На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Автоматизированные средства

Кто ожидает подключения к этим портам
Наверное, это и так ясно, но мы напомним: никогда недооценивайте мошь программы netstat в выявлении шпионских программ (вроде описанных в этой главе), которые "привязываются" к портам взломанной системы. Использование этой программы показано в следующем примере (для краткости
D:\ToolbojonetBtaC -ал
Active Connections
Proto Local Address
TCP 0.0.0.0:135
TCP 0.0.0.0:54320
TCP 192.168.234.36:139
Foreign Address 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0
State LISTENING LISTENING LISTENING
DTJP        0.0.0.0:313 37 *:*
Можете ли вы сказать по приведенному отчету, что не в порядке, исходя из прочитанного в этой главе? Кто-то открыл ТСР-порт 139 (Netbios). Если так не должно было быть, значит, это хакер.
Конечно же! Недостаток программы netstat в том, что она не показывает, кто ожидает подключения к порту. Однако для систем Windows 2003 программа netstat поставляется с до­полнительным параметром-о. Этот новый параметр позволяет вывести идентификатор про­цесса, закрепленного за конкретным портом (2).
Листинг 9.2. Проеме
горов процессов с помощью netstat
С:\> netstat -лао
Active Connections
Proto   Local Address
Foreign Address


TCP

0.0

0.0

135

0

0

0

0

0

TCP

Q.O

0.0

445

0

0

0

0

0

TCP

0.0

0.0

1025

0

0

0

0

0

TCP

0.0

0.0

1026

0

0

0

0

 

TCP

192

163

0.5:139

0

0

0

0

0

192.168.0.5:445 O.O.O.Q:445 0.0.0.0:500 0.0.0.0:1031 0.0.0.0:4500 UDP 127.0.0.1:123 UDP 192.168.0.5:123 UDP 192.168.0.5:137 UDP 192.168.0.5:138
10.1.1.1:1335
state
LISTENING LISTENING LISTENING LISTENING LISTENING ESTABLISHED
PID 708
944
53 6
tm
4 -
4. .
536
916
536
944
944
4
4
Как видите, в столбце PID отображаются номера идентификаторов процессов, которые за­креплены за открытыми портами. Например, в этой конкретной системе Windows 2003 PID 4 — это System, PID 536 — LSASS. EXE и PID 944 — SVCHOST. EXE.
Для сканирования большой сети систем при поиске необычных программ, ожидающих соединений на порты, лучше всего использовать программу сканирования портов или средст­ва сканирования безопасности сетей, подобные тем, что были рассмотрены в главе 3, "Предварительный сбор данных и сканирование".
Если в администрируемой системе обнаружился необычный открытый порт, то следует проверить для какого процесса установлена привязка к этому порту (с помощью номеров PID, предоставляемых netstat). Если окажется, что этот процесс не должен был быть запу­щен, то можно поспорить, что ваша система взломана либо хакером, либо неосторожным ме­неджером. Следите и за другими портами, которые выглядят как обычные, поскольку многие
программы можно настроить на использование заданных пользователем портов. Используйте устройства для защиты периметра сети, чтобы закрыть доступ к таким портам из Internet.
Списки номеров портов, используемых для создания "потайного хода", можно найти по адресам:
▼  http://www.comraodon.com/threat/threat-ports.htm * http://www.chebucto.ns.ca/-rakerman/port-table.html
Удаление хакерских серверов
Еще один способ выявления "потайных ходов" — проверка списка запущенных процессов на предмет наличия программ с именами nc, WinVNC. exe и т.п. Утилита pul 1st из пакета Reskit выводит список всех выполняющихся процессов, а утилита sclist показывает все за­пущенные службы. Эти программы просты в использовании, их можно легко вставить в сце­нарии для автоматизации проверки локальной системы или всей сети. Ниже приведен при­мер данных, выводимых программой pulist.
C;\>pulist
Process Idle System smss. exe CSRSS.EXE WINLOGON,EXE SERVICES.EXE LSASS.EXE
CMD. EXE n£rbof.exe UEDIT32.EXE NTVDM.EXE PULIST.EXE C: \nt\ew>
PID 0
2
24 32 38 46 49
295 265 313 267 309
User
NT AUTHORITY \ SYSTEM NT AUTHORITY\SYSTEM NT AUTHORITY V SYSTEM NT AUTHORITY\SYSTEM NT AUTHORITY\SYSTEM
TOGA\administrator TOGA\administrator TOGA \ adm i n i s tr a tor TOGA\administrator TOGA \ admi n i s t r a tor
Утилита sclist позволяет узнать о службах, запушенных на удаленной машине (листинг0.3).
sclist ВЫВОДИТ
Йелужб на удаленной системе
C:\>acliat W10.1.1.5
- Service list for W10.1.1.5
running running stopped running running running running running
stopped running stopped stopped
Alerter Browser ClipSrv DHCP EventLog
LanmanServer Server LanmanWo rkstation LicenseService
Alerter
Computer Browser ClipEook Server DHCP Client EventLog
Workstation
License Logging Service
Schedule Schedule
Spooler Spooler
TapiSrv Telephony Service
UPS UPS
Конечно, большинство из этих программ можно переименовать, и программу хакера поч­ти невозможно будет отличить от стандартной службы или процесса, если не выполнялась инвентаризация системы после инсталляции и после установки новых программ (мы еще не надоели вам этим напоминанием?).
Ведение учета для файловой системы
Постоянное ведение полного списка файлов и каталогов для сравнения с предтддушими отчетами у загруженных работой администраторов может вызвать состояние, близкое к сума­сшествию. Тем не менее, это самый верный путь к выявлению вредоносных программ в сис­теме, в которую изменения вносятся не часто.
С помощью команды dir можно фиксировать время последнего изменения, последнего об­ращения и размер файла. Также мы рекомендуем использовать программы afind, hfind и s find из набора Forensic Toolkit от компании Foundstone для ведения каталога файлов без из­менения времени доступа к файлам, кроме того, они дают возможность выявлять скрытые фай­лы и спрятанные в файлах потоки данных. Кроме того, в Windows 2000/2003 можно включить аудит для файлов, используя встроенные функции NTFS (это описано в главе 2, "Архитектура системы безопасности Windows Server 2003"). Просто щелкните правой кнопкой мыши на име­ни файла или каталога, выберите пункт Security (Безопасность), щелкните на кнопке Auditing (Аудит) и задайте необходимые настройки для каждого пользователя или группы.
В Windows 2000/2003 реализована защита файлов Windows (Windows File Protection, WFP); этот механизм защищает системные файлы, уже установленные программой установки Win­dows 2000/2003, от перезаписи (WFP мы подробно обсудим в главе 16, "Возможности и сред­ства защиты в системах Windows").
Среди продуктов других поставщиков можно порекомендовать программу MD5sum, которая предназначена для проверки целостности системы и доступна как часть пакета Textutils. Версия, скомпилированная для Windows, доступна в окружении Cygwin от компании RedHat. Програм­ма MD5sum способна вычислять или проверять контрольную сумму MD5 или так называемый 128-битовый дайджест сообщения (message digest) для файла по широко распространенному алго­ритму MD5, написанному Роном Ривестом (Ron Rivest) из лаборатории MIT Laboratory for Computer Science and RSA Security. Алгоритм описан в документе RFC 1321. Следующий пример демонстрирует использование MD5sum для создания контрольной суммы файла и ее после­дующей проверки.
D:\>ик15а11ш d:\test.txt > d:\teet.md5 D:\>c«t di\tMt.md5
efd3907b04b037 7743831596 f2cTM4a d:\test.txt
П:\г-шй5виш —check d:\test.md5
d:\test.txt: OK
Программа MD5sum, к сожалению, за один раз обрабатывает только один файл (конечно, создание сценария поможет устранить эту проблему). В число наиболее эффективных программ для выявления вторжений на уровне файловой системы входит и достойная программа Tripwire.
Заслуживают упоминания здесь и еше несколько программ для проверки содержимого дво­ичных файлов. Среди них — утилита strings (из пакета Cygwin), программа BinText for Win­dows от Робина Кейра (Robin Keir) из Foundstone и редактор UltraEdit32.
И в заключение, самый очевидный шаг — проверьте, нет ли в системе исполняемых фай­лов и библиотек поддержки для "потайных ходов". Обычно эта проверка не дает хороших ре­зультатов, поскольку большинство подобных программ можно переименовать. Но залог успе­ха в борьбе за безопасность — устранение явных уязвимых мест.
Файлы автозагрузки и параметры реестра
Места, где обычно размещаются программы для создания "потайного хода", мы описали в предыдущем разделе "Где прячутся "троянские" программы".
Аудит, учетные записи и ведение журналов
Последний, но не менее важный пункт — вторжение невозможно заметить, если не уста­новлена сигнализация. Убедитесь в том, что на вашем сервере включены встроенные функ­ции аудита, как описано в главе 2, "Архитектура системы безопасности Windows Server 2003".
Конечно, даже самое подробное ведение журнала становится бесполезным, если журнал не просматривается регулярно, если записи удаляются, перезаписываются из-за недостатка свободного дискового пространства или по причине плохого администрирования. Однажды нам попался узел, на котором предупреждения об атаке вьшавались на протяжении двух ме­сяцев до того, как кто-то обратил на это внимание. И если бы не прилежное ведение админи­страторами журналов части систем, факт взлома так никогда и не был бы проверен. Разрабо­тайте правила регулярного архивирования журналов, чтобы не потерять эти записи (многие компании регулярно импортируют записи из журналов в базы данных, чтобы облегчить по­иск и иметь возможность получить автоматическое предупреждение об опасности).
Также следите за странными изменениями учетных записей. Программы некоторых постав­щиков могут фиксировать состояние учетных записей, облегчая эту работу. Например, это про­граммы DumpSec (ранее DumpACL) от компании Somarsoft, DumpReg и DumpEvent, которые не­плохо захватывают всю необходимую информацию о системе Windows 2000/2003 и используют простой синтаксис командной строки. Кроме того, можно упомянуть и хороший пакет программ Sysintemals PSTools (http://www.sysintemals.com/ntw2k/freeware/pstools.shtml).

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика