Jak rozpoznać włamanie do sieci firmowej - zły sen admina

Szukanie botnetu

Próbę wykrycia ataku przedstawimy na konkretnym przykładzie. Jak sprawdzić, czy jedna ze stacji roboczych w firmowej sieci nie została zainfekowana trojanem przekształcającym komputer w składnik botnetu. W przypadku, gdy zainfekowana maszyna stanowi jedną z kilkudziesięciu/kilkuset (zależnie od rozmiarów firmy) stacji roboczych działających w danej organizacji, standardowe procedury neutralizacji tego typu złośliwych kodów publikowane m.in. przez producentów oprogramowania ochronnego, choć oczywiście skuteczne, nie są optymalne. Znacznie lepszym rozwiązaniem jest próba wykrycia zagrożenia w wyniku monitorowania ruchu w wewnętrznej sieci. Immanentną cechą charakterystyczną każdego zdalnie sterowanego, złośliwego oprogramowania przekształcającego zainfekowany komputer, czy innego typu usieciowione urządzenia (np. smartfon czy tablet) w składnik botnetu jest wymóg komunikacji z siecią. Ten ponadstandardowy ruch sieciowy można wykryć analizując ruch w sieci i odnotowując ewentualne odchylenia (np. znacznie większa ilość przesyłanych danych z niektórych maszyn itp.). Można też posłużyć się oprogramowaniem typu analizator pakietów, choć wielu specjalistów woli tu określenie sniffer (popularnym narzędziem tego typu jest program Wireshark). W wyniku przechwytu pakietów sieciowych można wykryć komunikację określonych maszyn z nietypowymi adresami IP (np. zlikwidowany pod koniec ubiegłego roku botnet ZeroAccess wykorzystywał m.in. adresy: 76.28.112.31, czy 113.193.49.54). W przypadku identyfikacji zarażonych jednostek należy je po prostu fizycznie odłączyć od sieci firmowej w celu ograniczenia potencjalnych szkód.

Ataki wewnętrzne

Złośliwe oprogramowanie infiltrujące sieć firmową może się przedostać nie tylko z zewnątrz. Równie często sieci korporacyjne padają ofiarą ataków inicjowanych wewnątrz firmowej struktury sieciowej, a agresorami w takich przypadkach są najczęściej pracownicy zaatakowanej organizacji, przy czym warto pamiętać, że nie zawsze taki atak przeprowadzany jest świadomie. Wystarczy na przykład, że pracownik podłączy do przydzielonej mu jednostki zainfekowany dysk/flashdysk USB. Oczywiście metodą przeciwdziałania tego typu propagacji zagrożeń jest odgórne nałożenie blokad na złącza USB (bądź inne interfejsy komunikacyjne; dotyczy to również np. zablokowania napędów optycznych w celu uniemożliwienia odczytu potencjalnie zainfekowanych nośników). Odpowiednie funkcje oferowane są obecnie przez praktycznie każdy system operacyjny, ale należy też pamiętać, że nie zawsze możliwe jest wprowadzenie pełnej blokady tego typu, gdyż dana firma może wymagać dostępności nośników wymiennych w stacjach roboczych ze względu na charakter prowadzonej działalności.

Zobacz również:

  • Zakodowane dane też mają dla hakerów swoją wartość
  • Premiera systemu Red Hat Enterprise Linux 8.5
  • Instancje serwerów skonfigurowanych w chmurach padają zbyt często ofiarą hakerów

Doskonałym przykładem jak może być wykorzystana niefrasobliwość pracownika jest osławiony Stuxnet – kod spreparowany pierwotnie specjalnie w celu sabotowania irańskich instalacji nuklearnych, ale de facto mógł stanowić zagrożenie dla dowolnego celu. Otóż został on „dostarczony” do odizolowanej od internetu sieci w instytucji-celu ataku na nośniku podłączanym do złącza USB jednej ze stacji roboczych.


TOP 200