¿Es posible detectar una amenaza solo con la información del archivo?

Navega tus respuestas
0

¿Es posible detectar amenazas solo con la información de archivo de un archivo como el hash (md5, sha1, sha256, etc.), el tamaño del archivo, el tipo mime, etc. con ClamAV o Comodo AV para Linux con el comando de shell?

Se puede marcar que aquí el archivo está ausente, solo está presente toda la información de ese archivo.

    
pregunta Touhid 15.02.2015 - 15:01
fuente

3 respuestas

2

Mi respuesta asume que estás pidiendo esto por un sistema de producción, y que no lo estás preguntando porque estás empezando a aprender a ser un investigador de antivirus.

¿Puedes hacerlo?

Sí, como han indicado otras respuestas, hay muchas bases de datos que contienen hashes o pueden identificar una amenaza con un hash.

pero ¿debería ser tu única línea de defensa?

Sin embargo, hay una advertencia importante a este enfoque. ¿Crees que el archivo en cuestión proviene de una amenaza automatizada, o no muy inteligente / persistente, o se trata de una amenaza inteligente y persistente?

Si cree que el archivo proviene de una campaña automatizada (como un ataque masivo de phishing), entonces, este enfoque podría ayudar.

Los atacantes inteligentes seguirán intentándolo

Sin embargo, si sospechas que un ser humano inteligente está detrás de este ataque, ya estará modificando su archivo para que no aparezca en una base de datos hash. Hay muchas formas de "pinchar" un antivirus para ver lo que permitirá. Los atacantes inteligentes son expertos al engañar al software AV.

Mi consejo para ti

  • Independientemente del origen de los archivos, asegúrese de tener un buen antivirus en ejecución. Especialmente si su sistema tiene que tomar archivos aleatorios de internet.
  • Si su sistema DEBE aceptar archivos arbitrarios, asegúrese de que los está validando antes de aceptarlos. Compruebe el tamaño, extensión, encabezados, lo que pueda.
  • Y también comprueba que no se pueda acceder a esos archivos de manera no intencionada.
  • Si estamos hablando de un sistema de escritorio, asegúrese de que está haciendo todo lo posible para asegurarse de que la gente no vaya a sitios web de moda o haga clic en enlaces sospechosos.
  • Asegúrese de que todos tengan su firewall activado (los firewalls son más difíciles de engañar que los AV)
  • Use una IDS (también más difícil de engañar que AV)
  • Si es posible, intente un IDS basado en host como enlace : esto escaneará sus registros en busca de problemas también, y hará la vida muy difícil un atacante
  • Si está en Redhat / Cent, asegúrese de usar su sistema de permisos de grano fino.

No utilice la comprobación de hash como una sola línea de defensa. Se sentirá confiado en una falsa sensación de seguridad

    
respondido por el baordog 15.02.2015 - 18:56
fuente
2

Realice una búsqueda rápida en google y encontrará muchas bases de datos. OWASP ofrece uno con una interfaz bastante sencilla: OWASP File Hash Repository . Simplemente envíe una consulta de DNS con el hash en MD5 o SHA-1 preparado para hash.sapao.net (consulte "Comprobación del sistema"). Si desea ejecutar una gran cantidad de consultas, le sugiero que haga una copia de su imagen de Amazon AWS disponible gratuitamente y una consulta local para reducir la carga en sus servidores.

Esto no usa ClamAV o Comodo AV, pero puedes usar "cavar" para la consulta de DNS y simplemente "grep" el resultado.

    
respondido por el rbialon 15.02.2015 - 17:58
fuente
1

Puede enviar el hash a VirusTotal seleccionando 'Buscar' e ingresando el hash. VirusTotal devolverá el estado si ha visto el archivo anteriormente, si no lo ha hecho, es posible que no tenga suerte.

    
respondido por el Wrycu 15.02.2015 - 17:06
fuente

Lea otras preguntas en las etiquetas

¿Cómo protegerse contra jQuery preventDefault phishing? ¿Qué tan difícil sería codificar las claves criptográficas en la memoria en el comando?