Obično test penetracije počinje skeniranjem ranjivosti. Dobar skener uvijek sadrži ažurnu bazu podataka poznatih ranjivosti i, skeniranjem vaše mreže, prijavljuje prisutnost jednog ili drugog. Naš daljnji rad je provjeriti je li svaka od pronađenih ranjivosti doista podložna iskorištavanju, jer Skeneri ranjivosti često daju lažne rezultate.

Jedan od najpopularnijih skenera ranjivosti na tržištu je Nessus Vulnerability Scanner. Postao je svojevrsni standard za skenere ranjivosti. Izvorno je započeo kao projekt otvorenog koda. Kasnije ga je preuzeo Tenable i sada je komercijalni proizvod (profesionalna verzija). Unatoč tome, Nessus Scanner još uvijek ima "Home" verziju, koja se distribuira besplatno, ali ima ograničenje od 16 IP adresa. Upravo ćemo ovu verziju razmotriti u ovom priručniku s uputama.

Budući da smo "haker", nakon skeniranja dobivamo puni popis ranjivosti za koje samo trebate pronaći exploite. Nažalost, skeneri ranjivosti su vrlo bučni i budni administratori mogu otkriti njihov rad. Međutim, nemaju sve organizacije takve administratore.

Ne zaboravite važne točke u vezi sa skenerima ranjivosti. Ne mogu otkriti 0-dnevne ranjivosti. Poput antivirusnih softverskih proizvoda, njihove baze podataka moraju se ažurirati svaki dan da bi bile učinkovite.

Svaki pentester koji poštuje sebe trebao bi poznavati Nessus Scanner. Mnoge prilično velike organizacije diljem svijeta koriste ga u kombinaciji sigurnost informacija.

Nedavno ga je čak i američka vlada počela koristiti za traženje ranjivosti. Gotovo svaki savezni ured i američka vojna baza širom svijeta sada koriste Nessus.

Pogledajmo kakav je ovaj program na djelu!

Korak 1. Besplatno preuzmite Nessus Scanner

Pronalaženje besplatne kućne verzije Nessus Home na Tenableu nije jednostavno. Stoga smo za vas pripremili izravni link.

Za dobivanje besplatna verzija Registracija je obavezna, stoga ćete morati unijeti svoju e-mail adresu kako biste primili aktivacijski kod.

Korak 2: Pokrenite Nessus

Nakon dovršetka instalacije otvorit će se zadani preglednik s porukom prikazanom u nastavku. Nessus je izgrađen na arhitekturi klijent-poslužitelj. Instalirali ste poslužitelj na localhost, a preglednik se ponaša kao klijent.

Najvjerojatnije ćete dobiti poruku koja kaže: "Vaša veza nije sigurna." Pritisnite "Napredno".

Zatim dodajte iznimke za povezivanje Nessusa na priključku 8834.

Korak 3: Postavite Nessus Home

Gotovo je sve spremno za traženje ranjivosti!

Trebate stvarati račun. To je ono što ćete morati navesti da biste se prijavili na Nessus.

Nakon unosa korisničkog imena i lozinke morat ćete aktivirati proizvod. Pronađite pismo s aktivacijskim kodom u svojoj pošti i unesite ga u odgovarajuće polje na svojoj Nessus stranici.

Nakon što se to učini, Nessus će početi preuzimati sva najnovija ažuriranja i dodatke potrebne za pronalaženje ranjivosti u vašoj mreži. Proces može potrajati neko vrijeme.

Korak 4: Pokrenite skeniranje ranjivosti

Kada Nessus dovrši ažuriranje, dočekat će vas zaslon poput ovog ispod. Pritisnite "Novo skeniranje".

Ovo će otvoriti novu stranicu na kojoj možete odabrati vrstu skeniranja. Imajte na umu da uvijek sadrži najnovije modele prijetnji danas.

Kliknimo na "Basic Network Scan".

Otvorit će se stranica slična donjoj, na kojoj će se od vas tražiti da unesete naziv vašeg skeniranja (možete unijeti bilo što što vam se čini logičnim, na primjer Prvo skeniranje). Također ćete morati navesti čvorove koje ćemo skenirati. Možete navesti cijelu podmrežu IP adresa 192.168.1.0/24. Pritisnite "Spremi".

Sada kliknite gumb "Pokreni" za početak skeniranja ranjivosti.

Korak 5: Pregledajte rezultate skeniranja

Na temelju rezultata skeniranja dobivamo popis IP adresa i rizika povezanih s njima. Rizici su kodirani bojama.

Pritisnite "ranjivosti" u gornjem izborniku za prikaz svih ranjivosti pronađenih na mreži.

Ako kliknemo na određenu ranjivost, dobit ćemo više detaljne informacije. Ispod je primjer ranjivosti CodeMeter.

Važno je napomenuti da izvješće osim opisa ranjivosti sadrži i metodu za njezino popravljanje i zatvaranje (odjeljak Rješenje).

Zaključak

Nessus Vulnerability Scanner tvrtke Tenable, čak iu besplatnoj Home verziji, prilično je jednostavan za korištenje, ali u isto vrijeme moćan skener ranjivosti. Njegova glavna prednost je što uvijek može pronaći aktualne modele prijetnji za čiju će mogućnost iskorištavanja brzo i učinkovito provjeriti vašu mrežu.

Ne zaboravite da je uspjeh visokokvalitetne informacijske sigurnosti redovita revizija!

Ali ne zaboravite da skeniranje tuđih mreža može imati posljedice u vidu problema sa zakonom!

Vrijeme je da upoznate drugu vrstu softver, dizajniran za zaštitu od internetskih prijetnji. Skeneri ranjivosti su složena rješenja koja se mogu sastojati i od hardvera i softver, dizajniran za kontinuirano skeniranje statusa korporativna mreža, za učinke virusa ili sumnjivih procesa. Njihov glavni zadatak je procijeniti sigurnost procesa te pronaći ranjivosti i ukloniti ih.

Skener ranjivosti ili skener ranjivosti, daje administratoru mogućnost traženja „rupa“ ili „stražnjih vrata“ koja postoje u mreži, uz pomoć kojih hakeri i prevaranti mogu dobiti pristup mreži tvrtke i povjerljivim podacima. Osim toga, skeneri uključuju alate za skeniranje trčanje usluga i procesore, kao i skenere portova.

Na temelju toga možemo istaknuti sljedeće funkcije skenera ranjivosti:

• Potraga za ranjivostima i njihova analiza.
• Provjera svih resursa na mreži, uređaja, operativnog sustava, priključaka, aplikacija, procesa itd.
• Generirajte izvješća koja ukazuju na ranjivost, njen put i prirodu.

Kako rade skeneri ranjivosti?

Skener se temelji na dva mehanizma. Prvi mehanizam je tzv. sondiranje. Nije jako brz, ali je najučinkovitiji alat za aktivnu analizu. Njegova bit je da sam pokreće napade i prati kuda ti napadi mogu ići. Tijekom sondiranja potvrđuju se moguće pretpostavke i mogućnost napada u određenim smjerovima.

Drugi mehanizam je skeniranje. U ovom slučaju alat radi brzo, ali se provodi samo površna analiza mreže, gledajući najčešće i moguće “rupe” u mrežnoj sigurnosti. Razlika između druge metode je u tome što ne potvrđuje prisutnost ranjivosti, već samo obavještava administratora o njenoj mogućnosti, na temelju neizravnih znakova. Na primjer, portovi se skeniraju, utvrđuju se njihova zaglavlja, a zatim se uspoređuju s referentnim tablicama i pravilima. Ako postoji odstupanje između vrijednosti, skener obavještava da je pronađena potencijalna ranjivost koju administrator mora provjeriti pomoću pouzdanijih metoda.

Osnovni principi skenera ranjivosti

Prikupljanje svih informacija na mreži, identifikacija svih usluga, uređaja i procesa.

Potražite potencijalne ranjivosti

Korištenje specijaliziranih metoda i napada modeliranja za potvrdu ranjivosti (nije dostupno u svim mrežnim skenerima)

Izbor najboljih skenera ranjivosti

Nessus. Davne 1998. godine tvrtka Tenable Network Security počela je razvijati vlastiti skener ranjivosti zahvaljujući kojem je odlično iskustvo i daleko je ispred na svom polju. Dugi niz godina njihov skener bio je komercijalni softver. Glavna značajka Nessus skener je mogućnost proširenja funkcionalnosti pomoću dodataka. Stoga se moćni testovi, kao što su penetracijski testovi ili drugi, ne instaliraju zajedno s glavnim modulom, već se po potrebi spajaju odvojeno. Svi dodaci mogu se podijeliti u 42 kategorije. To znači da, primjerice, za provođenje pintest (test prodora) nije potrebno pokrenuti potpuno skeniranje, već možete odabrati samo testove iz određene kategorije ili ručno odabrati testove. Osim toga, Nessus ima svoj poseban skriptni jezik, tako da administratori mogu sami napisati testove koji su im potrebni.

Sigurnosna provjera Symanteca. Glavne funkcije ovog skenera su traženje crva, trojanaca, virusa i skeniranje lokalna mreža, za otkrivanje zaraza. Ovaj se proizvod lako instalira i ima glavni kontrolni centar u pregledniku. Rješenje uključuje dva modula: SecurityScan i VirusDetection. Prvi skenira mrežu, drugi skenira i provjerava uređaj na viruse.Neki stručnjaci savjetuju korištenje Symantec rješenja za dodatno skeniranje.

Xspider. Prema programeru, njihovo rješenje može identificirati trećinu svih mogućih ranjivosti, nazvanih "nulti dan". Glavna prednost ovog skenera je mogućnost identificiranja maksimalnog broja "rupa" u sigurnosnom sustavu prije nego što ih hakeri otkriju. Ovaj skener ne zahtijeva dodatni softver. Nakon analize, generira potpuno izvješće s pronađenim ranjivostima i moguće načine njihovu eliminaciju.

Rapid 7 NeXpose. Rapid 7 je, prema statistikama, najbrže rastuća tvrtka u U zadnje vrijeme. Nedavno je tvrtka kupila projekt Metaspoilt Fremawork, koji je stvorio sada popularni NeXpose. Za korištenje komercijalne verzije proizvoda morat ćete platiti popriličan iznos za licencu, ali postoji i pristupačnija Community verzija, koja ima slabiju funkcionalnost. Proizvod se lako integrira s Metaspoiltom. Shema rada ovu odluku nije jednostavno, prvo morate pokrenuti NeXpose, zatim upravljačku konzolu Metaspoilt, a tek nakon toga možete započeti skeniranje, koje se u isto vrijeme konfigurira ne putem upravljačke ploče, već pomoću posebnih naredbi. Posebna značajka je mogućnost pokretanja raznih Metaspoilt modula s NeXposeom.

Obično je prva faza potpunog testiranja prodora skeniranje mreže u potrazi za ranjivostima. Softverski skeneri koriste posebne baze podataka (moraju biti ažurne) ranjivosti za traženje problema u određenoj mreži. Ali glavni zadatak je malo drugačiji. Cilj nam je utvrditi jesu li te prijetnje doista opasne, jer vrlo često skeneri oglašavaju lažni alarm.

Mnogi stručnjaci biraju Nessus Professional (NP), koji je postao svojevrsni standard kvalitete među skenerima ranjivosti. NP je izvorno koristio ideju otvorenog izvorni kod, ali ga je kasnije otkupio Tenable. Na ovaj trenutak NP je djelomično komercijalni proizvod: ovo se odnosi samo na profesionalnu verziju. Međutim, postoji besplatna Home verzija, koja ima ograničenje od 16 IP adresa.

Nakon skeniranja, program će dati izvješće o pronađenim ranjivostima, čiju stvarnu opasnost tek treba provjeriti. Većina skenera radi dosta “traljavo” pa će to vrlo pažljiv administrator brzo primijetiti. Ali nemaju sve tvrtke takve stručnjake.

Obratite pozornost na nekoliko važnih detalja u vezi s korištenjem skenera: oni ne pronalaze ranjivosti nultog dana, a također zahtijevaju stalno ažuriranje baze podataka za što precizniji rad.

Svatko tko se bavi pentestingom mora znati koristiti Nessus Scanner (NS), jer ogroman broj tvrtki diljem svijeta aktivno koristi NS u svojoj IT infrastrukturi. Imajte na umu da ga čak i američke vladine agencije koriste za pronalaženje problema u svojim mrežama. To znači da su gotovo sve savezne i vojne agencije SAD-a blisko upoznate s Nessus tehnologijama.

Pa kakva je ovo zvijer, idemo je instalirati i upoznati se s njenom funkcionalnošću?

Faza 1: kupnja licence i instaliranje Nessus skenera

Da biste dobili vlastitu licencu, morate kupiti i unijeti adresu e-pošte na koju će biti poslan aktivacijski kod.

Prije početka preuzimanja odaberite vrstu i bitnost operativnog sustava koji koristite (podržani OS: WinServer, MacOS X, Linux, FreeBSD, GPG ključevi).

Korak 2: Početak rada s Nessusom

Nakon završetka postupka instalacije, vaš zadani preglednik automatski će se pokrenuti i prikazati standardnu ​​poruku. Nessus koristi model klijent-poslužitelj. Klijent je vaš preglednik, a poslužitelj je instaliran na lokalnom računalu.

Sigurno će poruka sadržavati tekst: “Vaša veza nije sigurna.” Odaberite "Napredno".

Nakon toga postavite iznimku za povezivanje Nessusa na priključku 8834.

Faza 3: Početno postavljanje

Još je malo vremena ostalo do prave zabave! Aktivirajte svoju licencu nakon što unesete prijavu i lozinku. Za aktiviranje vam je potreban poseban ključ koji je poslan na elektronička pošta na svoju e-poštu. Sada ga jednostavno unesite u potrebno polje na stranici sustava Nessus. Već aktivirani program počet će preuzimati najnovija ažuriranja i dodatke koji će biti potrebni za skeniranje mreža. Ovo nije najbrži proces.

Korak 4: Započnite skeniranje

Nakon dovršetka ažuriranja, Nessus će automatski otvoriti početni zaslon za skeniranje. Slobodno kliknite "Novo skeniranje".

Otkrit će nam se nova stranica, gdje možete odrediti vrstu skeniranja.

Odaberite "Osnovno skeniranje mreže".

Ovo otvara drugu stranicu posvećenu postavljanju odabranog skeniranja. Navedite ID procesa (po prvi put možete odabrati nešto razumljivije, recimo MyFirstScan). Odaberite mrežne hostove koje trebate skenirati (možete čak odabrati i cijelu podmrežu IP adresa preko 192.168.1.0/24). Pritisnite "Spremi".

Da biste pokrenuli skener, morate kliknuti "Pokreni".

Faza 5: Rezultati

Kao rezultat toga, Nessus će dati popis IP adresa i njihovih povezanih prijetnji, koje imaju indikator u boji.

Kliknite "ranjivosti" da biste vidjeli potpuni popis problema pronađenih na testiranoj mreži.

Da biste dobili detaljne informacije o problemu koji vas zanima, jednostavno kliknite na njega.

Imajte na umu da program pruža ne samo opise ranjivosti, već i načine za njihovo uklanjanje (nalaze se na kartici Rješenje).

Sažimajući

Nessus skener, koji možete kupiti putem poveznice - ovo je praktičan i učinkovit alat koji vam omogućuje postizanje izvrsnih rezultata čak i ako koristite svoju besplatnu verziju. Njegova glavna prednost je stalno ažurirana baza podataka svih vrsta prijetnji koje se mogu iskoristiti, za čiju prisutnost može lako provjeriti potrebnu mrežu.

I zapamtite Ključ sigurnosti svakog IT sustava je njegova redovita revizija!

p.s. Ne šalite se sa zakonom skeniranjem tuđih mreža bez pristanka njihovog vlasnika!

Problem epidemije mrežnih crva relevantan je za svaku lokalnu mrežu. Prije ili kasnije može doći do situacije da mrežni crv ili crv e-pošte prodre u LAN, a antivirusni program koji se koristi ga ne otkrije. Mrežni virus širi se LAN-om kroz ranjivosti operativnog sustava koji nisu bili zatvoreni u vrijeme infekcije ili kroz zajedničke resurse za pisanje. Virus e-pošte, kao što ime sugerira, širi se putem e-pošte, pod uvjetom da ga ne blokira antivirus klijenta i antivirus na poslužitelj pošte. Osim toga, epidemija na LAN-u može se organizirati iznutra kao rezultat aktivnosti insajdera. U ovom članku ćemo pogledati praktične metode za operativnu analizu LAN računala pomoću različitih alata, posebno pomoću autorovog uslužnog programa AVZ.

Formulacija problema

Ako se na mreži otkrije epidemija ili neka abnormalna aktivnost, administrator mora brzo riješiti najmanje tri zadatka:

• otkriti zaražena računala na mreži;
• pronaći uzorke zlonamjernog softvera za slanje u antivirusni laboratorij i razviti strategiju protudjelovanja;
• poduzeti mjere za blokiranje širenja virusa na LAN-u i uništiti ga na zaraženim računalima.

U slučaju insajderske aktivnosti, glavni koraci analize su identični i najčešće se svode na potrebu otkrivanja softvera treće strane koji je insajder instalirao na LAN računala. Primjeri takvog softvera uključuju pomoćne programe udaljena administracija, keyloggeri i razne trojanske oznake.

Razmotrimo detaljnije rješenje svakog od zadataka.

Potražite zaražena računala

Za traženje zaraženih računala na mreži možete koristiti najmanje tri metode:

• automatska udaljena analiza računala - dobivanje informacija o pokrenutim procesima, učitanim bibliotekama i upravljačkim programima, traženje karakterističnih uzoraka - na primjer, procesa ili datoteka s određenim imenima;
• proučavanje prometa na osobnom računalu pomoću sniffera - ova je metoda vrlo učinkovita za hvatanje spam robota, e-pošte i mrežnih crva, međutim, glavna poteškoća u korištenju sniffera je zbog činjenice da je moderni LAN izgrađen na temelju prekidača i, kao Kao rezultat toga, administrator ne može nadzirati promet cijele mreže. Problem se može riješiti na dva načina: pokretanjem sniffera na usmjerivaču (koji vam omogućuje praćenje razmjene podataka između osobnog računala i interneta) i korištenjem nadzornih funkcija preklopnika (mnogi moderni preklopnici omogućuju vam dodjeljivanje nadzornog porta koji je dupliciran promet jednog ili više portova preklopnika koje je odredio administrator);
• proučavanje mrežnog opterećenja - u ovom slučaju vrlo je prikladno koristiti pametne sklopke, koje vam omogućuju ne samo procjenu opterećenja, već i daljinsko onemogućavanje priključaka koje je odredio administrator. Ova operacija značajno je pojednostavljeno ako administrator ima mapu mreže koja sadrži informacije o tome koja su računala spojena na odgovarajuće priključke preklopnika i gdje se nalaze;
• korištenje honeypotova - toplo se preporuča kreirati nekoliko honeypotova na lokalnoj mreži koji će administratoru omogućiti pravovremeno otkrivanje epidemije.

Automatska analiza računala na mreži

Automatska PC analiza može se svesti na tri glavne faze:

• provođenje kompletnog računalnog pregleda - pokrenuti procesi, učitane biblioteke i upravljački programi, automatsko pokretanje;
• provođenje operativnih istraživanja - na primjer, traženje karakterističnih procesa ili datoteka;
• karantena objekata prema određenim kriterijima.

Svi gore navedeni problemi mogu se riješiti pomoću autorovog uslužnog programa AVZ, koji je dizajniran za pokretanje iz mrežne mape na poslužitelju i podržava skriptni jezik za automatsku inspekciju računala. Za pokretanje AVZ-a na korisničkim računalima morate:

1. Postavite AVZ u mrežnu mapu na poslužitelju koja je otvorena za čitanje.
2. Stvorite poddirektorije LOG i Qurantine u ovoj mapi i dopustite korisnicima da pišu u njih.
3. Pokrenite AVZ na LAN računalima pomoću uslužnog programa rexec ili skripte za prijavu.

Pokretanje AVZ-a u koraku 3 trebalo bi izvršiti sa sljedećim parametrima:

\\my_server\AVZ\avz.exe Prioritet=-1 nw=Y nq=Y HiddenMode=2 Skripta=\\my_server\AVZ\my_script.txt

U ovom slučaju, parametar Priority=-1 smanjuje prioritet AVZ procesa, parametri nw=Y i nq=Y prebacuju karantenu u način rada "mrežni rad" (u ovom slučaju, poddirektorij se stvara u mapi karantene za svako računalo, čiji naziv odgovara mrežnom nazivu osobnog računala) , HiddenMode=2 upućuje da se korisniku uskrati pristup GUI i AVZ kontrolama, i na kraju, najvažniji parametar Script navodi puni naziv skripte s naredbe koje će AVZ izvršavati na računalu korisnika. AVZ skriptni jezik vrlo je jednostavan za korištenje i usmjeren je isključivo na rješavanje problema računalnog pregleda i liječenja. Kako biste pojednostavili proces pisanja skripti, možete koristiti specijalizirani uređivač skripti, koji sadrži online upit, čarobnjaka za izradu standardnih skripti i alate za provjeru ispravnosti napisane skripte bez pokretanja (slika 1).

Riža. 1. AVZ uređivač skripti

Pogledajmo tri tipične skripte koje bi mogle biti korisne u borbi protiv epidemije. Prvo, trebamo skriptu za istraživanje računala. Zadatak skripte je ispitati sustav i izraditi protokol s rezultatima u zadanoj mrežnoj mapi. Skripta izgleda ovako:

AktivirajWatchDog(60 * 10);

// Započnite skeniranje i analizu

// Istraživanje sustava

ExecuteSysCheck(GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//Isključi AVZ

Tijekom izvođenja ove skripte, HTML datoteke s rezultatima proučavanja mrežnih računala bit će kreirane u mapi LOG (pod pretpostavkom da je kreirana u AVZ direktoriju na poslužitelju i dostupna je korisnicima za pisanje), te osigurati jedinstvenost, ime računala koje se ispituje uključeno je u naziv protokola. Na početku skripte nalazi se naredba za uključivanje nadzornog mjerača vremena, koji će nasilno prekinuti AVZ proces nakon 10 minuta ako dođe do kvarova tijekom izvođenja skripte.

AVZ protokol je prikladan za ručno proučavanje, ali je malo koristan za automatiziranu analizu. Osim toga, administrator često zna naziv datoteke zlonamjernog softvera i treba samo provjeriti prisutnost ili odsutnost ovu datoteku, i ako je dostupno, karantenu za analizu. U ovom slučaju možete koristiti sljedeću skriptu:

// Omogući nadzorni mjerač vremena na 10 minuta

AktivirajWatchDog(60 * 10);

// Traži zlonamjerni softver po nazivu

QuarantineFile('%WinDir%\smss.exe', 'Sumnjivo oko LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'Sumnja na LdPinch.gen');

//Isključi AVZ

Ova skripta koristi funkciju QuarantineFile za pokušaj stavljanja navedenih datoteka u karantenu. Administrator može samo analizirati sadržaj karantene (mapa Karantena\naziv_mreže_PC\datum_karantene\) na prisutnost datoteka u karanteni. Imajte na umu da funkcija QuarantineFile automatski blokira karantenu datoteka identificiranih sigurnom AVZ bazom podataka ili Microsoftovom bazom podataka digitalnih potpisa. Za praktična aplikacija ova se skripta može poboljšati - organizirati učitavanje naziva datoteka iz vanjske tekstualne datoteke, provjeriti pronađene datoteke u AVZ bazama podataka i generirati tekstualni protokol s rezultatima rada:

// Traži datoteku s navedenim nazivom

funkcija CheckByName(Fname: string) : booleov;

Rezultat:= DatotekaPostoji(FName) ;

ako Rezultat onda počnite

case CheckFile(FName) od

1: S:= ', pristup datoteci je blokiran';

1: S:= ', otkriveno kao zlonamjerni softver ('+GetLastCheckTxt+')';

2: S:= ', sumnja skener datoteka ('+GetLastCheckTxt+')';

3: izlaz; // Sigurne datoteke se zanemaruju

AddToLog('Datoteka '+NormalFileName(FName)+' ima sumnjiv naziv'+S);

//Dodati navedena datoteka u karanteni

KarantenaDatoteka(FName,'sumnjiva datoteka'+S);

SuspNames: TStringList; // Popis imena sumnjivih datoteka

// Provjera datoteka u odnosu na ažuriranu bazu podataka

ako FileExists(GetAVZDirectory + ‘files.db’) tada počnite

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Učitana baza podataka imena - broj zapisa = '+inttostr(SuspNames.Count));

// Petlja pretraživanja

for i:= 0 do SuspNames.Count - 1 do

ProvjeriteByName(SuspNames[i]);

AddToLog('Pogreška pri učitavanju popisa naziva datoteka');

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+’_files.txt’);

Da bi ova skripta radila, morate stvoriti direktorije Karantena i LOG u mapi AVZ, dostupni korisnicima za pisanje, kao i tekstualna datoteka files.db - svaki redak ove datoteke sadržavat će naziv sumnjive datoteke. Imena datoteka mogu uključivati ​​makronaredbe, od kojih su najkorisnije %WinDir% (put do mapa Windows) i %SystemRoot% (put do mape System32). Drugi smjer analize mogao bi biti automatsko ispitivanje popisa procesa koji se izvode na korisničkim računalima. Informacije o pokrenutim procesima nalaze se u protokolu istraživanja sustava, ali za automatsku analizu prikladnije je koristiti sljedeći fragment skripte:

postupak ScanProcess;

S:= ''; S1:= '';

//Ažuriranje popisa procesa

RefreshProcessList;

AddToLog(‘Broj procesa = ‘+IntToStr(GetProcessCount));

// Ciklus analize primljene liste

for i:= 0 do GetProcessCount - 1 do start

S1:= S1 + ',' + EkstraktImenaDatoteke(GetProcessName(i));

// Traženje procesa po nazivu

if pos(‘trojan.exe’, LowerCase(GetProcessName(i))) > 0 then

S:= S + GetProcessName(i)+’,’;

ako S<>''zatim

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

Istraživanje procesa u ovaj scenarij je implementiran kao zasebna ScanProcess procedura, tako da ga je lako staviti u vlastitu skriptu. Procedura ScanProcess gradi dva popisa procesa: potpuni popis procesa (za naknadnu analizu) i popis procesa koji se, sa stajališta administratora, smatraju opasnima. U ovom slučaju, u svrhu demonstracije, proces pod nazivom "trojan.exe" smatra se opasnim. Podaci o opasnim procesima dodaju se u tekstualnu datoteku _alarm.txt, podaci o svim procesima dodaju se u datoteku _all_process.txt. Lako je vidjeti da možete zakomplicirati skriptu dodajući joj, na primjer, provjeru datoteka procesa u bazi podataka sigurne datoteke ili provjera imena izvršnih datoteka procesa u odnosu na vanjsku bazu podataka. Sličan postupak koristi se u AVZ skriptama koje se koriste u Smolenskenergo: administrator povremeno proučava prikupljene informacije i modificira skriptu, dodajući joj nazive procesa programa koji su zabranjeni sigurnosnom politikom, na primjer ICQ i MailRu.Agent, što omogućuje možete brzo provjeriti prisutnost zabranjenog softvera na računalima koja se proučavaju. Još jedna upotreba popisa procesa je pronalaženje računala na kojima nedostaje potreban proces, poput antivirusnog programa.

Za kraj, pogledajmo posljednju od korisnih skripti za analizu - skriptu za automatsku karantenu svih datoteka koje sigurna AVZ baza podataka i Microsoftova baza digitalnih potpisa ne prepoznaju:

// Izvođenje autokarantene

ExecuteAutoQuarantine;

Automatska karantena ispituje pokrenute procese i učitane biblioteke, usluge i upravljačke programe, oko 45 metoda automatskog pokretanja, module proširenja preglednika i istraživača, rukovatelje SPI/LSP-om, poslove planera, rukovatelje sustava ispisa itd. Posebna značajka karantene je da se u nju dodaju datoteke s kontrolom ponavljanja, tako da se funkcija autokarantene može više puta pozivati.

Prednost automatske karantene je u tome što uz njenu pomoć administrator može brzo prikupiti potencijalno sumnjive datoteke sa svih računala na mreži radi pregleda. Najjednostavniji (ali vrlo učinkovit u praksi) oblik proučavanja datoteka može biti provjera dobivene karantene s nekoliko popularnih antivirusnih programa u maksimalnom heurističkom načinu rada. Treba napomenuti da istovremeno pokretanje automatske karantene na nekoliko stotina računala može stvoriti veliko opterećenje mreže i poslužitelja datoteka.

Prometna istraživanja

Istraživanje prometa može se provesti na tri načina:

• ručno pomoću njuškala;
• u poluautomatskom načinu rada - u ovom slučaju njuškalo prikuplja informacije, a zatim se njegovi protokoli obrađuju ili ručno ili pomoću nekog softvera;
• automatski koristeći sustave za otkrivanje upada (IDS) kao što je Snort (http://www.snort.org/) ili njihove softverske ili hardverske analoge. U najjednostavnijem slučaju, IDS se sastoji od njuškala i sustava koji analizira informacije koje je prikupio njuškalo.

Sustav za otkrivanje upada optimalan je alat jer vam omogućuje stvaranje skupova pravila za otkrivanje anomalija u mrežnim aktivnostima. Njegova druga prednost je sljedeća: većina modernih IDS-ova omogućuje postavljanje agenata za nadzor prometa na nekoliko mrežnih čvorova - agenti prikupljaju informacije i prenose ih. U slučaju korištenja sniffera, vrlo je zgodno koristiti konzolni UNIX sniffer tcpdump. Na primjer, za praćenje aktivnosti na portu 25 (SMTP protokol) dovoljno je pokrenuti sniffer s naredbeni redak tip:

tcpdump -i em0 -l tcp port 25 > smtp_log.txt

U ovom slučaju, paketi se hvataju preko em0 sučelja; informacije o snimljenim paketima bit će pohranjene u datoteci smtp_log.txt. Protokol je relativno lako analizirati ručno; u ovom primjeru, analiza aktivnosti na priključku 25 omogućuje vam da identificirate računala s aktivnim spam botovima.

Primjena Honeypota

Zastarjelo računalo čije performanse ne dopuštaju korištenje za rješavanje proizvodnih problema može poslužiti kao meda. Na primjer, Pentium Pro sa 64 MB uspješno se koristi kao zamka u autorovoj mreži RAM memorija. Na ovo računalo treba instalirati najobičniji LAN operacijski sustav i odaberite jednu od strategija:

• Instalirajte operativni sustav bez paketa ažuriranja - to će biti pokazatelj pojave aktivnog mrežnog crva na mreži, koji iskorištava bilo koju od poznatih ranjivosti za ovaj operativni sustav;
• instalirajte operativni sustav s ažuriranjima koja su instalirana na drugim računalima na mreži - Honeypot će biti analogan bilo kojoj od radnih stanica.

Svaka strategija ima svoje prednosti i nedostatke; Autor uglavnom koristi opciju bez ažuriranja. Nakon što izradite Honeypot, trebali biste izraditi sliku diska kako biste brzo vratili svoj sustav nakon što ga je oštetio zlonamjerni softver. Kao alternativu slici diska, možete koristiti sustave za vraćanje promjena kao što je ShadowUser i njegovi analozi. Nakon što ste izgradili Honeypot, trebali biste uzeti u obzir da brojni mrežni crvi traže zaražena računala skeniranjem IP raspona, izračunatog iz IP adrese zaraženog računala (uobičajene tipične strategije su X.X.X.*, X.X.X+1.*, X.X.X-1.*), - stoga bi u idealnom slučaju trebao postojati Honeypot na svakoj podmreži. Kao dodatne elemente pripreme svakako treba otvoriti pristup nekoliko mapa na Honeypot sustavu, au te mape staviti nekoliko oglednih datoteka raznih formata, minimalni set je EXE, JPG, MP3.

Naravno, nakon što je stvorio Honeypot, administrator mora nadzirati njegov rad i reagirati na sve anomalije otkrivene na ovo računalo. Auditori se mogu koristiti kao sredstvo za bilježenje promjena; njuškalo se može koristiti za bilježenje mrežne aktivnosti. Važna točka je da većina njuškala ima mogućnost konfiguriranja slanja upozorenja administratoru ako se otkrije određena mrežna aktivnost. Na primjer, u CommView snifferu, pravilo uključuje određivanje "formule" koja opisuje mrežni paket ili određivanje kvantitativnih kriterija (slanje više od određenog broja paketa ili bajtova u sekundi, slanje paketa na neidentificirane IP ili MAC adrese) - sl. 2.

Riža. 2. Stvorite i konfigurirajte upozorenje o mrežnoj aktivnosti

Kao upozorenje, najprikladnije je koristiti poruke e-pošte poslane na poštanski sandučić administrator - u ovom slučaju možete primati brza upozorenja od svih zamki u mreži. Osim toga, ako vam njuškalo omogućuje stvaranje višestrukih upozorenja, ima smisla razlikovati mrežnu aktivnost isticanjem rada s e-poštom, FTP/HTTP, TFTP, Telnet, MS Net, povećani promet od više od 20-30 paketa u sekundi za bilo koji protokol (slika 3).

Riža. 3. Obavijest poslana
ako se otkriju paketi koji odgovaraju navedenim kriterijima

Kada organizirate zamku, dobra je ideja postaviti na nju nekoliko ranjivih mrežnih servisa koji se koriste na mreži ili instalirati emulator za njih. Najjednostavniji (i besplatan) je vlasnički uslužni program APS koji radi bez instalacije. Princip rada APS-a svodi se na slušanje mnogih TCP i UDP portova opisanih u njegovoj bazi podataka i izdavanje unaprijed određenog ili nasumično generiranog odgovora u trenutku povezivanja (slika 4).

Riža. 4. Glavni prozor uslužnog programa APS

Slika prikazuje snimku zaslona snimljenu tijekom stvarne aktivacije APS-a na Smolenskenergo LAN-u. Kao što se može vidjeti na slici, pokušaj povezivanja jednog od klijentska računala na portu 21. Analiza protokola pokazala je da su pokušaji periodični i da ih bilježi nekoliko zamki na mreži, što nam omogućuje zaključak da se mreža skenira radi traženja i hakiranja FTP poslužitelja pogađanjem lozinki. APS vodi zapisnike i može slati poruke administratorima s izvješćima o registriranim vezama na nadzirane priključke, što je zgodno za brzo otkrivanje skeniranja mreže.

Kada stvarate Honeypot, također je korisno upoznati se s mrežnim resursima na tu temu, posebice http://www.honeynet.org/. U odjeljku Alati ove stranice (http://www.honeynet.org/tools/index.html) možete pronaći niz alata za snimanje i analizu napada.

Udaljeno uklanjanje zlonamjernog softvera

U idealnom slučaju, nakon što su uzorci otkriveni malware administrator ih šalje u antivirusni laboratorij, gdje ih analitičari promptno proučavaju i odgovarajuće signature unose u antivirusnu bazu podataka. Ovi potpisi kroz automatsko ažuriranje doći na računalo korisnika, a antivirus automatski uklanja zlonamjerni softver bez intervencije administratora. Međutim, ovaj lanac ne radi uvijek kako se očekuje; posebice su mogući sljedeći razlozi kvara:

• iz niza razloga neovisnih o mrežnom administratoru, slike možda neće doći do antivirusnog laboratorija;
• nedovoljna učinkovitost antivirusnog laboratorija - u idealnom slučaju potrebno je ne više od 1-2 sata za proučavanje uzoraka i njihovo unošenje u bazu podataka, što znači da se ažurirane baze podataka potpisa mogu dobiti unutar radnog dana. Međutim, ne rade svi antivirusni laboratoriji tako brzo i možete čekati nekoliko dana na ažuriranja (u rijetkim slučajevima čak i tjednima);
• visoke performanse antivirusa - određeni broj zlonamjernih programa nakon aktivacije uništava antiviruse ili na drugi način ometa njihov rad. Klasični primjeri - uključivanje u datoteka domaćina unose koji blokiraju normalan rad antivirusnog sustava za automatsko ažuriranje, brišu procese, usluge i antivirusne upravljačke programe, oštećuju njihove postavke itd.

Stoga ćete se u gore navedenim situacijama sa zlonamjernim softverom morati nositi ručno. U većini slučajeva to nije teško, budući da rezultati ispitivanja računala otkrivaju zaražena računala, kao i pune nazive malware datoteka. Ostaje samo ukloniti ih na daljinu. Ako zlonamjerni program nije zaštićen od brisanja, može se uništiti pomoću sljedeće AVZ skripte:

// Brisanje datoteke

DeleteFile('ime datoteke');

ExecuteSysClean;

Ova skripta briše jednu određenu datoteku (ili nekoliko datoteka, budući da u skripti može postojati neograničen broj naredbi DeleteFile) i zatim automatski čisti registar. U složenijem slučaju, zlonamjerni se softver može zaštititi od brisanja (na primjer, ponovnim stvaranjem svojih datoteka i ključeva registra) ili se prikriti korištenjem rootkit tehnologije. U ovom slučaju skripta postaje kompliciranija i izgledat će ovako:

// Anti-rootkit

SearchRootkit(true, true);

// Kontrolirajte AVZGuard

PostaviAVZGuardStatus(true);

// Brisanje datoteke

DeleteFile('ime datoteke');

// Omogući bilježenje programa BootCleaner

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Uvezite u zadatak BootCleaner popis datoteka koje je izbrisala skripta

BC_ImportDeletedList;

// Aktivirajte BootCleaner

// Heurističko čišćenje sustava

ExecuteSysClean;

Ponovno pokretanje sustava Windows (true);

Ova skripta uključuje aktivno suzbijanje rootkita, korištenje sustava AVZGuard (ovo je blokator aktivnosti zlonamjernog softvera) i sustava BootCleaner. BootCleaner je upravljački program koji uklanja određene objekte iz KernelMode tijekom ponovnog pokretanja, u ranoj fazi pokretanja sustava. Praksa pokazuje da je takva skripta u stanju uništiti veliku većinu postojećeg malwarea. Iznimka je zlonamjerni softver koji mijenja nazive svojih izvršnih datoteka sa svakim ponovnim pokretanjem - u ovom slučaju datoteke otkrivene tijekom skeniranja sustava mogu se preimenovati. U tom slučaju morat ćete ručno dezinficirati računalo ili izraditi vlastite malware potpise (primjer skripte koja implementira pretraživanje potpisa opisan je u AVZ pomoći).

Zaključak

U ovom smo članku pogledali neke praktične tehnike za ručno suzbijanje LAN epidemije, bez upotrebe antivirusnih proizvoda. Većina opisanih tehnika također se može koristiti za traženje stranih računala i trojanskih oznaka na korisničkim računalima. Ako imate bilo kakvih poteškoća s pronalaženjem zlonamjernog softvera ili stvaranjem skripti za liječenje, administrator može koristiti odjeljak "Pomoć" na forumu http://virusinfo.info ili odjeljak "Borba protiv virusa" na forumu http://forum.kaspersky.com /index.php?showforum= 18. Proučavanje protokola i pomoć u liječenju provode se na oba foruma besplatno, analiza računala se radi prema AVZ protokolima, a u većini slučajeva liječenje se svodi na izvršavanje AVZ skripte na zaraženim računalima koju sastavljaju iskusni stručnjaci s ovih foruma. .

Sigurnosni skener: otkriva mrežne ranjivosti, upravlja ažuriranjima i zakrpama, automatski popravlja probleme, revidira softver i hardver. GFI Sigurnost mreže">Sigurnost mreže 2080

Skener mrežne sigurnosti i centralizirano upravljanje ažuriranjem

GFI LanGuard radi kao konzultant za virtualnu sigurnost:

— Upravlja ažuriranjima za Windows®, Mac OS® i Linux®

— Otkriva ranjivosti na računalima i Mobilni uredaji

— Provodi revizije mrežni uređaji i softver

GFI Languard je sigurnosni skener za mreže bilo koje veličine: mrežni port i skener ranjivosti, sigurnosni skener, automatski pronalazi rupe u mreži

Što je GFI LanGuard

Više od skenera ranjivosti!

GFI LanGuard je mrežni sigurnosni skener: otkriva, identificira i popravlja mrežne ranjivosti. Potpuno skeniranje priključaka, dostupnost potrebnih ažuriranja softvera za zaštitu vaše mreže te revizija softvera i hardvera mogući su s jedne upravljačke ploče.

Skener portova

Nekoliko unaprijed pripremljenih profila skeniranja omogućuje vam potpuno skeniranje svih portova, kao i brzu provjeru samo onih koje neželjeni i zlonamjerni softver obično koristi. GFI LanGuard skenira više hostova istovremeno, značajno skraćujući potrebno vrijeme, a zatim uspoređuje softver pronađen na zauzetim portovima s očekivanim.

Ažuriranja i zakrpe

Prije instalacije najnovija ažuriranja vaši su čvorovi potpuno nezaštićeni, budući da su najnovije ranjivosti pokrivene trenutnim zakrpama i ažuriranjima koje hakeri koriste za prodor u vašu mrežu. Za razliku od alata ugrađenih u OS, GFI LanGuard će provjeriti ne samo sam OS, već i popularne softvere čije se ranjivosti obično koriste za hakiranje: Adobe Acrobat/Reader, Flash Player, Skype, Outlook, preglednici, instant messengeri.

Revizija čvora

GFI LanGuard će za vas pripremiti detaljan popis instaliranog softvera i hardvera na svakom računalu, detektirati zabranjene ili nedostajuće programe, kao i nepotrebne povezane uređaje. Rezultati višestrukih skeniranja mogu se usporediti kako bi se identificirale promjene u softveru i hardver.

Najnovije obavještajne informacije o prijetnjama

Svako skeniranje provodi se nakon ažuriranja podataka o ranjivostima, čiji je broj u GFI LanGuard bazi podataka već premašio 50.000. Informacije o prijetnjama pružaju sami dobavljači softvera, kao i pouzdane SANS i OVAL popise, tako da ste uvijek zaštićeni od najnovijih prijetnji, uključujući heartbleed, clandestine, shellshock, poodle, sandworm i još mnogo toga.

Automatska korekcija

Nakon što primite detaljno izvješće o skeniranju s opisom svake ranjivosti i poveznicama na dodatnu literaturu, većinu prijetnji možete popraviti jednim klikom na gumb "Popravi": portovi će biti zatvoreni, ključevi registra ispravljeni, zakrpe instalirane, softver ažuriran, zabranjeno programi će biti uklonjeni, a programi koji nedostaju bit će instalirani.