(xù)在現(xiàn)有基礎(chǔ)上這么做。

4、來(lái)自用戶(hù)提交：LMD具有校驗(yàn)功能，允許用戶(hù)提交可疑的惡意軟件進(jìn)行審查，這已經(jīng)成為一個(gè)非常受歡迎的功能，它平均每周可提交30-50個(gè)可疑惡意軟件。

威脅檢測(cè)

截止到目前為止，LMD 1.5共有10822個(gè)（8908 MD5 / 1914）簽名。其中檢測(cè)到的60大威脅如下，

base64.inject.unclassed?????perl.ircbot.xscan
bin.dccserv.irsexxy?????????perl.mailer.yellsoft
bin.fakeproc.Xnuxer?????????perl.shell.cbLorD
bin.ircbot.nbot?????????????perl.shell.cgitelnet
bin.ircbot.php3?????????????php.cmdshell.c100
bin.ircbot.unclassed????????php.cmdshell.c99
bin.pktflood.ABC123?????????php.cmdshell.cih
bin.pktflood.osf????????????php.cmdshell.egyspider
bin.trojan.linuxsmalli??????php.cmdshell.fx29
c.ircbot.tsunami????????????php.cmdshell.ItsmYarD
exp.linux.rstb??????????????php.cmdshell.Ketemu
exp.linux.unclassed?????????php.cmdshell.N3tshell
exp.setuid0.unclassed???????php.cmdshell.r57
gzbase64.inject?????????????php.cmdshell.unclassed
html.phishing.auc61?????????php.defash.buno
html.phishing.hsbc??????????php.exe.globals
perl.connback.DataCha0s?????php.include.remote
perl.connback.N2????????????php.ircbot.InsideTeam
perl.cpanel.cpwrap??????????php.ircbot.lolwut
perl.ircbot.atrixteam???????php.ircbot.sniper
perl.ircbot.bRuNo???????????php.ircbot.vj_denie
perl.ircbot.Clx?????????????php.mailer.10hack
perl.ircbot.devil???????????php.mailer.bombam
perl.ircbot.fx29????????????php.mailer.PostMan
perl.ircbot.magnum??????????php.phishing.AliKay
perl.ircbot.oldwolf?????????php.phishing.mrbrain
perl.ircbot.putr4XtReme?????php.phishing.ReZulT
perl.ircbot.rafflesia???????php.pktflood.oey
perl.ircbot.UberCracker?????php.shell.rc99
perl.ircbot.xdh?????????????php.shell.shellcomm

實(shí)時(shí)監(jiān)控

Inotify監(jiān)控功能的目的是監(jiān)測(cè)路徑/用戶(hù)實(shí)時(shí)文件創(chuàng)建/修改/移動(dòng)操作。此選項(xiàng)需要內(nèi)核支持inotify_watch（config_inotify）。如果您運(yùn)行的是CentOS 4，你應(yīng)該考慮進(jìn)行升級(jí)：

升級(jí)路徑：http://www.rfxn.com/upgrade-centos-4-8-to-5-3/

針對(duì)監(jiān)控對(duì)象（用戶(hù)／路徑／文件）的不同，分為三種不同的監(jiān)控模式，

e.g:?maldet?--monitor?users
e.g:?maldet?--monitor?/root/monitor_paths
e.g:?maldet?--monitor?/home/mike,/home/ashto

內(nèi)容轉(zhuǎn)載自 FreeBuf.com