¿Es posible encontrar un Meterpreter o un malware similar que no modifica el disco duro pero solo se almacena en la RAM?
El software anti-rootkit más común como rkhunter y chkrootkit no lo encuentra.
En primer lugar, 'meterpreter' no es malware. Supongo que quiere decir cómo detectar sesiones abiertas de Meterpreter entre una máquina comprometida y el atacante.
La mayoría de los antivirus pueden detectar las cargas útiles de meterpreter en la memoria: son públicas, y es por eso que Metasploit tiene motores polimórficos especiales para tratar de ocultar las cargas útiles.
Un buen factor: las herramientas comerciales como el marco de explotación de Canvas hacen acuerdos especiales con las compañías de antivirus para que no detecten su carga útil.
Además, puede detectar cosas en el nivel de la red si la sesión no está cifrada (por defecto a SSL en la actualidad): la mayoría de los IDS pueden detectar el contador de medidores, Snort tiene firmas, por ejemplo. También puede detectar la carga inicial de DLL de meterpreter.
Además, existen herramientas para el trabajo: Antimeter - enlace - puede detectar procesos que tienen inyectados el DLL malicioso y mátalos.
En el host, netstat y Process Explorer mostrarán las conexiones divertidas y las DLL cargadas.
Finalmente, no es cierto que nada toque el disco: el script primero carga la DLL maliciosa en el disco y luego la inyecta en un proceso.
Avast! Con la heurística completa puede encontrar Meterpreter, al igual que muchas otras soluciones AV.
Sin embargo, si el iniciador de shellcode en Metasploit Framework se modifica con shellcodeexec, entonces el AV estándar ya no podrá detectar Meterpreter.
Necesitaría pasar por todos los procesos del sistema y buscar puntos de entrada sospechosos (improbable) o IAT sospechosos (Meterpreter usa VirtualAllocEx, CreateProcessA, WriteProcessMemory, CreateRemoteThread, ReadProcessMemory, OpenProcessA, StartServiceActive, y un cambio de imagen). .
Generalmente, un detector de rootkits no puede encontrar ese tipo de cosas, ya que solo se encuentra en la RAM y los detectores de rootkits buscan los elementos persistentes obvios que necesita un rootkit.
Si este malware es solo RAM, entonces puede tener la misma capacidad de causar daño que otro malware que reside en la RAM. Como @nealmcb señaló, a menos que pueda escribir en un almacenamiento persistente, entonces un reinicio solucionará el problema por completo, por lo general, no será una gran preocupación: ciertamente no se considerará un rootkit.
Sin embargo, en lo que respecta a detectar un reinicio, escribir en el disco y luego volver a la RAM y cubrir las pistas, me pregunto si el malware basado en el medidor de esfuerzo puede hacer eso. Teóricamente parece posible.
Con Meterpreter (algunas) las actividades comunes de un ataque pueden incluir:
Algunos AV detectarán un exeimétrico simple de un medidor que se haya caído en un sistema, por ejemplo, si se envía como parte de un documento malicioso. ( virus link total ) Pero eso puede ser un pequeño caso en el que se haya registrado en el último momento.
Como lo señalan otros IDS basados en la red, como Snort tiene firmas para Meterpreter (asumiendo que el autor no modificó significativamente la carga útil).
Para detectar este comportamiento es posible que desee mirar más hacia un IDS basado en host . Existe una mayor posibilidad de detección con este tipo de sistema, ya que HIDS busca específicamente el comportamiento que enumeré en lugar de las firmas AV de archivo. Un HIDS muy conocido es OSSEC . No lo he probado específicamente con meterpreter pero me imagino que daría muchas alertas si se realizaran las actividades anteriores.
Lea otras preguntas en las etiquetas linux antimalware