Опубликован: 10.10.2007 | Уровень: специалист | Доступ: платный
Лекция 13:

Методы противодействия

Сетевая информация, которую полезно собирать

Следует контролировать число и состав различных сервисов, работающих на ЭВМ (например, telnet, ssh, rlogin, http, https, ldap, vns, irc, rpc, smtp и т.д.). Анализ этого списка и его вариаций со временем позволяет составить представление о возможной уязвимости системы. Определенную пользу может принести выявление ОС, установленных на ЭВМ сети (LINUX, Windows, FreeBSD и т.д.). Администратору проще иметь дело с одной ОС, но тотальная унификация имеет и недостатки. Один и тот же вирус или червь может парализовать единовременно всю сеть целиком. Понятно, что система сбора любых сетевых данных не должна поглощать заметной части ресурсов.

Рассмотрим признаки, которые могут свидетельствовать об успешном вторжении в ЭВМ (вариант ОС LINUX) (см. Network Security, V2004, Issue 8, "LINUX intrusion discovery: when security fails", Anton Chuvakin, август 2004, стр. 10-12).

  • Чрезмерная перегрузка ресурсов (ЦПУ, оперативной и дисковой памяти).
  • Частые сбои в работе ОС или приложений (самопроизвольная перезагрузка системы). Это может быть результатом, например, переполнения буферов или попытки поменять конфигурацию системы.
  • Появление необычных объектов (файлов, каталогов, акаунтов, процессов). К этому классу проявлений можно отнести запуск или остановку каких-то демонов, например, syslogd.
  • Необычная сетевая активность (новые соединения или резкое замедление сетевых операций).

Часто администратор лишь чувствует, что что-то происходит не так. Этого должно быть достаточно, чтобы начать исследования. Ниже приводится перечень команд, которые позволяют выявить и конкретизовать названные выше аномалии.

  1. Для выявления файлов, существенно модифицированных в последнее время, что может свидетельствовать, например, о запуске программы типа sniffer, следует выполнить команду (наберитесь терпения, поиск будет происходить, начиная с корневого каталога):

    find / -size +1000k -mtime +7 -print

    Чтобы обнаружить наличие активных программ типа sniffer, можно выдать команду:

    ip link | grep PROMISC или /sbin/ifconfig

  2. Наличие файлов Nobody может указывать на то, что атакер создал, использовал и затем удалил акаунт нового пользователя. Выявить такие объекты можно с помощью команды:

    find / -nouser -print

  3. Для обнаружения файлов SUID root в необычных местах (например, вне каталогов /sbin и /bin), что иногда указывает на попытку сформировать люк для последующего входа в систему, следует выполнить команду:

    find / -uid 0 -perm -4000 -print

  4. Для выявления файлов с необычными именами (например, ".", " ", "..." и т.д.), что указывает на работу начинающего хакера, следует исполнить команду:

    find / -name "..." -print

  5. Для поиска подозрительных акаунтов (новые акаунты с системными привилегиями) можно выполнить команду:

    grep :0: /etc/passwd

Попытки хакера установить свое программное обеспечение часто приводит к повреждению системных или прикладных программ. В системе RedHat имеется встроенная система RPM (RedHat Package Manager), которая позволяет выявить такие повреждения. Например, команда

rpm -qa | # rpm -Va | sort

поможет решить эту проблему. Для этой же цели можно использовать программу chkrootkit (http://www.chkrootkit.org).

Просмотрев список активных процессов с помощью команды ps-aux, следует обратить внимание на демоны, проход к которым начинается с символа "точка", а также на любые необычные имена процессов. Чтобы узнать подробности, следует заглянуть непосредственно в каталог /proc. Например, выдав команду cat/proc/20999, где 20999 — pid процесса. Для выявления прослушивающих сервисов можно выдать команду netstat-nap.

Аналогичные средства диагностики существуют и для ОС Windows (смотри, например, http://www.cert.org/tech_tips/WIDC.html). Следует помнить, что файловые системы FAT и FAT32 (Windows) не имеют средств защиты, поэтому при построении систем повышенной безопасности следует отдать предпочтение системе NTFS.

  1. Одной из наиболее серьезных угроз является rootkit. Это программа, во многом подобная троянскому коню. Она может скрывать свое присутствие, перехватывать пароли, инсталлировать секретные входы в систему ("черный ход") и атаковать другие машины. Некоторые виды rootkit не дают шансов себя обнаружить. Чтобы гарантировать успешное детектирование rootkit, соответствующие программы нужно запускать в изолированной ("чистой") среде. Ниже даны ссылки на некоторые источники, откуда можно взять программы детектирования toolkit.
  2. Полезно регулярно проверять перечень акаунтов пользователей на машине. Это можно сделать с помощью команды wmic useraccount.
  3. Важно контролировать права пользователей. Для windows XP нужную информацию можно найти по адресу: http://www.microsoft.com/resources/documentation/Windows/XP/all/reskit/enus/prnd_urs_mhnn.asp.
  4. Для контроля автоматического запуска неавторизованных приложений можно воспользоваться командой: wmic /output:C:\services.htm service get /format:hform (для Windows-XP). Полезно также регулярно просматривать содержимое файлов Autoexec. bat, config.sys, system.ini и win.ini. Некоторые программы для "черного хода" загружаются в качестве услуг на фазе загрузки системы. Просмотрев список загруженных услуг, нужно удалить все ненужные.
  5. Целесообразно на регулярной основе мониторировать модификации двоичных системных файлов. Контроля размера файла недостаточно, так как некоторые троянские кони сохраняют размер файла. Наилучший способ – это вычисление контрольных сумм с привлечением алгоритмов MD5 или SHA-1. Смотри http://support.microsoft.com/?kbid=310747 или http://support.microsoft.com/?kbid=222193.
  6. Для контроля конфигурации сети на предмет поиска неавторизованных включений следует воспользоваться услугами http://support.microsoft.com/?kbid=837243. При этом полезно заглянуть в каталог %systemroot%\system32\drivers\etc\hosts. Следует искать необычные номера портов, просушивающие соединения. Это можно сделать с помощью команды: netstat –an. XP позволяет проверить принадлежность процессов определенному порту с помощью команды netstat –ao. Преобразование ID процессов в их имена можно осуществить посредством команды: wmic process where ProcessId="x" get caption.
  7. Выявить неавторизованные квоты можно, воспользовавшись командой net share.
  8. Некоторые хакеры, чтобы скрыть свои действия, не запускают программы типа троянский конь, "черный ход" и т.д. немедленно, а программируют их запуск в будущем. По этой причине надо мониторировать, какие программы ждут запуска. Это можно сделать с помощью команд: at или schtasks.
  9. Контроль наличия неавторизованных процессов можно осуществить с помощью команд pulist.exe или tlist.exe. Первая из команд позволяет также выявить, кто запустил тот или иной процесс. Команда tlist.exe с флагом –t отображает список процессов, породивших дочерние процессы. Дополнительную информацию можно получить с помощью команды msinfo32.msc.
  10. Сигналом опасности может быть появление необычных скрытых файлов. Выявить их можно с помощью Explorer. Для этого достаточно сначала выбрать "Tools, Folder Options, View" и затем "Show hidden files and folders". Годится для этой цели и команда dir/ah.
  11. Чтобы выявить измененные параметры доступа к файлам и ключам реестра, можно воспользоваться программами xcalc.exe или showacls.exe.
  12. Для контроля за изменением политики машины или пользователя можно воспользоваться командой gpresult/v.
  13. Аудит детектирования вторжений можно осуществить, выполнив из командной строки команду run gpedit.msc. Можно также воспользоваться dsa.msc или GPMC.msc. (Смотри также http://www.microsoft.com/windowsserver2003/gpmc/gpmcwp.mspx.)

Список номеров портов для известных троянских коней можно найти в http://www.simovits.com/nyheter9902.html

Евгений Виноградов
Евгений Виноградов

Прошел экстерном экзамен по курсу перепордготовки "Информационная безопасность". Хочу получить диплом, но не вижу где оплатить? Ну и соответственно , как с получением бумажного документа?

Илья Сидоркин
Илья Сидоркин

Добрый день! Подскажите пожалуйста как и когда получить диплом, после сдичи и оплаты?????

Алексей Приходько
Алексей Приходько
Украина, Днепропетровск, Украинский государственный Химико-технологический университет, 2013
Юрий Волоховский
Юрий Волоховский
Украина, Харьков, ХарГАЖТ, 2007