Detección de malware de Linux

Motor anti-malware diseñado en torno a las amenazas que enfrentan en los entornos de alojamiento de hoy en día. Utiliza datos de amenazas multifacéticas de IPS de borde de red, datos de la comunidad, ClamAV y sistemas de envío de usuarios para extraer malware que se utiliza activamente en los ataques.

  • IPS perimetrales de red - Los eventos IPS se procesan para extraer direcciones URL de malware, decodificar la carga útil POST y base64/gzip datos de abuso codificado y, en última instancia, que el malware se recupera, se revisa, se clasifica y luego las firmas generadas según corresponda.
  • Datos de la comunidad- Los datos se agregan de varios sitios web de malware de la comunidad, como clean-mx y malwaredomainlist, luego se procesan para recuperar nuevo malware, revisar, clasificar y luego generar firmas.
  • ClamAV - Las firmas de detección HEX y MD5 de ClamAV se supervisan para las actualizaciones relevantes que se aplican al grupo de usuarios objetivo de LMD y se agregan al proyecto según corresponda.
  • Envío del usuario - función de pago que permite a los usuarios enviar malware sospechoso para su revisión, esto se ha convertido en una característica muy popular y genera en promedio alrededor de 30-50 envíos por semana.

ClamAV Anti-virus

El demonio de escáner multiproceso Deletes® de código abierto detecta troyanos, virus, malware y otras amenazas maliciosas. Las firmas extendidas de Malware Expert proporcionan la detección definitiva de malware basado en PHP.

  • Actualizador avanzado de bases de datos con soporte para actualizaciones de scripts y firmas digitales.
  • Las firmas de virus se actualizan varias veces al día.
  • Compatibilidad integrada con varios formatos de archivo, incluyendo Zip, RAR, Dmg, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS y otros.
  • Soporte integrado para ejecutables ELF y archivos ejecutables portátiles repletos de UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack y ofuscados con SUE, Y0da Cryptor y otros.

Cuarentena de malware

El malware puede ser cuatantined almacenar amenazas de una manera segura sin permisos. Opcionalmente, puede restaurar archivos a la ruta de acceso original, el propietario y los permisos.

  • Cola de cuarentena que almacena las amenazas de forma segura sin permisos.
  • Opción de procesamiento por lotes de cuarentena para poner en cuarentena los resultados de un análisis actual o anterior.
  • Opción de restauración de cuarentena para restaurar archivos a la ruta de acceso original, propietario y permisos.
  • Vea, edite, descargue o restaure archivos en cuarentena con su navegador web.

Limpiar archivos infectados

Reglas más limpias intentarán eliminar las cadenas inyectadas de malware. Soporta base64 y gzinflate (base64 inyectado malware). Después de que se realice la limpieza se volverá a escanear y verificar que la limpieza fue exitosa.

  • Reglas más limpias para intentar la eliminación de cadenas inyectadas de malware.
  • Opción de procesamiento por lotes más limpio para intentar la limpieza de informes de análisis anteriores.
  • Reglas más limpias para eliminar base64 y gzinflate (base64 inyectó malware).

Análisis en tiempo real

El análisis de archivos en tiempo real basado en kernel de archivos creados/modificados/movidos. Supervise todo el árbol de directorios de vhosts y escanee al instante los archivos modificados. Todos sus recursos están dentro de la memoria del núcleo y tiene un uso de CPU muy pequeño y espacio de usuario en la memoria.

  • Kernel basado en inotify análisis de archivos en tiempo real de archivos creados / modificados / movidos.
  • Kernel inotify monitor que puede tomar datos de ruta de acceso de STDIN o FILE.
  • Kernel inotify monitor con límites de sysctl dinámicos para un rendimiento óptimo.
  • Kernel inotify alertas a través de informes semanales diarios y/o opcionales.

Actualizaciones de firmas

Las firmas se actualizan normalmente una vez al día o con más frecuencia dependiendo de los datos de amenazas entrantes, la extracción de malware IPS y otras fuentes. Las firmas se derivan del seguimiento activo en las amenazas salvajes que están circulando actualmente. Los datos de amenazas incluyen IPS perimetrales de red, comunidad, ClamAV y envíos de usuarios.

  • Las actualizaciones de firmas se realizan diariamente a través del script cron.daily predeterminado.
  • Puede buscar actualizaciones manualmente a través de la interfaz de Sentinel o la línea de comandos mediante la opción --update.
  • RSS y origen de datos XML está disponible para el seguimiento de actualizaciones de amenazas de malware.

Ignorar opciones

Sentinel le ofrece múltiples opciones para minimizar cualquier falso positivo. Ignore rutas específicas, extensiones de archivo o listas blancas de firmas incorrectas con solo unos clics.

  • Ignore rutas específicas del análisis de malware.
  • Ignore las extensiones de archivo específicas del análisis de malware.
  • Ignore las firmas específicas de desencadenar falsos positivos.
  • Compatibilidad con expresiones regulares para excluir determinados archivos del análisis.

Análisis bajo demanda

Sentinel le permite escanear una carpeta web de dominios con solo unos clics. El análisis puede poner automáticamente en cuarentena las amenazas detectadas (si está habilitada) o permitirle poner en cuarentena, limpiar malware o enviar por correo electrónico un informe al cliente.

  • Detección de hash de archivos MD5 para una identificación rápida de amenazas.
  • Coincidencia de patrones basada en HEX para identificar variantes de amenazas.
  • Componente de análisis estadístico para la detección de amenazas ofuscadas.
  • Análisis de carga HTTP a través de mod_security2 enlace inspectFile.
  • Detección integrada de ClamAV para utilizarcomo motor de escáner para mejorar el rendimiento.
  • Opción Escanear reciente para escanear solo los archivos que se han agregado o cambiado en el número de días que elija.
  • Analizar utilizando opciones de expresión regular para incluir o excluir archivos coincidentes.

Supervisión de dominios

Sentinel le permite comprobar el estado de la lista negra de sus dominios mediante la API de riesgo web de Google.

  • Ejecuta una comprobación nocturna, semanal o mensual de tus dominios y recibe notificaciones por correo electrónico cuando un dominio se pone en la lista negra.
  • Vea el tipo de amenaza y la plataforma que informa la API de riesgo web de Google.
  • Vea un historial completo de cada comprobación para que pueda ver exactamente cuándo se ha puesto en peligro un dominio.
  • Habilite o deshabilite las notificaciones para administradores, revendedores o clientes.