Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Восстановление систем после атак

Джефф Баллард, Дэйв Декостер

Независимо от того насколько велика ваша сеть, вам все равно когда-нибудь да придется восстанавливать подвергшуюся атаке систему. И если при этом не руководствоваться определенными правилами, процесс может оказаться весьма и весьма неприятным и проблематичным.

Вариантов вторжения в вашу сеть — великое множество, от взлома одного из компьютеров до инсталляции шпионских программ, отсылающих ваш трафик на неприятельский узел для извлечения конфиденциальной информации. Каков бы ни был характер взлома, ответные меры необходимо принимать немедленно.

Проанализируйте возникшие аномалии. Один из признаков вторжения или заражения “червем” — чрезмерно интенсивная работа ваших рабочих станций или серверов. Другой показатель — появление посторонних неудаляемых директорий на жестком диске, не “замечаемых” антивирусным ПО и другими средствами.

Не так давно нам пришлось устранять последствия вторжения в сеть инженерного колледжа Университета Висконсин-Мэдисон. Случилось так, что шпионская программа MarketScore, ворующая имена и пароли вышеупомянутым способом, попала на одну из наших систем.

Мы неоднократно слышали об обнаружении этого кода в других колледжах, поэтому решили проверить трафик по периметру сети — выявилась одна зараженная рабочая станция. Сохранив в качестве улики копию образа текущего состояния системы, мы полностью очистили диск и заново инсталлировали штатные ОС и приложения. Урон был нанесен лишь одному пользователю — его паролями к ряду Web-ресур-сов ограниченного доступа могли воспользоваться посторонние.

Ранее, в прошлом году, мы подверглись куда более разрушительному нападению, ликвидация последствий которого отняла у нас гораздо больше времени. Атаки с применением средств rootkit обрушились на 300 наших Linux-систем. Из них 200 образовывали высокопроизводительные кластеры; больше месяца ушло у университета на то, чтобы вернуть один из кластеров в рабочее состояние.

Наш совет: наблюдайте за трафиком периметра сети — это позволит вам отследить подозрительные действия. Помочь определить проблему иногда могут сторонние организации. Например, администрация сети другого университета может предупредить вас об опасности, выслав фрагменты системных журналов зараженных машин.

Режим восстановления

Придя к неутешительному выводу, что машина заражена, вам уже нельзя полагаться на инсталлированное на ней ПО, включая ОС. Если предположить, что каждый двоичный файл на компьютере был заменен, то вам, возможно, уже не удастся подобраться к источнику проблемы. В зависимости от типа вашей организации — государственное учреждение, компания — и характера атаки — взлом, хищение данных, перед тем как заняться восстановлением систем, вам, по всей вероятности, следует связаться с компетентными органами. (Не забудьте прежде всего позвонить адвокату.)

Во время прошлогоднего инцидента в университете в ОС Linux была скрыто внедрена rootkit-утилита SuckIT для получения имен и паролей пользователей, включая администраторов, а также с целью развертывания распределенных DoS-атак. Это лишний раз показывает, каким разнообразным инструментарием может воспользоваться взломщик, получивший доступ к вашей машине: утилиты rootkit, клавиатурные “перехватчики”, “черные ходы”. Трудно даже определить, осталось или нет враждебное ПО на взломанной системе, поэтому от подвергшегося нападению компьютера можно ожидать чего угодно. С такими инструментами, как SuckIT и Wolff, взломщик способен глубоко “запрятать” свой код в ваших компьютерах.

Вредоносные программы могут содержаться в одном-единственном исполняемом файле. Файл размером менее 100 Кбайт способен нести в себе код, открывающий множество лазеек, позволяющих обойти системную защиту. Даже если вы и удалите этот файл, то все равно не будете знать, какой еще код добавил неприятель, пока лазейки были открыты. Программа-перехватчик, запоминающая нажатия клавиш клавиатуры, может выполняться в фоновом режиме, а оставленную для нее лазейку можно открыть в любое время — все это очень трудно выявить. Мы рекомендуем проводить мониторинг атакованного компьютера в течение двух недель и как можно скорее переустановить его ПО.

Некоторые шпионские программы располагаются в памяти в виде процессов-“близнецов”. Такой процесс нельзя “убить” командой kill — даже если вы остановите один процесс, второй скопирует себя под другим именем в другое место. Таким образом, эти программы еще и расходуют ресурсы вашей машины.

Также нет способа определить, что именно было заменено на вашем компьютере. На некоторых Windows-машинах модифицируется даже файл cmd.exe. Лучшим решением в этом случае будет полная переустановка системы на целиком отформатированный диск. Если вы работаете в среде x86, во избежание повторных заражений не забудьте “вычистить” главную загрузочную запись (fdisk /mbr).

Перед полной переустановкой сначала “грубо” отключите питание — просто выдерните шнур из розетки. Дело в том, что операционная система сохраняет на диске часть своей памяти в файлах с фрагментами запущенных на вашем компьютере программ. Большинство ОС постепенно удаляют ненужную информацию с жесткого диска, полностью синхронизируясь лишь по завершении работы. В этих файлах может содержаться полезная для расследования инцидента информация — например, сделанные скрытые записи или созданные/удаленные файлы. “Вырубив” внезапно питание, вы сохраните эту информацию на диске для дальнейшего анализа.

Затем загрузите машину с CD-ROM-привода, поместив в него диск Knoppix-STD (Security Tools Distribution) для Linux или FIRE (Forensic and Incident Response Environment) для Windows (доступен по адресу http://biatchux.dmzs.com). Эти загрузочные компакт-диски дают возможность манипулировать данными на зараженном компьютере, пользуясь проверенными средствами на базе “усиленного” ядра ОС. Мы предпочитаем использовать дистрибутив STD, и не только для Linux-систем, так как он включает множество полезных инструментов, но для Windows-систем вам лучше задействовать FIRE.

После запуска режима восстановления создайте образ жесткого диска зараженного компьютера для дальнейшего изучения (см. “Экспертиза показала...”). Процесс создания точной копии жесткого диска хорошо реализуется с помощью утилиты dd. Программа PartitionMagic в данном случае едва ли будет полезной, так как она копирует лишь “правильные” части диска.

Случай Windows

Удалить “просочившийся” в ОС Windows посторонний код легко, верно? Как бы не так! К этому всегда надо относиться с опаской, поскольку в процессе удаления могут запуститься другие вредоносные программы. Так, некоторые шпионские программы распространяются вместе с программами их деинсталляции. Наш недавний горький опыт показал, что такой деинсталлятор можно с полным правом назвать “волком в овечьей шкуре”: с его помощью программа-шпион копируется в новое место. Был у нас случай, когда такая программа скопировалась на место системной сетевой утилиты и после ее удаления компьютер уже не запускался, что заставило нас установить ОС заново.

Используйте только чистые, проверенные копии таких инструментов, как netstat.exe и cmd.exe, а также свободно распространяемых Process Explorer, TCPView и Streams от Sysinternals. Если вам необходимо быстро вернуть систему в рабочее состояние без полной переинсталляции, то готовьтесь к грязной (но, к счастью, недолгой) работе. Однако это рискованное дело, поэтому все-таки лучше переустановить ПО заново, и поскорее.

Вот несколько рекомендаций по восстановлению Windows-систем:

• Запишите информацию о компьютере, включая аппаратный адрес и адрес IP, а также показания таймера.

• Отключите поддержку режима восстановления системы Win-dows XP. Здесь тоже может крыться источник проблемы.

• Убедитесь, что в Windows Explorer у вас включены опции показа скрытых и системных файлов. Среди этих файлов могут маскироваться и вредоносные программы.

Используя “чистые” копии всех утилит, в командной строке запустите программу netstat -ano или утилиту TCPView для выявления подозрительной сетевой активности системы. Возможно, вам удастся обнаружить серверный процесс и нелегально открытые порты. Идентифицировав подозрительный сетевой трафик, зафиксируйте номер процесса (PID), относящегося к сомнительному сетевому соединению.

Далее запустите утилиту Process Explorer, найдите нужный номер процесса и запишите как можно больше информации о нем: имя файла, где он находится и пр. Затем остановите злосчастный процесс и понаблюдайте за поведением сети.

Теперь, когда ситуация временно под контролем, сделайте все, чтобы не дать запуститься атаке при перезагрузке системы. Вручную выполните поиск в реестре имен автоматически запускаемых исполняемых файлов или воспользуйтесь инструментом Autoruns, который сделает все это автоматически. Если вам попадутся записи, относящиеся к враждебному файлу, удалите соответствующие ему ключи реестра.

Один из недавно обнаруженных элементов уязвимости ОС Windows связан с потоками ADS (Alternate Data Streams), которые фирма Microsoft использует для хранения эскизов изображений. Оказалось, что в файловой системе NTFS с помощью ADS можно спрятать код в “описании” некоего файла, и это усложняет обнаружение враждебных программ. Отмечен случай, когда клавиатурный перехватчик был таким образом “приклеен” к файлу winnt.exe, а однажды папка C:\Windows “превратилась” в FTP-сервер.

Обнаружить подобные “фокусы” можно, например, с помощью утилиты LADS от Heysoft или свежей версии ПО AdAware от Lavasoft. Проверьте также файл hosts в папке C:\Windows\system32\drivers\etc на предмет выявления в нем посторонних записей. Представьте, как посмеется над вами хакер, перенаправив вас с windowsupdate.microsoft.com на www.i-am-a-hacker.com.

В целях безопасности сначала из системы надо убрать неприятеля. В отличие от Unix для ОС Windows существует сравнительно мало инструментов, поддерживающих “живую” среду восстановления. Можно использовать Knoppix, но вы при этом не получите доступа к реестру Windows. Проблему решает мощный инструмент ERDCommander от Winternals; правда, он обойдется вам в 150 долл. (для рабочей станции) или 300 (для сервера). Еще один вариант: извлечь жесткий диск и подключить его к другой Windows-системе.

Теперь вы вновь контролируете систему, но не вздумайте запустить какой-нибудь исполняемый файл с зараженного диска. Поскольку нельзя задействовать Task Manager и netstat, чтобы получить представление о происходящем, вам придется собраться с мыслями. Воспользуйтесь инструментом Sigverif от Microsoft, который при проверке зараженного диска выявляет неподписанные файлы.

Имейте в виду, что есть большая вероятность того, что назначение любого файла на скомпрометированной системе будет кардинально отличаться от штатного. Так, DLL-файл на самом деле может представлять собой текстовой сценарий конфигурирования FTP-сервера, тайком установленного на вашей системе.

Хотя проанализировать реестр в автоматическом режиме вам едва ли удастся, вручную отследить его ветви по отдельности несложно. После всего этого удалите посторонние файлы, проверьте систему на наличие вирусов и программ-шпионов.

Унция предусмотрительности

Если ваша сеть подверглась нападению, самый лучший выход из ситуации — это восстановить все данные из “чистого” архива. Но при его отсутствии или в случае, когда начальство требует “косметического ремонта”, а не полного восстановления системы, возникает некоторая степень риска. Большинство отделов ИТ используют стандартные образы и методы инсталляции. К сожалению, это делает машины уязвимыми к атакам с применением одних и тех же средств.

Поняв, что сеть атакована, незамедлительно поменяйте пароли всем вашим пользователям. После взлома университетских Linux-систем мы добросовестно отформатировали все диски, восстановили все данные и, ни о чем не подозревая, разрешили пользователям использовать их старые пароли. Не прошло и 15 мин, как взломщики вернулись и, используя пароли, которые они, разумеется, успели украсть, возобновили атаку. На ошибках учатся: храните информацию о паролях и не назначайте одинаковые пароли в течение двух лет..





  
2 '2005
СОДЕРЖАНИЕ

бизнес

• Поддержка от производителя за разумную цену

• Рождение контакт-центра

инфраструктура

• Тестируем продукты управления сетевыми ресурсами

• Тестируем консольные серверы

• Сеть «золотого» стандарта

• Совершенная сеть. Попытка номер 2

• Когда оборудование выходит из строя

информационные системы

• Системы записи вызовов для call-центров

• Электронные социальные карты

сети связи

• Тестируем SIP-УАТС компании Interactive Intelligence

• Выбираем оборудование для видеотрансляций

кабельные системы

• Прогресс в области UTP-кабелей

• Огнезадерживающие средства развиваются

защита данных

• Восстановление систем после атак

новые продукты

• CompactLAN — СКС для малого бизнеса; Экранированная кабельная система EuroLAN; Extreme вырастила «тополя»


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх