Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00290 005346 12767702 na godz. na dobę w sumie
Wykrywaj i reaguj. Praktyczny monitoring sieci dla administratorów - książka
Wykrywaj i reaguj. Praktyczny monitoring sieci dla administratorów - książka
Autor: Liczba stron: 408
Wydawca: Helion Język publikacji: polski
ISBN: 978-83-246-8799-2 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> sieci komputerowe >> inne
Porównaj ceny (książka, ebook, audiobook).

Bądź o krok przed intruzem!

Zagwarantowanie bezpieczeństwa sieci to ogromne wyzwanie i najwyższa konieczność. Aby to osiągnąć, nie wystarczy budowanie murów — prędzej czy później napastnicy przenikną przez takie zabezpieczenia. Dlatego kluczowe jest stałe monitorowanie ruchu w sieci i wykrywanie podejrzanych zachowań. Jak to zrobić? Jak wykorzystać w tym celu darmowe oprogramowanie z otwartym kodem? Na te i wiele innych pytań odpowiada ta wspaniała książka.

W trakcie lektury dowiesz się, jak uzyskać dostęp do ruchu sieciowego, zbierać go i zarządzać nim. W kolejnych rozdziałach poznasz narzędzie Security Onion (autonomiczną platformę pozwalającą na monitorowanie bezpieczeństwa w sieci) oraz dowiesz się, jak je skonfigurować i wykorzystać. Do Twojej dyspozycji jest również wiele narzędzi działających w trybie tekstowym, z Tcpdump na czele. Ich możliwości oraz zastosowanie poznasz w kolejnych rozdziałach. Na sam koniec zobaczysz, jak wygląda cykl zapewniania bezpieczeństwa w przedsiębiorstwie oraz jakie działania należy podjąć w przypadku wykrycia naruszenia zasad bezpieczeństwa. Książka ta jest obowiązkową lekturą dla wszystkich administratorów sieci. Dostarcza ona cennych informacji na temat dostępnych narzędzi, procedur oraz trendów w tej dziedzinie.

Dzięki tej książce:

Obowiązkowa lektura każdego administratora!

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

Tytuł oryginału: The Practice of Network Security Monitoring: Understanding Incident Detection and Response Tłumaczenie: Grzegorz Pawłowski ISBN: 978-83-246-8799-2 Original edition Copyright © 2013 by Richard Bejtlich. All rights reserved. Published by arrangement with No Starch Press, Inc. Polish edition copyright © 2014 by Helion SA. All rights reserved. All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from the Publisher. Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną, fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje naruszenie praw autorskich niniejszej publikacji. Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich właścicieli. Autor oraz Wydawnictwo HELION dołożyli wszelkich starań, by zawarte w tej książce informacje były kompletne i rzetelne. Nie bierze jednak żadnej odpowiedzialności ani za ich wykorzystanie, ani za związane z tym ewentualne naruszenie praw patentowych lub autorskich. Wydawnictwo HELION nie ponosi również żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji zawartych w książce. Wydawnictwo HELION ul. Kościuszki 1c, 44-100 GLIWICE tel. 32 231 22 19, 32 230 98 63 e-mail: helion@helion.pl WWW: http://helion.pl (księgarnia internetowa, katalog książek) Drogi Czytelniku! Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres http://helion.pl/user/opinie/wykreg Możesz tam wpisać swoje uwagi, spostrzeżenia, recenzję. Printed in Poland. • Kup książkę • Poleć książkę • Oceń książkę • Księgarnia internetowa • Lubię to! » Nasza społeczność Spis treści O AUTORZE ............................................................................................... 1 SŁOWO WSTĘPNE ..................................................................................... 15 PRZEDMOWA ........................................................................................... 21 Czytelnicy ...............................................................................................................................23 Wymagania wstępne ..............................................................................................................23 Uwagi dotyczące oprogramowania i protokołów ..................................................................24 Zakres tematyczny książki .....................................................................................................25 Podziękowania .......................................................................................................................26 Oświadczenie .........................................................................................................................27 Część I Wprowadzenie 1 UZASADNIENIE MONITOROWANIA BEZPIECZEŃSTWA SIECI ................ 31 Wprowadzenie do NSM ........................................................................................................32 Czy NSM zapobiega włamaniom? ......................................................................................33 Jaka jest różnica między NSM a ciągłym monitorowaniem (CM)? .........................................34 Jak NSM wygląda w porównaniu z innymi podejściami? ....................................................38 Dlaczego NSM działa? ........................................................................................................39 Jak system NSM jest skonfigurowany? ...............................................................................40 Kiedy NSM nie działa? ........................................................................................................42 Czy stosowanie NSM-u jest legalne? ..................................................................................42 W jaki sposób można chronić prywatność użytkowników w czasie wykonywania operacji systemu NSM? ..............................................................44 Przykładowy test systemu NSM ............................................................................................44 Zakres danych systemu NSM .................................................................................................46 Pełne dane ..........................................................................................................................46 Dane wyodrębnione ..........................................................................................................48 Dane sesji ...........................................................................................................................51 Kup książkęPoleć książkę Dane transakcji .................................................................................................................. 52 Dane statystyczne .............................................................................................................. 54 Metadane ........................................................................................................................... 56 Dane alertów ..................................................................................................................... 59 Jaki jest sens zbierania tych wszystkich danych? .................................................................... 60 Wady systemu NSM .............................................................................................................. 62 Gdzie mogę kupić system NSM? ........................................................................................... 62 Gdzie mogę uzyskać wsparcie i dodatkowe informacje? ....................................................... 63 Podsumowanie ...................................................................................................................... 63 2 ZBIERANIE ZAWARTOŚCI RUCHU SIECIOWEGO: DOSTĘP, PRZECHOWYWANIE I ZARZĄDZANIE ..................................... 65 Przykładowa sieć dla pilotażowego systemu NSM .................................................................. 66 Przepływ ruchu w prostej sieci ......................................................................................... 67 Możliwe miejsca użycia platformy NSM ............................................................................ 71 Adresy IP i NAT .................................................................................................................... 71 Bloki adresów sieci ............................................................................................................ 72 Przypisania adresów IP ...................................................................................................... 73 Translacja adresów ............................................................................................................ 74 Wybieranie najlepszego miejsca do uzyskania widoczności sieci .......................................... 78 Miejsce obserwacji ruchu dotyczącego sieci DMZ ............................................................ 78 Miejsca obserwacji ruchu dotyczącego sieci bezprzewodowej i sieci wewnętrznej ......... 79 Uzyskiwanie fizycznego dostępu do ruchu sieciowego ......................................................... 81 Użycie przełączników do monitorowania ruchu sieciowego ............................................ 81 Wykorzystanie TAP’a sieciowego ..................................................................................... 82 Przechwytywanie ruchu bezpośrednio w systemie klienta lub serwera ........................... 83 Wybór platformy NSM .......................................................................................................... 83 Dziesięć zaleceń dotyczących zarządzania platformą NSM ................................................... 85 Podsumowanie ...................................................................................................................... 86 Część II Wdrożenie pakietu Security Onion 3 WDROŻENIE I INSTALACJA AUTONOMICZNEJ PLATFORMY NSM ......... 91 Platforma autonomiczna czy serwer plus sensory? ............................................................... 92 Wybór sposobu instalacji kodu SO ........................................................................................ 95 Instalowanie systemu autonomicznego ................................................................................. 96 Instalowanie systemu SO na twardym dysku .................................................................... 96 Konfigurowanie oprogramowania SO ............................................................................. 101 Wybór interfejsu zarządzania .......................................................................................... 103 Instalacja składników oprogramowania NSM .................................................................. 104 Sprawdzenie instalacji ...................................................................................................... 108 Podsumowanie .................................................................................................................... 112 6 S p i s t r e ś c i Kup książkęPoleć książkę 4 WDROŻENIE ROZPROSZONE ................................................................. 113 Instalowanie serwera SO z wykorzystaniem pliku .iso projektu SO ....................................114 Uwagi dotyczące serwera SO ..........................................................................................114 Tworzenie własnego serwera SO ....................................................................................115 Konfigurowanie własnego serwera SO ............................................................................117 Instalowanie sensora SO z wykorzystaniem obrazu .iso systemu SO ..................................119 Konfigurowanie sensora SO .............................................................................................119 Dokończenie procesu konfiguracji ...................................................................................121 Upewnienie się, że sensory działają .................................................................................123 Sprawdzenie, czy tunel autossh działa .............................................................................123 Tworzenie serwera SO z wykorzystaniem archiwów PPA .................................................124 Instalacja Ubuntu Server jako systemu operacyjnego serwera SO ......................................125 Wybór statycznego adresu IP ..........................................................................................127 Aktualizacja oprogramowania ..........................................................................................128 Rozpoczęcie konfiguracji systemu baz danych MySQL i pakietów PPA na serwerze SO ....128 Konfiguracja własnego serwera SO z wykorzystaniem PPA ............................................130 Tworzenie sensora SO z wykorzystaniem archiwów PPA ..................................................132 Instalacja Ubuntu Server jako systemu operacyjnego sensora SO .....................................132 Konfigurowanie systemu jako sensora .............................................................................134 Uruchomienie kreatora ustawień ....................................................................................135 Podsumowanie .....................................................................................................................138 5 ZARZĄDZANIE PLATFORMĄ SO ........................................................... 141 Aktualizowanie systemu SO .................................................................................................141 Przeprowadzanie aktualizacji z wykorzystaniem interfejsu GUI ......................................142 Wykonywanie aktualizacji z wiersza poleceń ...................................................................143 Ograniczanie dostępu do systemu SO .................................................................................144 Łączenie się przez serwer proxy obsługujący protokół SOCKS ......................................145 Zmiana reguł zapory sieciowej .........................................................................................147 Zarządzanie przechowywaniem danych systemu SO ..........................................................148 Zarządzanie pamięcią masową sensora ...........................................................................149 Sprawdzanie wielkości pamięci dyskowej zużytej przez bazy danych .............................150 Zarządzanie bazą danych aplikacji Sguil ............................................................................151 Śledzenie zużycia pamięci dyskowej ................................................................................151 Podsumowanie .....................................................................................................................152 S p i s t r e ś c i 7 Kup książkęPoleć książkę Część III Narzędzia 6 NARZĘDZIA DO ANALIZY PAKIETÓW PRACUJĄCE W TRYBIE WIERSZA POLECEŃ ............................................................... 155 Kategorie narzędzi SO ......................................................................................................... 156 Prezentacja danych .......................................................................................................... 156 Narzędzia SO do zbierania danych .................................................................................. 157 Narzędzia SO dostarczające dane ................................................................................... 157 Używanie programu Tcpdump ............................................................................................ 158 Wyświetlanie, zapisywanie i odczytywanie zawartości ruchu za pomocą programu Tcpdump ................................................................................... 159 Użycie filtrów w programie Tcpdump ............................................................................ 161 Wydobywanie szczegółowych informacji z danych wyjściowych programu Tcpdump ..... 164 Badanie pełnych danych za pomocą programu Tcpdump ............................................... 164 Używanie narzędzi Dumpcap i Tshark ................................................................................ 165 Uruchamianie narzędzia Tshark ...................................................................................... 166 Uruchamianie narzędzia Dumpcap ................................................................................. 166 Zastosowanie narzędzia Tshark do odczytania śladu ruchu sieciowego utworzonego przez program Dumpcap ...................................................................... 168 Użycie filtrów wyświetlania w programie Tshark ........................................................... 169 Filtry wyświetlania programu Tshark w działaniu ........................................................... 171 Używanie narzędzia Argus i klienta Ra ................................................................................ 172 Zatrzymywanie i uruchamianie serwera Argus ............................................................... 173 Format pliku w aplikacji Argus ......................................................................................... 173 Badanie danych aplikacji Argus ........................................................................................ 174 Podsumowanie .................................................................................................................... 178 7 GRAFICZNE NARZĘDZIA DO ANALIZY PAKIETÓW ............................. 179 Używanie aplikacji Wireshark .............................................................................................. 179 Uruchamianie programu Wireshark ................................................................................ 180 Przeglądanie przechwyconych pakietów w programie Wireshark ................................. 181 Modyfikowanie układu wyświetlania danych w programie Wireshark ............................ 182 Niektóre użyteczne funkcje programu Wireshark .......................................................... 185 Korzystanie z narzędzia Xplico ........................................................................................... 192 Uruchamianie Xplico ....................................................................................................... 193 Tworzenie przypadków i sesji w aplikacji Xplico ............................................................ 194 Przetwarzanie ruchu sieciowego ..................................................................................... 195 Interpretacja zdekodowanego ruchu ............................................................................... 195 Wyświetlanie metadanych i podsumowania ruchu .......................................................... 198 Badanie zawartości ruchu za pomocą narzędzia NetworkMiner ........................................ 200 Uruchamianie narzędzia NetworkMiner ......................................................................... 200 Zbieranie i organizacja szczegółów dotyczących ruchu sieciowego ................................ 201 Prezentacja treści ............................................................................................................ 202 Podsumowanie .................................................................................................................... 204 8 S p i s t r e ś c i Kup książkęPoleć książkę 8 KONSOLE NSM ....................................................................................... 205 Rzut oka na ruch sieciowy z perspektywy systemu NSM ....................................................206 Używanie konsoli Sguil .........................................................................................................207 Uruchamianie aplikacji Sguil .............................................................................................208 Sześć kluczowych funkcji aplikacji Sguil ............................................................................210 Używanie aplikacji Squert ....................................................................................................221 Snorby ..................................................................................................................................223 ELSA .....................................................................................................................................227 Podsumowanie .....................................................................................................................231 Część IV NSM w akcji 9 OPERACJE NSM ...................................................................................... 235 Cykl zapewniania bezpieczeństwa w przedsiębiorstwie ......................................................236 Faza planowania ...............................................................................................................237 Faza odpierania ................................................................................................................237 Fazy wykrywania i reagowania .........................................................................................238 Zbieranie danych, analiza, eskalacja i rozwiązanie ...............................................................238 Zbieranie danych ..............................................................................................................239 Analiza ..............................................................................................................................244 Eskalacja ...........................................................................................................................247 Rozwiązanie .....................................................................................................................250 Naprawa ...............................................................................................................................254 Używanie metodologii NSM do poprawy bezpieczeństwa .............................................255 Tworzenie zespołu CIRT .................................................................................................256 Podsumowanie .....................................................................................................................259 10 NARUSZENIE BEZPIECZEŃSTWA PO STRONIE SERWERA ..................... 261 Charakterystyka naruszenia bezpieczeństwa po stronie serwera .......................................262 Naruszenie bezpieczeństwa po stronie serwera w akcji .....................................................263 Rozpoczęcie pracy od uruchomienia konsoli Sguil ...........................................................264 Kwerenda danych sesji przy użyciu konsoli Sguil .............................................................265 Powrót do danych alertów ..............................................................................................269 Przeglądanie pełnych danych za pomocą programu Tshark ............................................271 Wyjaśnienie działania furtki ..............................................................................................273 Co zrobił włamywacz? .....................................................................................................274 Co jeszcze zrobił włamywacz? .........................................................................................278 Eksploracja danych sesji .......................................................................................................280 Przeszukiwanie dzienników DNS aplikacji Bro ................................................................280 Przeszukiwanie dzienników SSH aplikacji Bro .................................................................282 Przeszukiwanie dzienników FTP aplikacji Bro .................................................................283 S p i s t r e ś c i 9 Kup książkęPoleć książkę Dekodowanie kradzieży wrażliwych danych ................................................................... 285 Wyodrębnianie skradzionego archiwum ......................................................................... 286 Retrospekcja ........................................................................................................................ 287 Podsumowanie pierwszego etapu ................................................................................... 287 Podsumowanie drugiego etapu ....................................................................................... 288 Kolejne kroki ................................................................................................................... 288 Podsumowanie .................................................................................................................... 289 11 NARUSZENIE BEZPIECZEŃSTWA PO STRONIE KLIENTA ..................... 291 Definicja naruszenia bezpieczeństwa po stronie klienta ...................................................... 292 Naruszenie bezpieczeństwa po stronie klienta w akcji ....................................................... 294 Otrzymanie zgłoszenia incydentu od użytkownika ......................................................... 295 Rozpoczęcie analizy przy użyciu narzędzia ELSA ............................................................ 295 Szukanie brakującego ruchu ............................................................................................ 300 Analiza zawartości pliku dns.log aplikacji Bro ...................................................................... 302 Sprawdzanie portów docelowych ....................................................................................... 304 Zbadanie kanału dowodzenia i kontroli ............................................................................... 307 Początkowy dostęp ......................................................................................................... 308 Uruchomienie lepszej powłoki ........................................................................................ 313 Podsumowanie pierwszego etapu ................................................................................... 314 Przeniesienie ataku na drugi komputer ........................................................................... 314 Instalacja ukrytego tunelu ................................................................................................ 316 Zebranie informacji o ofierze .......................................................................................... 317 Podsumowanie drugiego etapu ....................................................................................... 318 Podsumowanie .................................................................................................................... 319 12 ROZSZERZANIE SYSTEMU SECURITY ONION ....................................... 321 Użycie aplikacji Bro do śledzenia plików wykonywalnych .................................................. 322 Obliczanie przez Bro skrótów pobranych plików wykonywalnych ................................ 322 Sprawdzenie skrótu w serwisie VirusTotal ..................................................................... 323 Wykorzystywanie aplikacji Bro do wyodrębniania binariów z ruchu sieciowego ............... 324 Skonfigurowanie aplikacji Bro do wyodrębniania binariów z ruchu sieciowego ............. 325 Zbieranie ruchu do testowania aplikacji Bro ................................................................... 326 Testowanie aplikacji Bro pod względem wyodrębniania binariów z ruchu HTTP .......... 328 Badanie pliku binarnego wyodrębnionego z ruchu HTTP ............................................... 330 Testowanie aplikacji Bro pod względem wyodrębniania binariów z ruchu FTP ............. 331 Badanie pliku binarnego wyodrębnionego z ruchu FTP .................................................. 332 Sprawdzenie skrótu i pliku binarnego w serwisie VirusTotal .......................................... 332 Ponowne uruchomienie programu Bro ........................................................................... 334 Wykorzystanie danych analitycznych dotyczących zagrożenia APT1 .................................. 337 Używanie modułu APT1 ................................................................................................. 337 Instalacja modułu APT1 ................................................................................................... 339 Wygenerowanie ruchu potrzebnego do testowania modułu APT1 ................................... 340 Testowanie modułu APT1 ............................................................................................... 341 10 S p i s t r e ś c i Kup książkęPoleć książkę Informowanie o pobraniu złośliwych binariów ....................................................................343 Korzystanie z repozytorium skrótów złośliwego oprogramowania oferowanego przez Team Cymru ....................................................343 Repozytorium MHR a system SO ....................................................................................345 MHR i SO kontra pobranie złośliwego pliku ....................................................................346 Identyfikacja programu binarnego ....................................................................................348 Podsumowanie .....................................................................................................................349 13 SERWERY PROXY I SUMY KONTROLNE ................................................ 351 Serwery proxy ......................................................................................................................351 Serwery proxy a widoczność ...........................................................................................352 Radzenie sobie z serwerami proxy w sieciach produkcyjnych .........................................356 Sumy kontrolne ....................................................................................................................357 Prawidłowa suma kontrolna ............................................................................................357 Nieprawidłowa suma kontrolna .......................................................................................358 Identyfikowanie prawidłowych i nieprawidłowych sum kontrolnych za pomocą programu Tshark ........................................................................................358 Dlaczego pojawiają się nieprawidłowe sumy kontrolne? .................................................361 Aplikacja Bro a nieprawidłowe sumy kontrolne ...............................................................362 Ustawienie trybu ignorowania nieprawidłowych sum kontrolnych w programie Bro .....363 Podsumowanie .....................................................................................................................366 ZAKOŃCZENIE ...................................................................................... 367 Przetwarzanie w chmurze ...................................................................................................368 Wyzwania wynikające z przetwarzania w chmurze .........................................................369 Korzyści wynikające z przetwarzania w chmurze ............................................................370 Przepływ pracy, metryki i współpraca .................................................................................371 Przepływ pracy a metryki ................................................................................................372 Współpraca ......................................................................................................................373 Podsumowanie .....................................................................................................................373 Dodatek SKRYPTY I KONFIGURACJA SYSTEMU SO ............................................. 375 Skrypty sterujące systemu Security Onion ...........................................................................375 /usr/sbin/nsm ....................................................................................................................377 /usr/sbin/nsm_all_del ........................................................................................................377 /usr/sbin/nsm_all_del_quick .............................................................................................378 /usr/sbin/nsm_sensor .......................................................................................................379 /usr/sbin/nsm_sensor_add ................................................................................................380 /usr/sbin/nsm_sensor_backup-config ...............................................................................380 /usr/sbin/nsm_sensor_backup-data ..................................................................................380 /usr/sbin/nsm_sensor_clean .............................................................................................380 /usr/sbin/nsm_sensor_clear ..............................................................................................380 /usr/sbin/nsm_sensor_del .................................................................................................380 /usr/sbin/nsm_sensor_edit ...............................................................................................381 S p i s t r e ś c i 11 Kup książkęPoleć książkę /usr/sbin/nsm_sensor_ps-daily-restart ............................................................................. 381 /usr/sbin/nsm_sensor_ps-restart ..................................................................................... 381 /usr/sbin/nsm_sensor_ps-start ......................................................................................... 383 /usr/sbin/nsm_sensor_ps-status ....................................................................................... 384 /usr/sbin/nsm_sensor_ps-stop ......................................................................................... 384 /usr/sbin/nsm_server ....................................................................................................... 385 /usr/sbin/nsm_server_add ............................................................................................... 385 /usr/sbin/nsm_server_backup-config ............................................................................... 385 /usr/sbin/nsm_server_backup-data .................................................................................. 385 /usr/sbin/nsm_server_clear ............................................................................................. 385 /usr/sbin/nsm_server_del ................................................................................................ 385 /usr/sbin/nsm_server_edit ............................................................................................... 385 /usr/sbin/nsm_server_ps-restart ...................................................................................... 385 /usr/sbin/nsm_server_ps-start ......................................................................................... 386 /usr/sbin/nsm_server_ps-status ....................................................................................... 386 /usr/sbin/nsm_server_ps-stop ......................................................................................... 386 /usr/sbin/nsm_server_sensor-add .................................................................................... 386 /usr/sbin/nsm_server_sensor-del ..................................................................................... 386 /usr/sbin/nsm_server_user-add ....................................................................................... 387 Pliki konfiguracyjne systemu Security Onion ....................................................................... 387 /etc/nsm/ .......................................................................................................................... 387 /etc/nsm/administration.conf ........................................................................................... 388 /etc/nsm/ossec/ ................................................................................................................ 388 /etc/nsm/pulledpork/ ....................................................................................................... 388 /etc/nsm/rules/ ................................................................................................................. 388 /etc/nsm/securityonion/ ................................................................................................... 389 /etc/nsm/securityonion.conf ............................................................................................ 389 /etc/nsm/sensortab .......................................................................................................... 391 /etc/nsm/servertab ........................................................................................................... 392 /etc/nsm/templates/ ......................................................................................................... 392 /etc/nsm/$HOSTNAME-$INTERFACE/ .......................................................................... 392 /etc/cron.d/ ...................................................................................................................... 396 Bro ................................................................................................................................... 396 CapMe ............................................................................................................................. 397 ELSA ................................................................................................................................ 397 Squert .............................................................................................................................. 397 Snorby ............................................................................................................................. 397 Syslog-ng .......................................................................................................................... 397 /etc/network/interfaces ................................................................................................... 397 Aktualizacja systemu SO ...................................................................................................... 398 Aktualizowanie dystrybucji systemu SO .......................................................................... 399 Aktualizowanie systemu baz danych MySQL .................................................................. 399 SKOROWIDZ .......................................................................................... 401 12 S p i s t r e ś c i Kup książkęPoleć książkę 10 Naruszenie bezpieczeństwa po stronie serwera NADSZEDŁ MOMENT PRAWDY. TERAZ JESTEŚ GOTOWY, ABY ZOBACZYĆ NSM W DZIAŁANIU. W TYM ROZDZIALE ZAPRZĘGNIEMY TEORIĘ, NARZĘDZIA I PROCES DO PRACY W PROSTYM SCENARIUSZU NARUSZE- nia bezpieczeństwa. Jak dotąd zaimplementowałeś sensor z systemem SO i zebrałeś pewną ilość danych NSM. Teraz planujesz przeprowadzenie analizy dostępnego materiału śledczego. Ten rozdział demonstruje naruszenie bezpieczeństwa po stronie serwera — jedną z głównych kategorii złośliwych działań w sieci, z którymi prawdopodob- nie się spotkasz. Następny rozdział demonstruje naruszenie bezpieczeństwa po stronie klienta, które może występować nawet częściej niż wariant dotyczący serwera. Rozpoczynamy od naruszenia bezpieczeństwa po stronie serwera, ponie- waż jest ono łatwiejsze do zrozumienia pod względem koncepcyjnym. Ponieważ jest to książka o systemie NSM, w rozdziałach 10. i 11. przypa- trzymy się wzorcom włamania dotyczącym dwóch popularnych typów ataków skoncentrowanych wokół sieci. Na przykład nie będziemy analizować przypadku podłączenia do laptopa napędu USB ze złośliwym oprogramowaniem czy odgad- nięcia hasła przez nikczemnika działającego wewnątrz organizacji, mającego dostęp Kup książkęPoleć książkę do wewnętrznego terminala komputera. Skupimy się natomiast na atakach poprzez sieć. Są to raczej ataki zdalne, a nie lokalne warianty wymagające interakcji z sys- temem, który jest już fizycznie lub wirtualnie dostępny dla włamywacza. Charakterystyka naruszenia bezpieczeństwa po stronie serwera Naruszenie bezpieczeństwa po stronie serwera dotyczy sytuacji, gdy włamy- wacz decyduje się na zaatakowanie aplikacji wystawionej na dostęp z internetu. Tą aplikacją mogłaby być usługa WWW, usługa protokołu transferu plików, baza danych lub dowolne inne oprogramowanie nasłuchujące ruch internetowy. Rysunek 10.1 pokazuje wzorzec ataku właściwy dla naruszenia bezpieczeństwa po stronie serwera. Rysunek 10.1. Wzorzec ataku właściwy dla naruszenia bezpieczeństwa po stronie serwera Włamywacz sięgnie po dostęp do aplikacji, aby się o niej więcej dowiedzieć. To działanie będące rekonesansem należy zakwalifikować jako incydent katego- rii Cat 6, co zostało omówione w rozdziale 9. (patrz tabela 9.3). Jeśli włamywacz próbuje wykorzystać luki bezpieczeństwa w kodzie aplikacji, działanie to kwali- fikuje się jako incydent kategorii Cat 3. Jeśli włamywaczowi udaje się sprawić, że aplikacja wykona jego złośliwe polecenie, atak się powiódł i doszło do wyko- rzystania luki bezpieczeństwa. Zgodnie z podziałem na kategorie zakreślonym w tabeli 9.3 mamy teraz do czynienia z włamaniem klasy Cat 1. Kiedy włamywacz wykona złośliwy kod lub polecenia na komputerze ofiary, otwiera jeden lub więcej 262 R o z d z i ał 1 0 Kup książkęPoleć książkę kanałów komunikacyjnych, aby jeszcze bardziej wzmocnić swoją kontrolę nad systemem. Taki kanał nazywa się kanałem dowodzenia i kontroli (ang. command- -and-control, C2). Ustanowienie kanału C2 kwalifikuje to działanie jako włamanie Breach 3. Kiedy już włamywacz ustanowi kanał C2 łączący go z ofiarą, może wykonać resztę swojego planu gry. Być może chce ukraść informacje z systemu swej pierwszej ofiary. Być może chce przejść z pierwszej ofiary na inny komputer lub aplikację wewnątrz przedsiębiorstwa. A być może chce przeskoczyć przez tę ofiarę i zaatakować zupełnie inną organizację, wykorzystując świeżo zaatakowaną ofiarę jako przeskok (ang. hop), czyli odskocznię. Bez względu na to, co włamywacz zdecyduje się zrobić w następnym kroku, celem zespołu CIRT jest w tym momencie szybkie określenie zakresu włamania i podjęcie błyskawicznych działań powstrzymujących, aby zmniejszyć ryzyko utraty danych, ich zmiany lub degradacji. Naruszenie bezpieczeństwa po stronie serwera w akcji W ramach przykładu zaprezentowanego w tym rozdziale prześledzimy krok po kroku przypadek naruszenia bezpieczeństwa po stronie serwera, mający miej- sce, gdy włamywacz atakuje udostępnioną w internecie usługę na komputerze z lukami bezpieczeństwa, który jest monitorowany przez autonomiczną platformę NSM z uruchomionym systemem SO. Zbadamy, jak przykładowe włamanie wygląda w danych NSM, i postaramy się odkryć, jak rozumieć te dane. Siecią, która jest celem ataku, jest nowy segment w sieci firmy Vivian’s Pets, jak pokazano na rysunku 10.2. Sieć ta składa się z serwera (192.168.3.5), desk- topa (192.168.3.13) i pomocniczego sprzętu sieciowego. Sensor NSM obserwuje łącze nadrzędne prowadzące do internetu za pośrednictwem TAP’a sieciowego. Członkowie zespołu CIRT przedsiębiorstwa utworzyli coś, co było, jak sądzili, odizolowaną siecią testową z kilkoma komputerami, w celu poszerzenia swej wiedzy o bezpieczeństwie. Niestety nie zapewnili systemom znajdującym się w tym segmencie skutecznej ochrony. W trakcie prób nauczenia się czegoś więcej o bezpieczeństwie komputerów mogli narazić firmę na dodatkowe ryzyko. W przedstawionej konfiguracji platforma NSM będzie widzieć ruch do i od sieci testowej. Dla zachowania prostoty przykładu skonfigurowałem sieć tak, że nie jest wymagane stosowanie techniki NAT. Kiedy obserwujesz interakcję sieci testowej z komputerami znajdującymi się na zewnątrz sieci firmy Vivian’s Pets, powinieneś przyjąć, że translacja adresów nie ma miejsca. (W rzeczywistości będziesz prawdopodobnie musiał sobie radzić z pewnym stopniem zaciemnie- nia obrazu ze względu na kwestie związane z techniką NAT, które zostały opisane w rozdziale 2.). N a r u s z e n i e b e z pi e c z e ń s t w a p o s tr o n i e s e r w e r a 263 Kup książkęPoleć książkę Rysunek 10.2. Podsieć testowa sieci firmy Vivian’s Pets Rozpoczęcie pracy od uruchomienia konsoli Sguil Praca zespołu CIRT firmy Vivian’s Pets rozpoczyna się od odwiedzenia własnej konsoli Sguil, której zespół używa jako swojego podstawowego interfejsu do danych NSM. Pamiętaj, że Sguil umożliwia analitykom badanie alertów przez oglądanie danych sesji i pełnych danych, jak również niektórych danych transakcji. Pewnego dnia jeden z analityków loguje się do konsoli Sguil platformy NSM pokazanej na rysunku 10.2 i widzi alerty pokazane na rysunku 10.3. Domyślnie konsola Sguil wyświetla dane alertów. Pokazane tu alerty są wyge- nerowane głównie przez pasywny system wykrywania zasobów PRADS (pozycje poprzedzone oznaczeniem PADS) i motor IDS-u Snort (pozycje poprzedzone ozna- czeniem GPL lub ET). Widzimy mnóstwo zdarzeń PRADS ze źródłowym adresem IP 203.0.113.10. Ten adres IP reprezentuje zdalnego intruza. (Blok adresów sieci 203.0.113.0/24 jest zarezerwowany do celów dokumentacyjnych na mocy dokumentu RFC 5735 razem z blokiem adresów sieci 198.151.100.0/24, z którym spotkaliśmy się w rozdziale 2.). Zdarzenia, zaczynając od identyfikatora 4.75 w polu Alert ID (identyfikator alertu) i kończąc na identyfikatorze 4.87, reprezentują system PRADS zgłaszający odkrycie nowych usług na dwóch komputerach: 192.168.3.5 i 192.168.3.13, czyli dwóch systemach w segmencie sieci testowej pokazanych na rysunku 10.2. 264 R o z d z i ał 1 0 Kup książkęPoleć książkę Rysunek 10.3. Konsola Sguil wyświetlająca alerty dotyczące sieci firmy Vivian’s Pets Kiedy tylko PRADS dowiaduje się o usługach przez obserwowanie ich interak- cji z komputerami, generuje tego rodzaju alerty. W tym przypadku wynik jest użytecznym zestawieniem przynajmniej niektórych z usług, które — jak się okazuje — odkrył zdalny intruz o adresie 203.0.113.10. Począwszy od znacznika czasu 2013-03-09 21:32:07 odpowiadającego pierwszemu alertowi z wartością 203.0.113.10 w polu źródłowego adresu IP, widzimy ślad intruza reprezentowa- nego przez adres 203.0.113.10, który przeprowadził sieciowy rekonesans przeciwko przynajmniej dwóm komputerom znajdującym się w sieci testowej. A co z pozostałą aktywnością? Pierwszy alert ze źródłowym adresem IP 192.168.3.130 wygląda na komunikat systemu PRADS zgłaszającego odkrycie serwera DNS o adresie 192.168.3.1. To nic niezwykłego. Alerty występujące po zdarzeniach PRADS z adresem źródłowym 203.0.113.10 wyglądają na bardziej niepokojące. Przed zagłębieniem się w szczegóły tych alertów zboczymy nieco z tematu, aby sprawdzić naszą hipotezę, że intruz 203.0.113.10 przeprowadził sieciowy rekonesans wymierzony przeciw naszej sieci testowej. Kwerenda danych sesji przy użyciu konsoli Sguil Aby ustalić, jaki dokładnie sieciowy rekonesans przeprowadził intruz 203.0.113.10, możemy zapytać konsolę Sguil o dane sesji dotyczące ruchu płynącego od i do hosta o adresie 203.0.113.10. Ze względu na liczbę docelowych usług pokazanych N a r u s z e n i e b e z pi e c z e ń s t w a p o s tr o n i e s e r w e r a 265 Kup książkęPoleć książkę w konsoli Sguil możemy się domyślać, że intruz 203.0.113.10 przeskanował wiele portów TCP na obydwu komputerach docelowych. Dlatego podczas wykony- wania kwerendy danych sesji w konsoli Sguil ręcznie dopasujemy maksymalną liczbę rekordów danych sesji zwróconych w wyniku wyszukiwania, podnosząc ją z 1000 do 10 000 rekordów. Aby wykonać kwerendę danych sesji, podświetlamy jeden z rekordów alertów zawierających wartość 203.0.113.10 w polu źródłowego adresu IP, a następnie wybieramy opcję Advanced Query/Query Sancp Table/Query SrcIP (kweren- da/kwerenda tabeli sancp/kwerenda przy użyciu źródłowego adresu IP), jak poka- zano na rysunku 10.4. Rysunek 10.4. Kwerenda danych sesji przy użyciu źródłowego adresu IP Wyświetlone w wyniku naszego wyboru okno Query Builder (konstruktor zapytań) udostępnia dwa pola z klauzulami WHERE, które możemy edytować. Musimy się upewnić, że domyślne czasy początkowe dla rekordów danych sesji wychwycą dane, o które nam chodzi. W naszym przypadku aktywność rozpoczęła się 9 marca 2013 r. o godz. 21:32:07 UTC, więc modyfikujemy zawartość pól Where Clause (klauzula WHERE), aby wyszukiwanie dotyczyło właściwego czasu, w sposób poka- zany na listingu 10.1. Listing 10.1. Składnia klauzuli wyszukującej dane sesji dotyczące adresu 203.0.113.10 WHERE sancp.start_time 2013-03-09 AND sancp.src_ip = INET_ATON( 203.0.113.10 ) Zmieniamy także wartość pola LIMIT w oknie Query Builder (konstruktor zapytań) z 1000 na 10 000 rekordów wyniku, a potem wybieramy opcję Submit (prześlij), aby wykonać kwerendę. W odpowiedzi baza danych zwraca 2014 rekor- dów, począwszy od tych, które zostały pokazane na rysunku 10.5. Aktywność, której źródłem jest host 203.0.113.10, rozpoczyna się w punkcie czasowym 2013-03-09 21:31:44. Możemy rozbić tę sekwencję zdarzeń na kilka oddzielnych elementów.  Najpierw napastnik używa komunikatów ICMP (1 w polu Protokół nagłówka IP), aby wykonać rekonesans wymierzony przeciw podzbiorowi systemów 266 R o z d z i ał 1 0 Kup książkęPoleć książkę Rysunek 10.5. Dane sesji dotyczące ruchu od i do hosta o adresie 203.0.113.10 pokazujące fazy 1. i 2. rekonesansu oraz początek fazy 3. w sieci 192.168.3.0/24. Nie możemy być tego pewni, ale być może intruz przeprowadził wcześniejszy rekonesans (tu niezarejestrowany), który doprowadził go do podjęcia prób pingowania tylko tych sześciu systemów. Skanowanie z wykorzystaniem komunikatów ICMP stanowi fazę 1. Następnie napastnik przechodzi do fazy 2. w czasie 2013-03-09 21:31:45, która składa się ze skanowania portów TCP 80 i 443 na kilku systemach.  Faza 3. rozpoczyna się w czasie 2013-03-09 21:32:01 od skanowania szerokiego wyboru portów TCP. W fazie 4., która rozpoczyna się od tego samego znacznika czasu, widzimy mniejsze skanowania dotyczące prawdopodobnie otwartych portów. (Te działania są tak szybkie, że wszystkie, jak się okazuje, rozpoczynają się w tej samej sekundzie). Rysunek 10.6 pokazuje koniec fazy 3. i początek fazy 4. Faza 4. kończy się w czasie 2013-03-09 21:32:06 od ponownej zmiany taktyki przez intruza. W czasie 2013-03-09 21:32:07 przeprowadza dodatkowy rekone- sans, rozpoczynając fazę 5. — przepytywanie aktywnych usług. Widzimy, jak wysyła i odbiera większe ilości danych, co pokazują wartości kolumn po prawej stronie okna przedstawionego na rysunku 10.7. (Większe liczby bajtów danych prze- syłanych między komputerami zwykle świadczą o bardziej „znaczącej” konwersacji. N a r u s z e n i e b e z pi e c z e ń s t w a p o s tr o n i e s e r w e r a 267 Kup książkęPoleć książkę Rysunek 10.6. Faza 3. rekonesansu kończy się, a rozpoczyna się faza 4. Jeśli występują mniejsze liczby bajtów, jest to zwykle tylko wymiana informacji o stanie połączenia występująca na przykład w uzgadnianiu trójetapowym pro- tokołu TCP). Kolumny wyświetlone na rysunku 10.7 pokazują liczbę pakietów i bajtów danych wysłanych przez źródło oraz liczbę pakietów i bajtów danych wysłanych przez punkt docelowy. Włamywacz prawdopodobnie stara się określić profil aktywnych usług celu swoich działań, używając narzędzia rekonesansu do zbie- rania informacji o dostępnych usługach. Intruz porównuje informacje pochodzące ze skanowania, aby znaleźć dostępne metody ataku, a jeśli znajdzie taką, która wykorzystuje odsłoniętą lukę bezpieczeństwa, zdyskontuje tę słabość. Finalna faza działań rozpoczyna się w czasie 2013-03-09 21:38:38, jak poka- zano na rysunku 10.8. Narzędzie rekonesansu, z którego korzystał intruz, zakoń- czyło zbieranie informacji i włamywacz robi przerwę na przejrzenie swoich wyni- ków. Okazuje się, że po odkryciu słabości wykorzystuje ją, chociaż może to nie wynikać w oczywisty sposób z danych pokazanych na rysunku 10.8. (Sprawdzimy odnośne dane alertów w oryginalnym oknie konsoli Sguil dla uzyskania jasności). Na razie przejrzyjmy rekordy danych sesji rozpoczynające się od czasu 21:38:38, jak pokazano na rysunku 10.8. Sesje zaczynające się w czasie 21:38:38 bardzo różnią się od wcześniejszych sesji. Jedną z sesji charakteryzuje transfer dużej ilości danych, dotyczący portu TCP 6200. Inna sesja (rekordy pokazujące aktywność dotyczącą portu TCP 21) 268 R o z d z i ał 1 0 Kup książkęPoleć książkę Rysunek 10.7. Kończy się faza 4. rekonesansu, a rozpoczyna się faza 5. wskazuje na aktywny kanał poleceń FTP. Po obejrzeniu pięciu faz rekonesansu prowadzonego z adresu 203.0.113.10, po którym nastąpiły skoncentrowane dzia- łania dotyczące portów TCP 21 i 6200, powinniśmy się dokładnie przyjrzeć tym ostatnim połączeniom. Powrót do danych alertów Zbadajmy dwa alerty w konsoli Sguil. Jak pokazano na rysunku 10.9, widzimy dwa niepokojące alerty: GPL ATTACK_RESPONSE id check returned root oraz ET EXPLOIT VSFTPD Backdoor User Login Smiley. Pojawia się także dziwny alert PADS New Asset - sql MySQL 3.0.20-0.1ubuntu1, a następnie dwa alerty ICMP. Podświetliłem rekord dotyczący alertu ET EXPLOIT, ponieważ ten alert wydaje się najbardziej jednoznaczny i wiąże się z użyciem dość znanego protokołu FTP. Zaznaczona w konsoli Sguil opcja Show Packet Data (pokaż dane pakietu) ujawnia, że nazwa użytkownika dostarczona do serwera FTP to 0M:), po której następują znaki powrotu karetki (0D) i nowego wiersza (0A). (W protokole FTP te znaki kończą polecenia, co oznacza, że zostały przetransmitowane przez klienta FTP wtedy, kiedy użytkownik — albo narzędzie ataku — wprowadził nazwę użytkownika FTP). Możemy spróbować wygenerować transkrypt dla tego zdarzenia, klikając prawym przyciskiem myszy pole Alert ID i wybierając opcję Transcript. Wynik został pokazany na listingu 10.2. N a r u s z e n i e b e z pi e c z e ń s t w a p o s tr o n i e s e r w e r a 269 Kup książkęPoleć książkę Rysunek 10.8. Faza 5. rekonesansu kończy się i włamywacz atakuje ofiarę Rysunek 10.9. Dane alertów programu Snort następujące po alertach dotyczących rekonesansu 270 R o z d z i ał 1 0 Kup książkęPoleć książkę Listing 10.2. Transkrypt alertu ET EXPLOIT Sensor Name: sovm-eth1-1 Timestamp: 2013-03-09 21:38:38 Connection ID: .sovm-eth1-1_6011 Src IP: 203.0.113.10 (Unknown) Dst IP: 192.168.3.5 (Unknown) Src Port: 50376 Dst Port: 21 OS Fingerprint: 203.0.113.10:50376 - UNKNOWN [S10:63:1:60:M1460,S,T,N,W4:.:?:?] (up: 1 hrs) OS Fingerprint: - 192.168.3.5:21 (link: ethernet/modem) DST: 220 (vsFTPd 2.3.4)  DST: SRC: USER 0M:)  SRC: DST: 331 Please specify the password. DST: SRC: PASS azz  SRC: DST: 421 Timeout.  DST: Powyższy transkrypt pokazuje klienta 203.0.112.10  logującego się do serwera FTP  na porcie TCP 21  hosta 192.168.3.5 . Nazwa użytkownika to 0M:) , jak to zostało wcześniej odnotowane w alercie programu Snort. Klient podaje hasło azz , ale nie ma miejsca żadna komunikacja . Co się stało potem i co z połączeniem dotyczącym portu TCP 6200? Przeglądanie pełnych danych za pomocą programu Tshark W takich sytuacjach jak ta zalecam zbadanie oryginalnego ruchu sieciowego zare- jestrowanego w postaci pełnych danych. Interesuje nas ruch występujący w cza- sie 2013-03-09 21:38:38 i dotyczący portów TCP 21 lub 6200. Możemy odczy- tywać pełne dane, zaglądając do odpowiedniego katalogu na sensorze o nazwie sovm i obserwując interfejs eth1. Wykonaj polecenie ls, żeby zobaczyć nazwę pliku zawierającego pełne dane dostępne do przejrzenia, jak pokazano na listingu 10.3. Listing 10.3. Znalezienie pełnych danych i uruchomienie programu Tshark $ cd /nsm/sensor_data/sovm-eth1/dailylogs/2013-03-09 $ ls snort.log.1362864654 $ tshark -n -t ad -r snort.log.1362864654 tcp.port==21 or tcp.port==6200 Korzystamy z programu Tshark, ponieważ wyświetla domyślnie więcej szcze- gółów na poziomie protokołów, dzięki czemu ułatwia nam obserwację tego, co się dzieje. Teraz przypatrzymy się każdej istotnej części tych szczegółów, fragment po fragmencie. (Na początku zignorujemy ruch związany z rekonesansem). Listing 10.4 pokazuje pierwsze dwa interesujące nas pakiety. N a r u s z e n i e b e z pi e c z e ń s t w a p o s tr o n i e s e r w e r a 271 Kup książkęPoleć książkę Listing 10.4. Host 203.0.113.10 próbuje się połączyć z portem TCP 6200 na komputerze 192.168.3.5, ale mu się to nie udaje 6589 2013-03-09 21:38:38.159255 203.0.113.10 - 192.168.3.5 TCP 74 40206 6200 [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSval=695390 TSecr=0 WS=16 6590 2013-03-09 21:38:38.159451 192.168.3.5 - 203.0.113.10 TCP 60 6200 40206 [RST, ACK]  Seq=1 Ack=1 Win=0 Len=0 Na listingu 10.4 host 203.0.113.10  próbuje się połączyć z portem TCP 6200  na komputerze 192.168.3.5 , ale połączenie się nie udaje, ponieważ port TCP 6200 nie prowadzi nasłuchu. Odpowiada pakietem z ustawionymi flagami RST i ACK . Listing 10.5 pokazuje, co się dzieje potem. Listing 10.5. Klient 203.0.113.10 loguje się do serwera FTP na hoście 192.168.3.5 6591 2013-03-09 21:38:38.160692 203.0.113.10 - 192.168.3.5 TCP 74 50376 21 [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSval=695390 TSecr=0 WS=16 6592 2013-03-09 21:38:38.160702 192.168.3.5 - 203.0.113.10 TCP 74 21 50376 [SYN, ACK] Seq=0 Ack=1 Win=5792 Len=0 MSS=1460 SACK_PERM=1 TSval=276175 TSecr=695390 WS=32 6593 2013-03-09 21:38:38.161131 203.0.113.10 - 192.168.3.5 TCP 66 50376 21 [ACK] Seq=1 Ack=1 Win=14608 Len=0 TSval=695390 TSecr=276175 6594 2013-03-09 21:38:38.162679 192.168.3.5 - 203.0.113.10 FTP 86 Response: 220 (vsFTPd 2.3.4) 6595 2013-03-09 21:38:38.163164 203.0.113.10 - 192.168.3.5 TCP 66 50376 21 [ACK] Seq=1 Ack=21 Win=14608 Len=0 TSval=695391 TSecr=276175 6596 2013-03-09 21:38:38.164876 203.0.113.10 - 192.168.3.5 FTP 77 Request: USER 0M:)  6597 2013-03-09 21:38:38.164886 192.168.3.5 - 203.0.113.10 TCP 66 21 50376 [ACK] Seq=21 Ack=12 Win=5792 Len=0 TSval=276175 TSecr=695391 6598 2013-03-09 21:38:38.164888 192.168.3.5 - 203.0.113.10 FTP 100 Response: 331 Please specify the password. 6599 2013-03-09 21:38:38.166318 203.0.113.10 - 192.168.3.5 FTP 76 Request: PASS azz Na listingu 10.5 widzimy, że host 203.0.113.10  łączy się z usługą FTP na porcie TCP 21  komputera 192.168.3.5 . Widzimy również, jak użytkownik 0M:)  loguje się i podaje hasło azz . Listing 10.6 pokazuje konsekwencje zakoń- czonego sukcesem logowania. Natychmiast, jeszcze przed zerwaniem połączenia z serwerem FTP, widzimy nowe połączenie wiodące od hosta 203.0.113.10  do portu TCP 6200  na kom- puterze 192.168.3.5 . Tym razem, inaczej niż w sytuacji przedstawionej na lis- tingu 10.4, port TCP 6200 nasłuchuje i akceptuje połączenie przez wysłanie odpo- wiedzi z flagami SYN i ACK . 272 R o z d z i ał 1 0 Kup książkęPoleć książkę Listing 10.6. Host 203.0.113.10 łączy się z portem TCP 6200 na komputerze 192.168.3.5 6600 2013-03-09 21:38:38.166971 203.0.113.10u - 192.168.3.5w TCP 74 60155 6200v [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSval=695392 TSecr=0 WS=16 6601 2013-03-09 21:38:38.166978 192.168.3.5 - 203.0.113.10 TCP 74 6200 60155 [SYN, ACK] x Seq=0 Ack=1 Win=5792 Len=0 MSS=1460 SACK_PERM=1 TSval=276175 TSecr=695392 WS=32 6602 2013-03-09 21:38:38.168296 203.0.113.10 - 192.168.3.5 TCP 66 60155 6200 [ACK] Seq=1 Ack=1 Win=14608 Len=0 TSval=695392 TSecr=276175 6603 2013-03-09 21:38:38.168738 203.0.113.10 - 192.168.3.5 TCP 69 60155 6200 [PSH, ACK] Seq=1 Ack=1 Win=14608 Len=3 TSval=695392 TSecr=276175 6604 2013-03-09 21:38:38.168775 192.168.3.5 - 203.0.113.10 TCP 66 6200 60155 [ACK] Seq=1 Ack=4 Win=5792 Len=0 TSval=276175 TSecr=695392 . . . wycięto . . . Ta sekwencja zdarzeń pokazuje, że port TCP 6200 nie akceptował aktywnie połączeń, dopóki użytkownik 203.0.113.10 nie zalogował się do serwera FTP i nie dostarczył właściwej nazwy użytkownika i hasła. Wyjaśnienie działania furtki Ten wzorzec zachowania wskazuje, że serwer FTP na komputerze 192.168.3.5 zawierał w swym kodzie furtkę oczekującą na pewną nazwę użytkownika i hasło. W naszym przypadku widzieliśmy użytkownika 0M:) i hasło azz. Okazuje się, że na komputerze 192.168.3.5 była uruchomiona wersja serwera FTP o nazwie vsftpd, która zawierała nieautoryzowaną furtkę, o czym informował w lipcu 2011 r. twórca serwera vsftpd Chris Evans (http://scarybeastsecurity. blogspot.com/2011/07/alert-vsftpd-download-backdoored.html). Post na blogu nie zawiera żadnych szczegółów wyjaśniających, jak furtka została wprowadzona do kodu, ale — jak by nie było — efektem końcowym była dostępność oprogra- mowania, które zawierało poważną wadę z punktu widzenia bezpieczeństwa. Użytkownicy, którzy wprowadzą nazwę użytkownika zakończoną uśmiechniętą buźką — taką jak :) — uzyskają możliwość połączenia się z furtką na serwerze FTP. Rysunek 10.10 podsumowuje tę sytuację i dodaje specyficzne szczegóły dotyczące tego przypadku. Dlaczego rekordy dotyczące portu TCP 6200 są wyświetlane przed zakoń- czonym sukcesem wykorzystaniem luki w serwerze FTP? Jak widzieliśmy w peł- nych danych zaprezentowanych przez Tshark, połączenie FTP miało miejsce przed połączeniem z furtką. Widocznie narzędzia używane do rejestrowania danych alertów i danych sesji nie potrafiły rozróżnić czasów początkowych tych połączeń i zarejestrowały je w niewłaściwym porządku. Zdarza się to od czasu do czasu przy wykonywaniu operacji NSM. Występowanie tego zjawiska jest argumentem na rzecz idei zbierania wielu typów danych NSM. Kiedy coś nie wygląda całkiem prawidłowo, możesz porównać dane różnych typów, żeby ustalić z większą pewnością, co się naprawdę zdarzyło. N a r u s z e n i e b e z pi e c z e ń s t w a p o s tr o n i e s e r w e r a 273 Kup książkęPoleć książkę Rysunek 10.10. Atak po stronie serwera z wykorzystaniem luki bezpieczeństwa w serwerze vsftpd Co zrobił włamywacz? Po uzyskaniu potwierdzenia, że miało miejsce złośliwe działanie, musimy ocenić jego konsekwencje. Scenariusz ten wydaje się przynajmniej incydentem kate- gorii Breach 3, ponieważ włamywacz ustanowił kanał C2 łączący jego komputer z ofiarą. W jaki sposób możemy się dowiedzieć, jak źle wygląda sytuacja? Widzieliśmy alert GPL ATTACK_RESPONSE wskazujący, że sprawdzenie ID użyt- kownika dało odpowiedź „root” (id check returned root). Wiemy też, że port TCP 6200 to kanał C2. Moglibyśmy się dowiedzieć, co robi włamywacz, przez wygenerowanie transkryptu tego połączenia, wykorzystując do tego albo alert GPL ATTACK_RESPONSE, albo dane sesji dotyczące połączenia nawiązanego przez host 203.0.113.10 z portem TCP 6200 na komputerze 192.168.3.5. Możemy zbadać szczegółowo zawartość tej sesji przez wygenerowanie transkryptu, jak zobaczysz w poniższym podpunkcie. To badanie powinno dać nam większe poję- cie o tym, co robi włamywacz. Początkowy dostęp Transkrypt dotyczący działań w ramach połączenia nawiązanego przez kompu- ter 203.0.113.10 z hostem 192.168.3.5, przedstawiony na listingu 10.7, poka- zuje różnego rodzaju zdarzenia. Nie możemy rozstrzygnąć, czy włamywacz prowadzi interakcję z zaatakowanym systemem na żywo, czy wykonuje zauto- matyzowany atak, chociaż tym, co ma znaczenie, są konsekwencje tych działań. 274 R o z d z i ał 1 0 Kup książkęPoleć książkę Listing 10.7. Początek transkryptu pokazującego aktywność występującą w połączeniu nawiązanym przez komputer 203.0.113.10 z hostem 192.168.3.5 Sensor Name: sovm-eth1-1 Timestamp: 2013-03-09 21:38:38 Connection ID: .sovm-eth1-1_6012 Src IP: 203.0.113.10 (Unknown) Dst IP: 1 92.168.3.5 (Unknown) Src Port: 60155 Dst Port: 6200 OS Fingerprint: 203.0.113.10:60155 - UNKNOWN [S10:63:1:60:M1460,S,T,N,W4:.:?:?] (up: 1 hrs) OS Fingerprint: - 192.168.3.5:6200 (link: ethernet/modem) SRC: id DST: uid=0(root) gid=0(root)  SRC: nohup /dev/null 2 1 SRC: echo T33KwxKuFgj4Uhy7 DST: T33KwxKuFgj4Uhy7 SRC: whoami DST: root SRC: echo 3816568630;echo hJZeerbzDFqlJEwWxlyePwOzBhEhQYbN DST: 3816568630 DST: hJZeerbzDFqlJEwWxlyePwOzBhEhQYbN SRC: id -u ;echo idGIIxVuiPbrznIwlhwdADqMpAAyLIlj DST: 0 DST: idGIIxVuiPbrznIwlhwdADqMpAAyLIlj Pierwsza część transkryptu pokazuje wartość 203.0.113.10  jako źródłowy (SRC) adres IP i wartość 192.168.3.5  jako docelowy (DST) adres IP. Włamy- wacz lub kod wykonywany przez włamywacza uruchamia polecenie systemu Unix id  w celu ustalenia uprawnień, jakie kanał aktualnie zapewnia. Otrzy- many wynik wska
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Wykrywaj i reaguj. Praktyczny monitoring sieci dla administratorów
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: