我在下面强调了我的问题。这里有一些背景。
很容易找到显示最常见的木马/修改的 Linux 二进制文件和配置文件的数据。ps、ls、find、kill、lsof、passwd、shadow、syslog.conf 等都在系统被入侵后频繁更改。监视 utmp 和 wtmp 以在用户登录 Linux 系统或有人重新启动系统时发出警报也很容易。
Windows 似乎更像是一个黑匣子,通常更难以监控。部分原因是由于注册表和缺乏纯文本配置文件,而部分原因似乎是由于 Windows 的封闭源代码、未记录的性质。当我说“监控”时,我的意思是通过警报(而不是日志记录)实时知道文件已更改。当 X 可执行文件更改或本地 SAM 文件更改或病毒重新启动系统以安装受感染的 MBR 时,通过短信、电子邮件等向我发送警报。确实,完整性监控很容易,困难的部分是知道应该监控 Windows 上的哪些文件。我们无法监控所有文件并发出警报。
是否有应由 HIDS 监控的常见木马/修改 Windows 文件的官方列表?
这个来自 Norton 的删除指南有很多关于注册表项和最常见目标文件的有用信息。确定启动文件夹中的任何内容。 https://us.norton.com/support/premium_services/malware_removal_guide.pdf
例如,参见第 18-19 页。
简短的回答是,从核心 Windows 位置开始,然后随着时间的推移建立更多带有排除项的文件夹。
在 Windows 系统上,文件完整性监控应至少应用于 Program Files、Program Files (x86)、System 32 和 SysWOW64(操作系统文件、exe、驱动程序和 DLL 文件)。将 FIM 应用于 Windows 系统驱动器 C:\Windows 也是一种合法的方法,但与以往一样,监控网络的覆盖范围越广,需要管理的误报就越多。
为此,有必要排除任何已知且预计会定期更改的文件,例如实时日志和数据库文件,例如 C:\Windows\Logs。这可以确保消除来自常规活动的“噪音”,从而将注意力集中在不规则的、意外的变化上。
一个好的 Windows FIM 工具将允许通过文件类型/扩展名或通过基于正则表达式的模式匹配来应用过滤器,以完全/部分匹配文件/文件夹名称,用于包含和排除文件以进行监视。
注册表也是如此——注册表包含数百万个值,其中许多值在 Windows 服务器的常规操作期间经常更改。同样,注册表文件完整性监控的“细粒度”包含/排除配置对于提供低维护但取证精确的 FIM 解决方案至关重要。