En un sistema Linux, ¿es posible detectar keyloggers desconocidos? Registradores de teclado que son nuevos y no han llegado a la base de datos de ningún software de detección.
En un sistema Linux, ¿es posible detectar keyloggers desconocidos? Registradores de teclado que son nuevos y no han llegado a la base de datos de ningún software de detección.
Sí, es posible detectar keyloggers desconocidos y otro malware, generalmente a través de informática forense (Volatility o EnCase están bien- software conocido para hacer eso).
La detección del keylogger, en cuanto a virus y otros malwares, se puede lograr básicamente a través de dos métodos (simplifico para la claridad de la respuesta):
Obviamente, un keylogger desconocido no quedará atrapado por los productos de detección basados en firmas (aunque puede ser, en caso de reutilización de código, por ejemplo), y tendrá que confiar en heurísticas o detección de comportamiento, que normalmente genera resultados más falsos positivos.
Afortunadamente, la cosa es que los desarrolladores de keylogger suelen confiar en métodos conocidos para desarrollar su código malicioso, y eso permite al investigador encontrarlos y detectarlos rápidamente. Tales métodos son por ejemplo:
Pero en general, si su sistema se ha visto comprometido a nivel del kernel por un malware desconocido, lo único que puede hacer es deshacerse de él y reinstalar uno nuevo, ya que las modificaciones del nivel del kernel pueden ser casi imposibles de detectar si se realizan correctamente. .
Puede leer este ESET Paper para detectar malwares desconocidos o este de Symantec , o simplemente Google para uno de los muchos artículos interesantes / artículo sobre este tema.
Sí. Por ejemplo, podría realizar una auditoría de código para identificar el software que está fuera de lugar.
O es posible que puedas detectar los datos cuando estos regresan al atacante.
El elemento clave es si sabe si hay un keylogger (o si tiene sospechas razonables) o si solo quiere una forma de detectarlo automáticamente.
En el primer caso, es muy probable que una investigación conduzca a algo: datos que viajan al atacante (como han señalado otros), dispositivos sospechosos, evidencia de manipulación, etc.
En este último caso, la probabilidad de que se detecte automáticamente un keylogger es muy pequeña: ¿está usando productos de venta directa? ¿Puede medir el tiempo de todos los componentes del sistema y compararlo con valores buenos conocidos? ¿Se puede aislar el sistema en una jaula de Faraday para evitar los keyloggers pasivos que transmiten datos al ser irradiados (TAO de la NSA)? ¿Tiene el control de todas las capas de abstracción desde el inicio hasta la GUI y puede verificar criptográficamente el software que se ejecuta (a través de algún tipo de inicio confiable)?
Sí, pero normalmente no es una tarea fácil
Hay un marco exactamente para este llamado Volatilidad: manojo de herramientas escritas en python
se arrastrará a través de la memoria para determinar si hay algún keylogger ejecutándose échale un vistazo a enlace
espero que ayude
En teoría, podría detener todas las aplicaciones que sabe que están generando tráfico en la red, luego escribir un pequeño fragmento de código para simular muchos eventos de escritura clave y monitorear el tráfico de la red para buscar un aumento en las conversaciones a través del cable. Incluso si el tráfico está encriptado y se envía en paquetes a granel, aún podría tener una idea general de lo que hacen sus aplicaciones y de si usted fue el objetivo de un software de keylogger. A partir de ese momento, dependerá de usted investigar más a fondo, encontrar la aplicación malintencionada y tomar medidas para protegerse activamente y, tal vez, hacer retroceder la aplicación a su fuente.
Lea otras preguntas en las etiquetas linux keyloggers