Igła w stogu siana

Często administratorzy wpadają na ślad ataku przypadkiem. Takim przypadkom można i należy pomagać. Oto kilka porad jak to zrobić.

Często administratorzy wpadają na ślad ataku przypadkiem. Takim przypadkom można i należy pomagać. Oto kilka porad jak to zrobić.

Infrastruktura systemów Windows jest wybitnie podatna na złośliwe oprogramowanie. Wszystkie ataki są już całkowicie komercyjne i wykorzystują zaawansowane techniki ukrywania. Program antywirusowy nie wykryje takiego ataku, gdyż kod został opracowany, aby pozostał niewykryty. Takim przykładem może być komercyjny rootkit Hacker Defender Brilliant.

Z takimi programami nie dają sobie rady moduły HIPS zawarte w programach klasy Endpoint Protection, nie pokazuje ich Process Explorer, analiza za pomocą narzędzi monitoringu ruchu nie przynosi rozstrzygnięcia, a mało restrykcyjne IPS-y sieciowe – milczą. Wyrywkowe przechwytywanie całego ruchu wychodzącego za pomocą duplikowania ruchu przez przełącznik sieciowy i przeglądanie za pomocą Wiresharka nie przyniesie żadnych istotnych informacji.

Na ślad ataku może naprowadzić przypadek lub wynik działania specjalistycznego narzędzia, które przez długi czas zbiera ruch sieciowy, a następnie kategoryzuje go pod kątem protokołów, portów, kraju docelowego i hostów. Przykładowa infekcja maszyny z Windows Vista przez dostosowane doń spyware może być wykryta przypadkiem, ale przypadkom trzeba pomagać.

Korea, Chiny? HTTP czy HTTPS?

Jednym z ważniejszych opcji, niedostępnych w prostych narzędziach, jest dekodowanie geograficzne adresów IP. Transmisję danych spyware będzie można łatwiej wykryć, jeśli analizator ruchu potrafi kategoryzować ruch pod kątem krajów docelowych. Połączenia kierowane z adresów w Korei Południowej czy Chinach niekoniecznie muszą oznaczać przeglądanie stron z tamtego kraju.

Ważnym kryterium jest protokół wykorzystywany do realizacji połączenia. Otwarte HTTP wzbudza mniej podejrzeń od HTTPS czy nieznanego, szyfrowanego protokołu, dlatego na tych ostatnich należy się skupić przy poszukiwaniach. Czasami przypomina to szukanie igły w stogu siana, gdyż nowoczesne spyware komunikuje się sporadycznie, nigdy nie otwiera stałego połączenia do serwerów, zadowalając się krótkimi transmisjami danych. Należy zatem szukać połączeń przy użyciu szyfrowanego lub nieznanego protokołu.

Jeśli na takie wyniki nałoży się drugą kategorię, mianowicie czas, być może ujawni się statystyczny obraz wykonywanych regularnie połączeń, które wymykają się rutynowej kontroli. W ten sposób można wykryć tzw. beacony, których działanie polega na periodycznym wysyłaniu niewielkich porcji danych do zdalnych serwerów. Wykrycie działającego beacona bez długotrwałej archiwizacji ruchu jest trudne, gdyż połączenia na różne porty trwają krótko, zajmują nie więcej niż 1kB danych i wykorzystują nieznany protokół. Być może zostaną wykryte przez niektóre korporacyjne IPS-y (np. McAfee Intrushield, który analizuje protokoły niezależnie od używanych przy komunikacji portów).

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200