IDS basados en host con monitoreo syscall

Question

IDS basados en host con monitoreo syscall

#1 de Steffen Ullrich (0 votos)

-1

Hola chicos. Soy un novato en temas de seguridad y ahora estoy trabajando en mi proyecto final sobre IDS basados en host. Tengo algunas preguntas para ustedes

¿Se puede clasificar un rootkit como una intrusión o es un malware o ambos? ¿Cuál es la diferencia entre la intrusión y el malware entonces?
¿Puede una secuencia de llamada al sistema determinar que hay una intrusión en el sistema? O la secuencia syscall no válida solo puede detectar malware.
Si me gustaría monitorear syscall, ¿puedo hacerlo en el espacio de usuario, por ejemplo, usando systrace o solo se puede hacer en el espacio del kernel? ¿Cuál es el mejor método posible?

kernel rootkits intrusion hids

pregunta Ramandika Pranamulia 05.01.2016 - 11:50

fuente

1 respuesta

Lea otras preguntas en las etiquetas kernel rootkits intrusion hids

¿ataque o vulnerabilidad de inyección de sql? ¿Dónde puedo encontrar una lista de vulnerabilidades de aplicaciones web y tipos de ataques? [cerrado] Impedir un dispositivo de puerta de enlace falso conectado a la tarjeta de red de la PC

score 0 · Answer 1

¿Se puede clasificar un rootkit como una intrusión o es un malware o ambos? ¿Cuál es la diferencia entre la intrusión y el malware, entonces?

Un malware por sí mismo no es una intrusión. Pero si el malware ha infectado el sistema, entonces tienes una intrusión. Pero puede haber intrusiones sin malware, es decir, iniciar sesión con credenciales robadas. Y un rootkit es solo un tipo especial de malware.

¿Puede una secuencia de llamada al sistema determinar que hay una intrusión en el sistema? O la secuencia syscall no válida solo puede detectar malware.

Generalmente no se determina completamente, pero solo se sugiere. Si la secuencia es similar a un malware conocido o si se accede a archivos específicos, si se cambia el registro ... entonces todos estos podrían ser indicadores de malware potencial. Pero también podría ser software no malicioso.

Me gustaría monitorear syscall. ¿Puedo hacerlo en el espacio de usuario, por ejemplo, usando systrace o solo se puede hacer en el espacio del kernel? ¿Cuál es el mejor método posible?

En Linux, puede usar ptrace syscall para rastrear otros procesos de su propiedad (y solo estos). O use el comando strace o un comando similar en otros UNIX como truss o ktrace.