¿Hay alguna forma de verificar los procesos "vacíos" o el malware oculto en los procesos "normales"?

Navega tus respuestas
6

Hace poco me encontré con un artículo sobre The Verge , que se centra en el concepto de producción de malware comercial y su uso en todo el mundo. El artículo me introdujo a una serie de conceptos interesantes (y preocupantes) como "ahuecamiento del proceso", acceso remoto al hardware que está oculto del sistema / usuario, etc.

Aunque no tengo motivos para tener preocupaciones similares mencionadas en el artículo, trabajar con problemas de TI y desarrollar en Java, junto con los errores más recientes (shellshock, heartbleed, etc.) y la complejidad cada vez mayor del malware me hace bastante paranoico sobre las vulnerabilidades de los sistemas que uso y administro.

Cada vez que me doy cuenta de un comportamiento sospechoso (como lentitud inusual, activación aleatoria del sueño, carga alta de la CPU mientras no estoy ejecutando activamente un software exigente) tiendo a verificar los procesos en ejecución en mis máquinas mac / * nix. Hasta ahora no he encontrado nada que me haya llamado la atención, pero eso no significa que no haya procesos "vacíos".

¿Hay alguna forma de investigar un sistema OSX o Linux, para verificar si hay malware oculto?

    
pregunta posdef 22.01.2015 - 14:03
fuente

2 respuestas

2

¡Es posible que encuentre una herramienta forense llamada Date para ser de interés!

enlace

unhide utiliza una variedad de técnicas para encontrar (o mostrar) procesos ocultos y puertos TCP / UDP utilizados por rootkits / LKMs (Módulos de kernel cargables). Es compatible con Linux / Unix & Windows ...

Se pueden encontrar más detalles sobre las técnicas utilizadas en el sitio web:

enlace

    
respondido por el vaughank 02.03.2015 - 19:24
fuente
0

no exactamente. La mayoría de los Linux tienen una carpeta / proc / que le permite ver varios detalles sobre los procesos. uno "podría" hacer un mapa simple de archivos binarios frente a archivos abiertos y agregarlo manualmente a esta lista hasta que tenga un perfil de sistema bastante definitivo de su máquina. Incluso podría conectar esto (con un informe en un trabajo cron para ejecutar cada minuto o unos segundos).

Por supuesto, esto requerirá que usted entienda lo que realmente hace cada proceso que se está ejecutando y a qué archivos debería acceder. y requerirá un trabajo inicial

  1. para escribir dicha aplicación
  2. a los procesos de la lista blanca mientras el sistema aún está aprendiendo.

también podría extenderlo a la actividad de la red de monitoreo.

De esta manera, al menos sabrás si has sido comprimido.

    
respondido por el Damian Nikodem 25.02.2015 - 08:07
fuente

Lea otras preguntas en las etiquetas

Hacer frente a los cambios de número en un sistema de autenticación / inicio de sesión basado en número de teléfono Cómo mostrar una notificación amigable sobre la no compatibilidad con TLS 1.0 en el navegador [cerrado]