Як правило, тест проникнення починається зі сканування на вразливості. Хороший сканер містить завжди актуальну базу відомих уразливостей і, скануючи вашу мережу, повідомляє про наявність тієї чи іншої. Наша подальша робота полягає в тому, щоб перевірити, чи дійсно кожна зі знайдених уразливостей схильна до експлуатації, т.к. сканери вразливостей часто дають неправдиві спрацьовування.
Одним з найпопулярніших сканерів уразливостей на ринку є Nessus Vulnerability Scanner. Він став свого роду стандартом для сканерів уразливостей. Спочатку він стартував як проект із відкритим кодом. Далі його придбала компанія Tenable, і тепер є комерційним продуктом (версія Professional). Незважаючи на це, у Nessus Scanner, як і раніше, є «Home» версія, яка розповсюджується безкоштовно, але має обмеження в 16 IP адрес. Саме цю версію ми і розглядатимемо в даній інструкції із застосування.
Будучи "хакером", після сканування отримуємо повний списокуразливостей, для яких необхідно лише знайти експлойти. На жаль, сканери вразливостей дуже «галасливі» і пильні адміністратори можуть виявити їхню роботу. Проте далеко не всі організації мають таких адміністраторів.
Не варто забувати важливі моменти щодо сканерів уразливостей. Вони можуть виявити вразливості 0-day. Як і антивірусні програмні продукти, їх бази мають оновлюватись щодня, щоб бути ефективними.
Будь-який пентестер, що поважає себе, повинен бути знайомий з Nessus Scanner. Багато досить великих організацій по всьому світу використовують його в комплексі інформаційної безпеки.
З недавнього часу навіть уряд США почав його використовувати для сканування вразливостей. Майже кожен федеральний офіс та військова база США у всьому світі тепер застосовує Nessus.
Давайте розглянемо, що є ця програма в роботі!
Крок 1. Завантажити Nessus Scanner безкоштовно
Знайти безкоштовну домашню версію Nessus Home на сайті Tenable непросто. Тому ми для вас підготували пряме посилання.
Для отримання безкоштовної версіїпотрібна реєстрація, тому вам потрібно буде вказати свою електронну адресу для отримання коду активації.
Крок 2. Запуск Nessus
Після завершення встановлення відкриється браузер за промовчанням з повідомленням, як показано нижче. Nessus побудований на клієнт-серверній архітектурі. Ви встановили сервер на localhost, а ролі клієнта виступає браузер.
Ви, швидше за все, отримаєте повідомлення, в якому говориться: Your connection is not secure. Натисніть Advanced.
Потім додайте винятки для підключення Nessus 8834 порту.
Крок 3. Налаштування Nessus Home
Майже все готове для пошуку вразливостей!
Вам необхідно створити обліковий запис. Саме її потрібно буде вказувати для входу до Nessus.
Після введення вашого логіну та пароля буде необхідно активувати продукт. Знаходимо листа з кодом активації в пошті і вводимо його у відповідне поле на сторінці вашого Nessus.
Коли це буде зроблено, Nessus почне завантажувати всі актуальні оновлення та плагіни, необхідні для пошуку вразливостей у вашій мережі. Процес може тривати деякий час.
Крок 4. Запуск сканування вразливостей
Коли Nessus завершить оновлення, вас зустріне такий екран, як показано нижче. Натисніть "New Scan".
Це відкриє нову сторінку, на якій можна вибрати тип сканування. Зверніть увагу, там завжди містяться найактуальніші на сьогоднішній день моделі загроз.
Давайте натиснемо "Basic Network Scan".
Відкриється сторінка, подібна до наведеної нижче, на якій вас попросять вказати ім'я вашого сканування (можна вказати будь-яке зрозуміле для вас, наприклад, First Scan). Також необхідно буде вказати вузли, які скануватимемо. Можна вказати всю підмережу IP адрес 192.168.1.0/24. Натискаємо "Save".
Тепер натискаємо кнопку "Launch", щоб запустити сканування вразливостей.
Крок 5. Перегляд результатів сканування
За результатами сканування ми отримуємо список з IP-адресами та пов'язані з ними ризики. Ризики мають колірне кодування.
Натискаємо "vulnerabilities" у верхньому меню, щоб відобразити уразливості, виявлені в мережі.
Якщо натиснути на конкретну вразливість, то ми отримаємо більше детальну інформацію. Нижче наведено приклад уразливості "CodeMeter".
Важливо відзначити, що крім опису вразливості, у звіті є також і спосіб її виправлення та закриття (розділ Solution).
Висновок
Nessus Vulnerability Scanner від компанії Tenable навіть у безкоштовній Home версії є досить простим у використанні, але в той же час потужним сканером уразливостей. Головною його перевагою є те, що в ньому завжди можна знайти актуальні моделі загроз, на можливість експлуатації яких він швидко та якісно перевірить вашу мережу.
Пам'ятайте, що успіх якісної інформаційної безпеки – це регулярний аудит!
Але не забувайте, що сканування чужих мереж може мати наслідки у вигляді проблем із законом!
Настав час познайомитись із ще одним видом програмного забезпечення, призначений для захисту від інтернет-загроз. Сканери вразливості– це комплексні рішення, які можуть бути як апаратними, так і програмні засоби, призначені для постійного сканування стану корпоративної мережі, щодо дії вірусів чи підозрілих процесів. Їх основним завданням є оцінка безпеки процесів та пошук уразливостей та їх усунення.
Vulnerability scannerабо сканер уразливості, дає адміністратору можливість пошуку існуючих у мережі «дір» або «бекдорів», за допомогою яких хакери та шахраї можуть отримати доступ до мережі компанії та конфіденційних даних. Крім цього, до складу сканерів входять засоби для сканування запущених службта процесорів, а також сканери портів.
Виходячи з цього, можна виділити такі функції сканерів уразливостей:
- Пошук уразливостей та їх аналіз.
- Перевірка всіх ресурсів у мережі, пристрої, операційна система, порти, програми, процеси і т.д.
- Створення звітів, у яких вказується вразливість, шлях її поширення та характер.
Як працюють сканери вразливостей?
В основі сканера лежать два механізми. Перший механізм називається – зондування. Це не надто швидкий, але найефективніший інструмент активного аналізу. Суть його полягає в тому, що він сам запускає атаки і стежить за тим, де ці атаки можуть пройти. Під час зондування підтверджуються можливі здогади та можливості проходження атак на певних напрямках.
Інший механізм – сканування. У цьому випадку інструмент працює швидко, але проводиться тільки поверхневий аналіз мережі, за найчастішими і можливими «дірками» в безпеці мережі. Відмінність другого способу в тому, що він не підтверджує наявність уразливості, а лише повідомляє адміністратора про її можливість, ґрунтуючись на непрямих ознаках. Наприклад, відбувається сканування портів, визначаються їх заголовки і вони порівнюються з еталонними таблицями і правилами. У разі розходження значень сканер повідомляє про знаходження потенційної вразливості, які адміністратор повинен перевірити більш надійними способами.
Основні принципи роботи сканерів уразливостей
Збір усієї інформації в мережі, ідентифікація всіх служб, пристроїв та процесів.
Пошук потенційних уразливостей
Використання спеціалізованих методів та моделювання атак для підтвердження вразливості (існує не у всіх мережевих сканерах)
Добірка кращих сканерів уразливостей
Nessus.Досить давно, ще з 1998 року, компанія Tenable Network Security почала займатися розробкою свого сканера вразливостей, завдяки чому має великий досвідта далеко попереду у своїй сфері. Багато років їхній сканер є комерційним ПЗ. Ключовою особливістюсканера Nessus є можливість розширювати функціонал за допомогою плагінів. Таким чином, потужні випробування, такі як випробування на проникнення або інші, не встановлюються разом з головним модулем, а при необхідності підключаються окремо. Усі плагіни можна розділити на 42 категорії. Це означає, що, наприклад, для проведення пінтесту (тесту на проникнення), не обов'язково запускати повну перевірку, а можна виділити лише тести з певної категорії або вибрати тести вручну. Крім цього, Nessus має свою спеціальну скриптову мову, так що адміністратори можуть самі писати необхідні їм тести.
Symantec Security Check.Головними функціями даного сканера є пошук хробаків, троянів, вірусів, а також сканування локальної мережідля виявлення заражень. Цей продукт встановлюється без труднощів і має основний центр управління в браузері. До складу рішення входять два модулі: SecurityScan і VirusDetection. Перший – займається сканування мережі, другий – сканує та перевіряє пристрій на наявність вірусів Деякі фахівці радять використовувати рішення від Symantec, для додаткової перевірки.
XSpider.Як заявляється розробник, їхнє рішення здатне виявити третину всіх можливих уразливостей, званих «zero day». Основною перевагою даного сканера є можливість виявлення максимального числа «дір» у системі безпеки, до того, як їх зможуть виявити хакери. Цей сканер не потребує додаткового програмного забезпечення. Після проведення аналізу, він формує повний звіт зі знайденими вразливістю та можливими способамиїх усунення.
Rapid 7 NeXpose. Rapid 7, за статистикою – найшвидше зростаюча компанія за Останнім часом. Зовсім недавно компанія купила проект Metaspoilt Fremawork, яка створила такий популярний зараз NeXpose. Для використання комерційної версії продукту знадобиться викласти не малу суму за ліцензію, але існує й доступніша Community версія, яка має мізерний функціонал. Продукт легко інтегрується з Metaspoilt. Схема роботи цього рішенняНе проста, спочатку потрібно запуск NeXpose, після чого консоль управління Metaspoilt, і тільки після цього, можна починати сканування, яке при цьому, налаштовується не через панель управління, а за допомогою спеціальних команд. Особливістю є можливість запускати різні модулі Metaspoilt із NeXpose.
Зазвичай перший етап повноцінного тестування проникнень – це перевірка мережі щодо вразливостей. Програмні сканери використовують спеціальні бази (вони обов'язково мають бути актуальними) уразливостей для пошуку проблем у певній мережі. Але основне завдання полягає дещо в іншому. Наша мета – визначити, чи реально ці загрози небезпечні, адже дуже часто сканери б'ють хибну тривогу.
Багато фахівців вибирають саме Nessus Professional (NP), який став певним стандартом якості серед сканерів уразливостей. Спочатку NP використовував ідею відкритого вихідного кодуАле пізніше його викупила компанія Tenable. на Наразі NP – це частково комерційний продукт: це стосується лише версії Professional. При цьому існує безкоштовна Home-версія, яка має обмеження на 16 IP-адрес.
Після сканування програма надасть звіт про знайдені вразливості, реальну небезпеку яких потрібно перевірити. Більшість сканерів працюють досить «неакуратно», тому особливо уважний адміністратор швидко помітить його. Але далеко не всі компанії мають такі фахівці.
Зверніть увагу на кілька важливих деталей щодо використання сканерів: вони не знаходять вразливості «нульового дня», а також потребують постійного оновлення баз для найбільш точної роботи.
Будь-кому, хто займається пентестингом, необхідно вміти поводитися з Nessus Scanner(NS), адже величезна кількість компаній у всьому світі активно використовують NS у своїй IT-інфраструктурі. Зазначимо, що навіть державні структури США застосовують його для пошуку проблем у своїх мережах. Це означає, що практично всі федеральні та військові установи США тісно знайомі з технологіями Nessus.
То що ж це за звір, давайте встановимо та познайомимося з його функціоналом?
Етап 1: придбання ліцензії та встановлення Nessus сканер
Щоб отримати власну ліцензію, необхідно купити та вказати адресу електронної пошти, куди буде надіслано код активації.
Перед початком завантаження виберіть тип і розрядність операційної системи, що використовується (підтримувані ОС: WinServer, MacOS X, Linux, FreeBSD, GPG Keys).
Етап 2: Початок роботи з Nessus
Як тільки закінчиться процес встановлення, автоматично запуститься браузер, вибраний за промовчанням, щоб показати стандартне повідомлення. Nessus використовує клієнт-серверну модель. Клієнт – це ваш браузер, а встановлення сервера відбувалося на локальний хост.
Напевно, у повідомленні буде текст: «Ваше з'єднання не захищене». Виберіть Advanced.
Після цього встановіть виняток для підключення Nessus 8834 портом.
Етап 3: Первинне налаштування
До справжніх веселощів залишилося зовсім трохи! Активуйте свою ліцензію після введення логіну та пароля. Для активації необхідний спеціальний ключ, який був відправлений у електронному листіна вашу пошту. Тепер просто введіть його в поле на сторінці системи Nessus. Вже активована програма розпочне завантаження актуальних оновлень та плагінів, які знадобляться для сканування мереж. Це не найшвидший процес.
Етап 4: Початок сканування
Після закінчення оновлення, Nessus автоматично відкриє початковий екран сканування. Сміливо натискайте "New Scan".
Нам відкриється Нова сторінкаде можна вказати вид сканування.
Виберіть "Basic Network Scan".
Це відкриває ще одну сторінку, присвячену налаштуванню вибраного сканування. Вкажіть ідентифікатор процесу (для першого разу можна вибрати щось зрозуміліше, скажімо, MyFirstScan). Виберіть необхідні для сканування вузли мережі (можна навіть вибрати всю підмережу IP-адрес через 192.168.1.0/24). Клікаємо "Save".
Для запуску сканера необхідно натиснути "Launch".
Етап 5: Результати
Як результат Nessus надасть список IP-адрес і загрози, які мають колірні індикатори.
Натисніть "vulnerabilities", щоб перейти до повного списку проблем, знайдених у перевіреній мережі.
Щоб отримати розгорнуту інформацію з проблеми, що цікавить, просто клацніть по ній.
Зверніть увагу, що програма надає не тільки опис уразливостей, але й шляхи їх усунення (вони знаходяться у вкладці Solution).
Підбиття підсумків
Nessus scanner, купити який можна за посиланням – це зручний та ефективний інструмент, який дозволяє досягати відмінних результатів навіть за умови використання його безкоштовної версії. Його головна перевага – постійно актуальна база різноманітних загроз, що експлуатуються, на наявність яких він легко перевірить необхідну мережу.
І пам'ятайте Запорука безпеки будь-якої ІТ-системи – це її регулярний аудит!
P.S.Не варто жартувати із законом, скануючи чужі мережі без згоди їхнього власника!
Проблема епідемії мережевих черв'яків є актуальною для будь-якої локальної мережі. Рано чи пізно може виникнути ситуація, коли в ЛОМ проникає мережевий або поштовий черв'як, який не детектується антивірусом. Мережевий вірус поширюється ЛВС через не закриті на момент зараження вразливості операційної системи або через доступні для запису загальні ресурси. Поштовий вірус, як випливає з назви, поширюється електронною поштою за умови, що він не блокується клієнтським антивірусом та антивірусом на поштовому сервері. Крім того, епідемія ЛВС може бути організована зсередини в результаті діяльності інсайдера. У цій статті ми розглянемо практичні методики оперативного аналізу комп'ютерів ЛОМ із застосуванням різних засобів, зокрема за допомогою авторської утиліти AVZ.
Постановка задачі
У разі виявлення епідемії або певної позаштатної активності в мережі адміністратор повинен оперативно вирішити щонайменше три завдання:
- виявити заражені ПК у мережі;
- знайти зразки шкідливої програми для відправлення в антивірусну лабораторію та вироблення стратегії протидії;
- вжити заходів для блокування поширення вірусу в ЛОМ та його знищення на заражених комп'ютерах.
У разі діяльності інсайдера основні кроки аналізу ідентичні і найчастіше зводяться до необхідності виявлення встановленого інсайдером стороннього програмного забезпечення на комп'ютерах ЛОМ. Як приклад такого програмного забезпечення можна назвати утиліти віддаленого адміністрування, клавіатурні шпигунита різні троянські закладки.
Розглянемо докладніше рішення кожної з поставлених завдань.
Пошук заражених ПК
Для пошуку заражених ПК у мережі можна застосовувати як мінімум три методики:
- автоматичний віддалений аналіз ПК - отримання інформації про запущені процеси, завантажені бібліотеки та драйвери, пошук характерних закономірностей - наприклад процесів або файлів із заданими іменами;
- дослідження трафіку ПК за допомогою сніфера - даний метод дуже ефективний для вилову спам-ботів, поштових та мережевих черв'яків, проте основна складність у застосуванні сніфера пов'язана з тим, що сучасна ЛОМ будується на базі комутаторів і, як наслідок, адміністратор не може здійснювати моніторинг трафіку всієї мережі. Проблема вирішується двома шляхами: запуском сніфера на маршрутизаторі (що дозволяє здійснювати моніторинг обміну даними ПК з Інтернетом) та застосуванням моніторингових функцій комутаторів (багато сучасних комутаторів дозволяють призначити порт моніторингу, на який дублюється трафік одного або декількох портів комутатора, зазначених адміністратором);
- дослідження навантаження на мережу - у разі дуже зручно застосовувати інтелектуальні комутатори, які дозволяють як оцінювати навантаження, а й віддалено відключати зазначені адміністратором порти. Ця операціяістотно спрощується за наявності у адміністратора карти мережі, де є дані про те, які ПК підключені до відповідних портів комутатора і де вони розташовані;
- застосування пасток (honeypot) – у локальній мережі настійно рекомендується створити кілька пасток, які дозволять адміністратору своєчасно виявити епідемію.
Автоматичний аналіз ПК у мережі
Автоматичний аналіз ПК можна звести до трьох основних етапів:
- проведення повного дослідження ПК - запущені процеси, завантажені бібліотеки та драйвери, автозапуск;
- проведення оперативного обстеження - наприклад, пошук характерних процесів або файлів;
- карантин об'єктів за певними критеріями.
Всі ці завдання можна вирішити за допомогою авторської утиліти AVZ, яка розрахована на запуск з мережевої папки на сервері і підтримує скриптову мову для автоматичного обстеження ПК. Для запуску AVZ на комп'ютерах користувачів необхідно:
- Помістити AVZ у відкриту для читання мережну папку на сервері.
- Створити в цій папці підкаталоги LOG та Qurantine та дозволити користувачам запис у них.
- Запустити AVZ на комп'ютерах ЛОМ за допомогою утиліти rexec або логон-скрипта.
Запуск AVZ на кроці 3 повинен здійснюватися за таких параметрів:
\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt
У цьому випадку параметр Priority=-1 знижує пріоритет процесу AVZ, параметри nw=Y та nq=Y перемикають карантин у режим «мережевий запуск» (у цьому випадку в папці карантину для кожного комп'ютера створюється підкаталог, ім'я якого збігається з мережевим ім'ям ПК) , HiddenMode=2 наказує заборонити користувачеві доступ до GUI та управління AVZ, і, нарешті, найважливіший параметр Script задає повне ім'я скрипта з командами, які AVZ виконає на комп'ютері користувача. Скриптова мова AVZ досить проста для використання та орієнтована виключно на вирішення завдань обстеження комп'ютера та його лікування. Для спрощення процесу написання скриптів можна використовувати спеціалізований редактор скриптів, який містить оперативну підказку, майстер створення типових скриптів та засоби перевірки коректності написаного скрипта без його запуску (рис. 1).
Мал. 1. Редактор скриптів AVZ
Розглянемо три типові скрипти, які можуть стати в нагоді в ході боротьби з епідемією. По-перше, нам знадобиться скрипт для дослідження ПК. Завдання скрипта - провести дослідження системи та створити протокол з результатами в заданій папці мережі. Скрипт має такий вигляд:
ActivateWatchDog(60 * 10);
// Запуск сканування та аналізу
// Дослідження системи
ExecuteSysCheck(GetAVZDirectory+
'\LOG\'+GetComputerName+'_log.htm');
//Завершення роботи AVZ
У ході виконання даного скрипту в папці LOG (передбачається, що вона створена в каталозі AVZ на сервері і доступна користувачам для запису) будуть створюватися HTML-файли з результатами дослідження комп'ютерів мережі, причому для забезпечення унікальності ім'я протоколу включається ім'я досліджуваного комп'ютера. На початку скрипту розташовується команда включення сторожового таймера, який примусово завершить процес AVZ через 10 хвилин у разі, якщо під час виконання скрипту виникнуть збої.
Протокол AVZ зручний для вивчення вручну, проте для автоматизованого аналізу він мало придатний. Крім того, адміністратор часто знає ім'я файлу шкідливої програми і потрібно тільки перевірити наявність або відсутність даного файлу, а за наявності - помістити до карантину для аналізу. У цьому випадку можна застосувати скрипт такого вигляду:
// Увімкнення сторожового таймера на 10 хвилин
ActivateWatchDog(60 * 10);
// Пошук шкідливої програми на ім'я
QuarantineFile('%WinDir%\smss.exe', 'підозра на LdPinch.gen');
QuarantineFile('%WinDir%\csrss.exe', 'підозра на LdPinch.gen');
//Завершення роботи AVZ
У цьому скрипті задіяна функція QuarantineFile, яка робить спробу карантину вказаних файлів. Адміністратору залишається лише проаналізувати вміст карантину (папка Quarantine\Мережевое_имя_ПК\дата_каратина\) на наявність поміщених в карантин файлів. Варто врахувати, що функція QuarantineFile автоматично блокує поміщення в карантин файлів, упізнаних на базі безпечних AVZ або на базі ЕЦП Microsoft. Для практичного застосуванняцей скрипт можна вдосконалити - організувати завантаження імен файлів із зовнішнього текстового файлу, перевіряти знайдені файли за базами AVZ та формувати текстовий протокол з результатами роботи:
// Пошук файлу із зазначеним ім'ям
функція CheckByName(Fname: string) : boolean;
Result:= FileExists(FName) ;
if Result then begin
case CheckFile(FName) of
1: S:= ', доступ до файлу блокується';
1: S:= ', упізнаний як Malware ('+GetLastCheckTxt+')';
2: S:= ', підозрюється файловим сканером ('+GetLastCheckTxt+')';
3: exit; // Безпечні файли ігноруємо
AddToLog('Файл '+NormalFileName(FName)+' має підозріле ім'я'+S);
//Додавання вказаного файлуу карантин
QuarantineFile(FName,'підозрілий файл'+S);
SuspNames: TStringList; // Список імен підозрілих файлів
// Перевірка файлів по оновлюваній базі даних
if FileExists(GetAVZDirectory + 'files.db') then begin
SuspNames:= TStringList.Create;
SuspNames.LoadFromFile('files.db');
AddToLog('База імен завантажена - кількість записів = '+inttostr(SuspNames.Count));
// Цикл пошуку
for i:= 0 to SuspNames.Count - 1 do
CheckByName(SuspNames[i]);
AddToLog('Помилка завантаження списку імен файлів');
SaveLog(GetAVZDirectory+'\LOG\'+
GetComputerName+'_files.txt');
Для роботи даного скрипту необхідно створити в папці AVZ доступні користувачам для запису каталоги Quarantine та LOG, а також текстовий файл files.db - кожен рядок файлу буде містити ім'я підозрілого файлу. Імена файлів можуть включати макроси, найбільш корисні з яких – %WinDir% (шлях до папці Windows) та %SystemRoot% (шлях до папки System32). Іншим напрямом аналізу може стати автоматичне дослідження переліку процесів, запущених на комп'ютерах користувачів. Інформація про запущені процеси є у протоколі дослідження системи, але для автоматичного аналізу зручніше застосовувати наступний фрагмент скрипту:
procedure ScanProcess;
S:= ‘’; S1:= ‘’;
// Оновлення списку процесів
RefreshProcessList;
AddToLog('Кількість процесів = '+IntToStr(GetProcessCount));
// Цикл аналізу отриманого списку
for i:= 0 to GetProcessCount - 1 do begin
S1:= S1 + ',' + ExtractFileName(GetProcessName(i));
// Пошук процесу на ім'я
if pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 then
S:= S + GetProcessName(i)+',';
if S<>‘’ then
AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);
AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);
Дослідження процесів у даному скриптівиконано у вигляді окремої процедури ScanProcess, тому її нескладно помістити у свій скрипт. Процедура ScanProcess будує два списки процесів: повний список процесів (для подальшого аналізу) та список процесів, які, з погляду адміністратора, вважаються небезпечними. В даному випадку для демонстрації як небезпечний розглядається процес з ім'ям trojan.exe. Інформація про небезпечні процеси додається до текстового файлу _alarm.txt, дані про всі процеси - у файл _all_process.txt. Легко помітити, що можна ускладнити скрипт, додавши до нього, наприклад, перевірку файлів процесів з урахуванням безпечних файлівабо перевірку імен виконуваних файлів процесів із зовнішньої бази. Подібна процедура застосовується в скриптах AVZ, що використовуються в «Смоленськенерго»: адміністратор періодично вивчає зібрану інформацію і модифікує скрипт, додаючи в нього ім'я процесів заборонених з політики безпеки програм, наприклад ICQ і MailRu.Agent, що дозволяє оперативно перевірити наявність забороненого ПЗ . Інше застосування списку процесів – пошук ПК, на яких відсутній обов'язковий процес, наприклад антивірус.
На завершення розглянемо останній з корисних скриптів аналізу - скрипт автоматичного карантину всіх файлів, які не розпізнаються на базі безпечних AVZ та на базі ЕЦП Microsoft:
// Виконання автокарантину
ExecuteAutoQuarantine;
Автоматичний карантин вивчає запущені процеси та завантажені бібліотеки, служби та драйвери, близько 45 способів автозапуску, модулі розширення браузера та провідника, обробники SPI/LSP, завдання планувальника, обробники системи друку тощо. Особливістю карантину є те, що файли до нього додаються з контролем повторів, тому функцію автокарантину можна викликати багаторазово.
Перевага автоматичного карантину полягає в тому, що за його допомогою адміністратор може оперативно зібрати потенційно підозрілі файли з усіх комп'ютерів мережі для їх вивчення. Найпростішою (але дуже ефективною практично) формою вивчення файлів то, можливо перевірка отриманого карантину кількома популярними антивірусами як максимальної евристики. Слід зазначити, що одночасно запуск автокарантину на кількох сотнях комп'ютерів може створити високе навантаження на мережу і на файловий сервер.
Дослідження трафіку
Дослідження трафіку можна проводити трьома способами:
- вручну за допомогою сніфферів;
- у напівавтоматичному режимі - у разі сніффер збирає інформацію, та був його протоколи обробляються або вручну, або деяким ПЗ;
- автоматично за допомогою систем виявлення вторгнень (IDS) типу Snort (http://www.snort.org/) або їх програмних чи апаратних аналогів. У найпростішому випадку IDS складається з сніфера і системи, що аналізує інформацію, що збирається сніффером.
Система виявлення вторгнень є оптимальним засобом, оскільки дозволяє створювати набори правил виявлення аномалії в мережевої активності. Друга її перевага полягає в наступному: більшість сучасних IDS дозволяють розміщувати агенти моніторингу трафіку на кількох вузлах мережі – агенти збирають інформацію та передають її. У разі застосування сніфера дуже зручно користуватися консольним UNIX-сніфером tcpdump. Наприклад, для моніторингу активності по порту 25 (протокол SMTP) достатньо запустити сніффер з командним рядкомвиду:
tcpdump -i em0 -l tcp port 25 > smtp_log.txt
У разі ведеться захоплення пакетів через інтерфейс em0; інформація про захоплені пакети зберігатиметься у файлі smtp_log.txt. Протокол порівняно просто аналізувати вручну, в даному прикладі аналіз активності порту 25 дозволяє обчислити ПК з активними спам-ботами.
Застосування Honeypot
Як пастки (Honeypot) можна використовувати застарілий комп'ютер, продуктивність якого не дозволяє застосовувати його для вирішення виробничих завдань. Наприклад, у мережі автора як пастка успішно застосовується Pentium Pro c 64 Мбайт оперативної пам'яті. На цей ПК слід встановити найбільш поширену в ЛОМ операційну системута вибрати одну зі стратегій:
- Встановити операційну систему без пакетів оновлень - вона буде індикатором появи у мережі активного мережевого черв'яка, що експлуатує будь-яку з відомих уразливостей для цієї операційної системи;
- встановити операційну систему з оновленнями, які встановлені на інших ПК мережі – Honeypot буде аналогом будь-якої з робочих станцій.
Кожна із стратегій має як свої плюси, так і мінуси; автор переважно застосовує варіант без оновлень. Після створення Honeypot слід створити образ диска для швидкого відновлення системи після пошкодження шкідливими програмами. В якості альтернативи образу диска можна використовувати системи відкату змін типу ShadowUser та його аналогів. Побудувавши Honeypot, слід врахувати, що ряд мережевих черв'яків шукають комп'ютери, що заражаються шляхом сканування діапазону IP, що відраховується від IP-адреси зараженого ПК (поширені типові стратегії - X.X.X.*, X.X.X+1.*, X.X.X-1.*), - отже, в ідеалі Honeypot має бути в кожній із підмереж. Як додаткові елементи підготовки слід обов'язково відкрити доступ до кількох папок на Honeypot-системі, причому в ці папки слід покласти кілька файлів-зразків різного формату, мінімальний набір - EXE, JPG, MP3.
Природно, що створивши Honeypot, адміністратор повинен відстежувати його роботу і реагувати на будь-які аномалії, виявлені на даному комп'ютері. Як засоби реєстрації змін можна використовувати ревізори, для реєстрації мережної активності можна використовувати сніффер. Важливим моментом є те, що у більшості сніферів передбачена можливість налаштування відправлення оповіщення адміністратору у разі виявлення заданої активності мережі. Наприклад, у сніффері CommView правило передбачає вказівку «формули», що описує мережевий пакет, або завдання кількісних критеріїв (надсилання більш заданої кількості пакетів або байт в секунду, відправка пакетів на невідомі IP- або MAC-адреси) - рис. 2.
Мал. 2. Створення та налаштування попередження про мережну активність
Як попередження найзручніше використовувати повідомлення електронної пошти, що надсилаються на Поштова скринькаадміністратора, - у цьому випадку можна отримувати оперативні оповіщення від усіх пасток у мережі. Крім того, якщо сніффер дозволяє створювати кілька попереджень, є сенс диференціювати мережну активність, виділивши роботу з електронною поштою, FTP/HTTP, TFTP, Telnet, MS Net, підвищений трафік понад 20-30 пакетів на секунду за будь-яким протоколом (рис. 3).
Мал. 3. Лист-оповіщення, що надсилається
у разі виявлення пакетів, які відповідають заданим критеріям
При організації пастки непогано розмістити на ній кілька застосовуваних в мережі вразливих мережевих служб або встановити емулятор. Найпростішим (і безкоштовним) є авторська утиліта APS, що працює без інсталяції. Принцип роботи APS зводиться до прослуховування безлічі описаних у її базі портів TCP і UDP та видачі в момент підключення заздалегідь заданого або випадково генерованого відгуку (рис. 4).
Мал. 4. Головне вікно утиліти APS
На малюнку наведено скріншот, знятий під час реального спрацювання APS в ЛОМ «Смоленськенерго». Як видно на малюнку, зафіксовано спробу підключення одного з клієнтських комп'ютерівпо порту 21. Аналіз протоколів показав, що спроби періодичні, фіксуються декількома пастками в мережі, що дозволяє зробити висновок про сканування мережі з метою пошуку та злому FTP-серверів шляхом підбору паролів. APS веде протоколи і може надсилати адміністраторам повідомлення зі звітами про зареєстровані підключення до контрольованих портів, що зручно для оперативного виявлення сканування мережі.
При створенні Honeypot корисно також ознайомитися з онлайн-ресурсами на цю тему, зокрема з сайтом http://www.honeynet.org/. У розділі Tools цього сайту (http://www.honeynet.org/tools/index.html) можна знайти ряд інструментів для реєстрації та аналізу атак.
Дистанційне видалення шкідливих програм
В ідеальному випадку після виявлення зразків шкідливих програмадміністратор відправляє в антивірусну лабораторію, де вони оперативно вивчаються аналітиками й у основи антивірусу вносяться відповідні сигнатури. Ці сигнатури через автоматичне оновленняпотрапляють на ПК користувачів, і антивірус здійснює автоматичне видалення шкідливих програм без втручання адміністратора. Однак цей ланцюжок не завжди працює як належить, зокрема можливі такі причини збою:
- з низки незалежних від адміністратора мережі причин образи можуть дійти антивірусної лабораторії;
- недостатня оперативність антивірусної лабораторії - в ідеалі вивчення зразків та його внесення до бази йде трохи більше 1-2 годин, тобто у межах робочого дня можна отримати оновлені сигнатурні бази. Однак не всі антивірусні лабораторії працюють так оперативно, і на оновлення можна чекати кілька днів (у рідкісних випадках - навіть тижнів);
- висока працездатність антивірусу - низка шкідливих програм після активації знищують антивіруси або всіляко порушують їхню роботу. Класичні приклади - внесення до файл hostsзаписів, які блокують нормальну роботу системи автооновлення антивірусу, видалення процесів, служби та драйверів антивірусів, пошкодження їх налаштувань тощо.
Отже, у перерахованих ситуаціях доведеться боротися із шкідливими програмами вручну. Найчастіше це нескладно, оскільки за результатами дослідження комп'ютерів відомі заражені ПК, і навіть повні імена файлів шкідливих програм. Залишається тільки зробити їхнє дистанційне видалення. Якщо шкідлива програма не захищається від видалення, знищити її можна скриптом AVZ наступного виду:
// Видалення файлу
DeleteFile('ім'я файлу');
ExecuteSysClean;
Даний скрипт видаляє один заданий файл (або кілька файлів, оскільки команд DeleteFile у скрипті може бути необмежену кількість) і потім здійснює автоматичне чищення реєстру. У більш складному випадку шкідлива програма може захищатися від видалення (наприклад, перетворюючи свої файли та ключі реєстру) або маскуватися за руткіт-технологією. У цьому випадку скрипт ускладнюється і матиме такий вигляд:
// Антируткіт
SearchRootkit(true, true);
// Управління AVZGuard
SetAVZGuardStatus(true);
// Видалення файлу
DeleteFile('ім'я файлу');
// Увімкнення протоколювання BootCleaner
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
// Імпорт завдання BootCleaner списку файлів, видалених скриптом
BC_ImportDeletedList;
// Активація BootCleaner
// Евристична чистка системи
ExecuteSysClean;
RebootWindows(true);
Цей скрипт включає активну протидію руткітам, застосування системи AVZGuard (це блокатор активності шкідливих програм) та системи BootCleaner. BootCleaner - це драйвер, що виконує видалення заданих об'єктів з KernelMode під час перезавантаження, на ранній стадії завантаження системи. Практика показує, що подібний скрипт може знищити переважну більшість існуючих шкідливих програм. Виняток становлять malware, що змінюють імена своїх виконуваних файлів при кожному перезавантаженні, - у разі виявлені під час дослідження системи файли може бути перейменовані. У цьому випадку буде потрібно лікування комп'ютера вручну або створення власних сигнатур шкідливої програми (приклад реалізує сигнатурний пошук скрипта описаний у довідці AVZ).
Висновок
У цій статті ми розглянули деякі практичні методики боротьби з епідемією ЛОМ вручну без використання антивірусних продуктів. Більшість описаних методик також можна застосовувати для пошуку стороннього ПК і троянських закладок на комп'ютерах користувачів. При виникненні труднощів із пошуком шкідливих програм або створенням скриптів лікування адміністратор може скористатися розділом «Допоможіть» форуму http://virusinfo.info або розділом «Боротьба з вірусами» форуму http://forum.kaspersky.com/index.php?showforum= 18. Вивчення протоколів та допомога в лікуванні здійснюються на обох форумах безкоштовно, аналіз ПК ведеться за протоколами AVZ, і в більшості випадків лікування зводиться до виконання на заражених ПК скрипта AVZ, складеного досвідченими фахівцями даних форумів.
Сканер безпеки: виявлення вразливостей у мережі, керування оновленнями та патчами, автоматичне виправлення проблем, аудит програмного та апаратного забезпечення. GFI Мережева безпека">Мережева безпека 2080
Сканер безпеки мережі та централізоване управління оновленнями
GFI LanGuard працює як віртуальний консультант з безпеки:
— Керує оновленнями для Windows ® , Mac OS ® та Linux ®
— Виявляє вразливість на комп'ютерах та мобільних пристроях
- Проводить аудит мережевих пристроївта програмного забезпечення
GFI Languard - сканер безпеки для мереж будь-яких масштабів: мережевий сканер портів та вразливостей, сканер безпеки, знаходить діри в мережі автоматично
GFI Languard - сканер безпеки для мереж будь-яких масштабів: мережевий сканер портів та вразливостей, сканер безпеки, знаходить діри в мережі автоматичноЩо таке GFI LanGuard
Більше, ніж сканер уразливостей!
GFI LanGuard – це мережевий сканер безпеки: виявлення, визначення та виправлення вразливостей у мережі. Повне сканування портів, наявність необхідних оновлень програмного забезпечення для захисту мережі, а також аудит програмного та апаратного забезпечення – це можливо з єдиної панелі управління.
Сканер портів
Декілька заготовлених профілів сканування дозволяють провести повне сканування всіх портів, так і швидко перевірити тільки ті, які зазвичай використовуються небажаним і шкідливим ПЗ. GFI LanGuard сканує відразу кілька вузлів одночасно, помітно скорочуючи необхідний час, а потім порівнює знайдене програмне забезпечення на зайнятих портах з очікуваним.
Оновлення та патчі
До встановлення останніх оновленьваші вузли абсолютно не захищені, оскільки саме нові вразливості, які закривають актуальні патчі та оновлення, використовуються хакерами для проникнення у вашу мережу. На відміну від вбудованих в ОС інструментів, GFI LanGuard перевірять не тільки саму ОС, але й популярне програмне забезпечення, вразливість якого зазвичай використовується для злому: Adobe Acrobat/Reader, Flash Player, Skype, Outlook, браузери, месенджери.
Аудит вузлів
GFI LanGuard підготує для вас докладний список встановленого програмного та апаратного забезпечення на кожному з комп'ютерів, виявить заборонені або відсутні програми, а також зайві підключені пристрої. Результати кількох сканувань можна порівняти, щоб виявити зміни в наборі програмного та апаратного забезпечення.
Найсвіжіші дані про загрози
Кожне сканування проводиться після оновлення даних про вразливість, кількість яких у базі GFI LanGuard вже перевищила 50.000. Постачальниками інформації про загрози є самі вендори ПЗ, а також списки SANS і OVAL, що зарекомендували себе, - ви завжди захищені від найновіших загроз, включаючи heartbleed, clandestine, shellshock, poodle, sandworm та інших.
Автоматичне виправлення
Після того, як ви отримаєте докладний звіт про результати сканування з описом кожної вразливості та посиланнями на додаткову літературу, ви можете виправити більшість загроз одним натисканням на кнопку «Remediate»: порти будуть закриті, ключі реєстру виправлені, патчі встановлені, програмне забезпечення оновлено, заборонені програми видалені, а програми, що відсутні, — будуть встановлені.
