System wczesnego ostrzegania
-
- 09.03.2010
Dla każdego zagrożenia opracowano regułę lub zestaw reguł, które identyfikują dany ruch. Pojawienie się nowego zagrożenia na pewno spowoduje zaproponowanie nowych sygnatur, które je opiszą. System nie posiada wiedzy, co jest atakiem, jedynie wyszukuje często pojawiające się wzorce, ale metoda ta bardzo dobrze sprawdza się do analizy ruchu sieciowego. Potrafi wykryć także nowe, dotąd nieznane ataki.
Cztery alarmy
System posiada wiele klas sygnalizowania o nowych rodzajach ataków, z czego publicznie udostępnia się cztery - NCLUS, NPORT, NSNORT i SWEP. NCLUS informuje o nowym rodzaju ruchu w sieci honeypotów, który może, ale nie musi być związany z nowym zagrożeniem. Do każdego alarmu NCLUS dołączana jest reguła programu Snort opisująca zagrożenie. Poprzez "Tabele klastrów" można uzyskać ich komplet za ostatnie 24 godziny. Alarm NPORT sygnalizuje pojawienie się portu, na którym po raz pierwszy zauważono wysyłany kod eksploita. Port taki jest utrzymywany na liście przez tydzień, a potem w przypadku nieaktywności, wypada z listy. Podobną logiką kieruje się alarm NSNORT, ale dotyczy reguł detekcji. Alarm SWEEP sygnalizuje przeskanowanie nowego portu z niewielkiej liczby źródeł.
Pierwsze wykryte ataki
Jednym z pierwszych ataków, które zostały wykryte przez system wczesnego ostrzegania Arakis, była detekcja ruchu i przechwycenie eksploita, który miał za zadanie wykorzystać podatność aplikacji jednego z producentów programów antywirusowych. Atak rozpoczął się od skanowań pochodzących z jednego źródła, które były widoczne 11 sierpnia 2007r. na 69 różnych adresach docelowych, co spowodowało wygenerowanie alarmu typu SWEEP. Nie był to jeszcze sygnał ataku, gdyż nie zaobserwowano wysyłania pakietów eksploitujących lukę. 10 dni później do honeypotów trafiły pierwsze pakiety z podejrzanym payloadem, co spowodowało wygenerowanie alarmu NPORT oraz późniejszą analizę zawartości. 12 dni później rozpoczął się masowy atak, który zaobserwowało 30 różnych sond Arakisa. Atakujący łączyli się z ponad 1000 adresów IP należących do sieci honeypotów. Wzmożony ruch na tym porcie obserwowano także na zaporach sieciowych współpracujących z systemem Arakis. System utworzył sygnaturę, która w znacznej mierze pokrywała się z oficjalną sygnaturą dla programu Snort, opracowaną pięć dni później.
Luki i inne efekty
Typowym ruchem rejestrowanym przez system Arakis były masowe, kombinowane ataki przeciw serwerom Windows. Przykładowy atak rozpoczynał się od sprawdzenia obecności maszyny za pomocą ICMP, potem otwierano połączenie na port związany z usługą WINS (port 42/TCP), by upewnić się, że atakowana maszyna działa pod kontrolą Windows. Następnie wysyłano eksploity kolejno na Microsoft Internet Information Server w wersji 5.0 oraz 4.0, a także na usługę WINS. Udane przełamanie zabezpieczeń spowodowałoby pobranie przez serwer powszechnie znanego robaka Padobot/Poxdar. Notowano także ataki kierowane przeciw usłudze SQL Server.
Wbrew powszechnym opiniom niefachowców, Arakis-gov nie służy do monitorowania wszelkiego ruchu wychodzącego i przychodzącego w organizacji. Jest to system instalowany w zewnętrznej podsieci (po stronie sieci Internet), na nieużywanym adresie IP, do którego normalnie nie jest kierowany żaden ruch. Pojawienie się ruchu kierowanego do tej maszyny z sieci danej organizacji świadczy o jakiejś anomalii, a właśnie takie zjawiska system wykrywa. Anomaliami mogą być, na przykład, pakiety broadcast wysyłane przez system Windows, które powinny być odfiltrowane na zaporze sieciowej. Ich obecność może być związana z pracami administratora, który tymczasowo włączył laptopa do tej podsieci w celu diagnostycznym, ale także może świadczyć o problemach z pracą zapory sieciowej.
Podobnie pojawienie się połączeń między lokalizacjami kierowanych do danego honeypotu może oznaczać problemy z bezpieczeństwem w sieci oddziału, z którego te połączenia wychodzą. Przyczyną takiego ruchu może być, na przykład, nieznany rodzaj złośliwego oprogramowania infekującego systemy Windows.
