YARA-CLI: für effektive Malware-Erkennung

 YARA-CLI: Die moderne Alternative zu veralteten Sicherheitstools  

Herkömmliche Tools wie "chkrootkit" und "rkhunter" waren einmal die erste Wahl, wenn es um die Erkennung von Rootkits ging. Doch mal ehrlich, sind diese Werkzeuge heutzutage noch sinnvoll? Die Entwicklung der letzten Jahre zeigt, dass sie nicht mehr mit den aktuellen Bedrohungen mithalten können:  

- rkhunter - wurde seit über 4 Jahren kaum noch aktualisiert. Die Signaturdatenbank? Ein einziges Update in all der Zeit.  

- chkrootkit - ist zwar etwas aktueller, aber die Definitionsdatenbank ist alles andere als up-to-date. Zudem ist es eher für den Einsatz auf Live-Systemen gedacht, nicht auf laufenden Produktivsystemen.  

Angesichts moderner Bedrohungen von hochentwickelter Malware bis hin zu Cyberangriffen staatlicher Akteure, stoßen diese Tools an ihre Grenzen. Es wird Zeit für eine Lösung, die mit den Anforderungen Schritt halten kann.  

Was ist YARA-CLI?  

"YARA-CLI" habe ich ins Leben gerufen, um Schwachstellen moderner Systeme präzise und flexibel, einfach und schnell zu erkennen. Es basiert auf "yara-scanner von iomoath" und nutzt die `.yar`-Regeln von "Neo23x0" und "THOR Lite". Mit diesem Tool kannst du:  

• Regelmäßige Updates der YARA-Regeln" ausführen, um auf dem neuesten Stand zu bleiben. (Mit aktuell 682 YAR-Regeln.) 
• Dateien und Ordner scannen, um verdächtige Muster und Anomalien zu erkennen.  
• Ergebnisse übersichtlich im Terminal anzeigen, ohne unnötige Komplexität.  

Warum YARA-CLI?  

Im Gegensatz zu chkrootkit und rkhunter geht YARA-CLI mit der Zeit:  

• Schreibe eigenen Regeln oder nutze die bewährten `.yar`-Signaturen, um gezielt zu scannen.  
• Die modernen YARA-Regeln decken ein breites Spektrum an Bedrohungen ab, die weit über die Möglichkeiten herkömmlicher Tools hinausgehen.  
• Das Tool ist schlank und lässt sich leicht in bestehende Workflows integrieren.  

Fazit 

Die Zeiten von chkrootkit und rkhunter sind vorbei. Mit YARA-CLI hast du ein modernes Werkzeug, das die Herausforderungen der heutigen Bedrohungslandschaft meistert. Es kombiniert die Power der YARA-Engine mit benutzerfreundlicher Bedienung und professionellen Regeln.  

Ich freue mich über Feedback, Verbesserungsvorschläge oder einfach nur über einen Austausch in den Kommentaren. 

Update YARA-CLI 2.3/2.4

Behobene Fehler und Änderungen

Farbliche Ausgabe des Scan-Ergebnisses:

• Treffer im Scan-Ergebnis werden nun "rot" angezeigt.
• Bei fehlenden Treffern wird eine Nachricht in "grün" ausgegeben.

Fehlerbehandlung bei der Datenbank-Aktualisierung:

• YARA-CLI zeigt nun sowohl die "Standardausgabe" als auch die "Fehlerausgabe" der Datenbank-Aktualisierung korrekt an.
• Wenn ein Fehler bei der Aktualisierung auftritt, wird der Fehlertext in der Konsole ausgegeben, um eine bessere Fehlerdiagnose zu ermöglichen.

Datenbank-Aktualisierung:

• YARA-CLI aktualisiert nun die YARA-Datenbank korrekt und schreibt das Datum der letzten Aktualisierung.

Benutzerfreundlichkeit:

• YARA-CLI fragt nun direkt nach dem Pfad für das Verzeichnis oder die Datei, die gescannt werden sollen, und bietet eine benutzerfreundliche Eingabeaufforderung.

  

Verzeichnis-Scan:

• Die Möglichkeit, ein ganzes Verzeichnis (z.B. `/lib/modules`) rekursiv zu scannen, wurde hinzugefügt.

  

Fehlermeldungen:

• Fehler beim Scannen von Ordnern oder Dateien werden nun klarer angezeigt, einschließlich detaillierter Fehlerausgaben, wenn der Scan fehlschlägt.

---

[YARA-CLI 2.5] - 12/29/2024

• Initial Release.
• Pumakit Rootkit (YAR) -rules hinzugefügt.

[YARA-CLI 2.6] - 12/29/2024 (2)

• Timeout für subprocess-Aufrufe hinzugefügt.
• Fehlerausgabe verbessert.
• Hängenbleiben bei subprocess.run durch Abbruchmöglichkeit (Timeout-Parameter) behoben.

[YARA-CLI 2.7-TEST] - 12/30/2024

• Entfernt os.chdir("../sbin"), um das Skript von überall aus ausführbar zu machen.
• Pfad zu yara_main.py wurde in absolute Form umgewandelt.
• Download der Testversion auf Nachfrage.

[YARA-CLI 2.8] - 12/31/2024

• os.environ["PATH"]: Root-Rechtsüberprüfung wird der PATH um .*. erweitert.
• subprocess.run()-Befehle geänderter PATH, und wird nun korrekt aufgerufen.
• Bugfixes

[YARA-CLI 3.0/3.1-BETA] - 01/01/2025

• Überarbeitete update_database()-Funktion.
• Verbesserte Fehlerbehandlung.
• Integration eines Timeout-Mechanismus.
• Logging hinzugefügt.
• Minor Release

[YARA-CLI 3.2-BETA] - 01/02/2025

• Verbesserte Fehlerbehandlung: Verarbeitung optimiert.
• Logging erweitert: (Update) Ereignisse und Fehlermeldungen werden dokumentiert.
• Scan-Performance: Optimierungen im Scanprozess.
• Robustheit erhöht: Für stabileres Verhalten unter verschiedenen Bedingungen.
• Timeout: Automatische Wiederaufnahme beim Aktualisieren der Datenbank.

[YARA-CLI 3.2-FINAL] - 01/02/2025

• Vollständig getestet: Für den produktiven Einsatz bereit.

ConLuks-CLI - Luks Volume Creator

Es gibt viele Möglichkeiten, verschlüsselte Volumes mit LUKS unter Linux zu erstellen. Doch warum kompliziert, wenn es auch einfach geht? ConLuks macht das Anlegen und Verwalten von LUKS-Volumes jetzt noch einfacher, schneller und flexibler!

Mit nur wenigen Eingaben erstellt das Tool LUKS-Volumes, bietet die Wahl zwischen mehreren Dateisystemen und integriert sich nahtlos in Dateimanager wie Thunar.

Was ist neu in Version 7.0?

Unterstützung für mehrere Dateisysteme:

• ext4, xfs, btrfs, vfat, ntfs und exfat können jetzt ausgewählt werden.
• Mindestgrößenanforderungen für bestimmte Dateisysteme werden automatisch geprüft.

Verbesserte Mount- und Unmount-Optionen:

• Ein übersichtliches Menü zeigt alle verfügbaren und gemounteten LUKS-Volumes an.
• Loop-Geräte werden nach dem Unmounten automatisch entfernt.

Benutzerrechte:

• Der Mount-Punkt wird automatisch mit den richtigen Benutzerrechten versehen.

Automatische Formatierung:

• Das Tool erkennt, ob ein neues LUKS-Volume ein Dateisystem benötigt, und bietet die automatische Formatierung an.

Funktionen:

Erstellt LUKS-Volumes aus Dateien: 

• Eine Datei wird als Blockgerät verwendet, auf dem das LUKS-Volume basiert.

Sicher: 

• Verschlüsselung mit AES-256 (SHA-512).

Flexibel: 

• Unterstützt verschiedene Dateisysteme und bietet einfache Mount- und Unmount-Optionen.

Nahtlose Integration: 

• Gemountete Volumes erscheinen direkt im Dateimanager.

Für wen ist das Tool geeignet?

Dieses Tool ist ideal für:

• Einsteiger: Einfache Bedienung mit klaren Anweisungen.
• Fortgeschrittene Nutzer: Flexibilität durch mehrere Dateisysteme und Optionen.

Zukünftige Features

In kommenden Versionen plane ich:

• Unterstützung für physische Laufwerke.
• Anpassung der Verschlüsselungsalgorithmen.
• Erweiterte Konfigurationsoptionen für erfahrene Nutzer.

Passwort-Manager v1.7.4 mit TOTP-Funktionalität

Dieser Passwort-Manager, der auf "password-store" basiert, bietet eine benutzerfreundliche und effiziente Lösung zur Anzeige von Passwörtern und zeitbasierten Einmalpasswörtern (TOTP). Er nutzt "pass", ein sicheres Passwort-Management-Tool, um Passwörter in verschlüsselten GPG-Dateien zu speichern. Neben der sicheren Speicherung von Passwörtern kann das Tool auch TOTP-Codes generieren, die für die Zwei-Faktor-Authentifizierung (2FA) verwendet werden.

Der Passwort-Manager bietet eine einfache Möglichkeit, durch deine Passwortliste zu navigieren und entweder Passwörter oder OTPs anzuzeigen. Die Benutzeroberfläche ist klar strukturiert und ermöglicht das einfache Hinzufügen, Bearbeiten und Löschen von Passwörtern. Bei der Auswahl eines Passworts kannst du auf alle gespeicherten Informationen zugreifen; der Passwort-Manager zeigt dir je nach Wahl entweder das Passwort oder den TOTP-Code an.

Hinweis: Zum Schutz der Privatsphäre werden nur die ersten drei Zeilen eines Passworts angezeigt, während alle weiteren Zeilen durch Sternchen ersetzt werden, um sensible Informationen zu sichern. Außerdem werden die OTPs und Schlüssel nach 45 Sekunden automatisch aus der Zwischenablage gelöscht. 

Fazit

Dieser Passwort-Manager kombiniert Sicherheit, Benutzerfreundlichkeit und Flexibilität und ist ideal für jeden, der eine einfache grafische Lösung für password-store sucht. Durch die Verwendung von TOTP wird eine zusätzliche Sicherheitsebene hinzugefügt, die in der heutigen Zeit besonders wichtig ist.

Einmalschlüssel-Verfahren (OTP) - Padlocker-3.9.2

 Padlocker - Der paranoid-sichere Passwort-Manager

Vor etwa drei Jahren begann ich mithilfe von Dokumentationen mit der Entwicklung der OTP-Einmalschlüssel-Bibliothek, die heute ausgereift und zuverlässig zur Erstellung zufälliger Pads sowie zum Verschlüsseln und Entschlüsseln dient, entweder mit Pseudozufallszahlen aus /dev/urandom oder, im paranoiden Modus, mit echten Zufallszahlen aus /dev/random, was jedoch zeitaufwändiger ist.

Kurz..

Die OTP-Bibliothek dient zur Erstellung des Pads mit Zufallszahlen, unwiederufliche Zerstörung des unverschlüsselten Schlüssel aus /dev/shm/*), Verschlüsselung und Entschlüsselung von Dateien mithilfe eines Schlüsselableitungsalgorithmus.

Der Trick bei der One-Time-Pad-Verschlüsselung ist die XOR-Operation. XOR hat diese besondere Eigenschaft, dass es, wenn man es zweimal anwendet, wieder den Originalwert zurückgibt. 

Hier mal grob erklärt, wie das läuft ..

Stell dir vor, wir haben eine Nachricht, nennen wir sie Marco, und ein zufälliges Pad, nennen wir es Peter. Um Marco zu verschlüsseln, mischt Padlocker jede Stelle (also jedes Byte) von Marco mit der entsprechenden Stelle in Peter.. das nennt man XOR. Das Ergebnis ist die verschlüsselte Nachricht Claudia.

Jetzt kommt es ..

Um Marco wieder zurückzubekommen, muss man einfach noch einmal XOR zwischen Claudia und Peter machen. Dabei wird jede Byte-Position wieder zum Original zurückverwandelt, zack, Marco ist entschlüsselt!

Zusammengefasst sieht das dann so aus ..

• Verschlüsselung: Claudia = Marco XOR Peter 
• Entschlüsselung: Marco = Claudia XOR Peter

Padlocker macht also nichts anderes, als für jedes Byte in der verschlüsselten Nachricht das Pad zu nehmen, das gleiche XOR-Verfahren anzuwenden und das Ergebnis als Originalnachricht zurückzuholen.

Warum das Pad wichtig ist und wie die Bibliothek es verwendet (kurz erklärt)

Das Pad ist hier der Star, denn ohne geht gar nichts. Wenn z.B. die Nachricht „Ich bin ein Hecht“ verschlüsselt wird und z.B. ein 10 GB an zufälligem Pad hat, wird genau der Abschnitt, den man zur Verschlüsselung genutzt hast, zur Entschlüsselung wieder gebraucht. Padlocker muss also wissen, wo im Pad es genau zu lesen beginnen soll, und das funktioniert hier ganz clever.

Wie also ? .. Padlocker beginnt beim ersten Byte und nutzt nur genau so viele Bytes, wie zur Verschlüsselung der Nachricht nötig sind.

Die Länge des Pads (Schlüssel) muss also immer mindestens so lang sein wie die verschlüsselte Nachricht, sonst klappt das Ganze nicht.

Zusammengefasst, Padlocker liest die verschlüsselte Datei und das Pad Byte für Byte. Es XORt jedes Byte der verschlüsselten Nachricht mit dem Pad und schreibt das Ergebnis als entschlüsselte Nachricht in eine neue Datei.

Wichtig ist.. Der Schlüssel im Pad wird niemals wiederverwendet, was sicherstellt, dass jede Nachricht einzigartig bleibt und nicht zurückverfolgt werden kann.

So einfach funktioniert’s. Das Pad garantiert, dass die Nachricht sicher bleibt, und durch die XOR-Entschlüsselung landet die Originalnachricht wieder auf deiner Festplatte.

Mehr Infos auf Wikipedia

One-Time-Pad

Update Padlocker-3.9.4 - (22/03/2024)

• Unterstützung von verschlüsselten USB-Sticks. 

Update Padlocker-3.9.3 - (11/02/2024)

• Einige kleinere Bugs behoben.
• Unterstützung von Backups

Schlüssel-Generator 2.0

Key Generator 2.0 ermöglicht die Erstellung individueller Schlüssel mit variabler Länge und einer Vielzahl von Zeichenarten. Nutzer können festlegen, ob der Schlüssel Zahlen, Großbuchstaben, Kleinbuchstaben oder Sonderzeichen enthalten soll. Die generierten Schlüssel werden mithilfe von Zufallszahlen aus /dev/urandom erzeugt, was eine hohe Sicherheit gewährleistet.

Die generierten Schlüssel lassen sich mit nur einem Klick in die Zwischenablage kopieren, wobei xclip für diese Funktion verwendet wird. Darüber hinaus besteht die Möglichkeit, die Zwischenablage nach der Verwendung zu leeren, um zusätzlichen Schutz der Daten zu bieten.

Fazit

Key Generator 2.0 stellt eine effektive Lösung zur Erstellung sicherer Schlüssel dar. Es kombiniert Benutzerfreundlichkeit mit flexibler Funktionalität und bietet damit eine benutzerfreundliche Möglichkeit, Schlüssel nach individuellen Anforderungen zu generieren.