Červ Mumu způsobuje nečekaný zmatek

Firmu Mathiase Thurmana napadá červ. Kromě nutnosti zajistit jeho odstranění vyvstává před zaměstnanci firmy další ...


Firmu Mathiase Thurmana napadá červ.
Kromě nutnosti zajistit jeho odstranění vyvstává před zaměstnanci firmy další
úkol je třeba odstranit bezpečnostní nedostatky na vzdálených pracovištích.
Ve velkých organizacích, které mají své pobočky roztroušené po nejrůznějších
místech světa a přitom třeba jen relativně malé IT oddělení, bývá poměrně
velkým problémem odhalit bezpečnostní selhání, k nimž dojde na pracovištích
mimo centrálu. Když už se má podniknout akce směřující k uvedenému cíli,
zpravidla nejde o nic malého. Tak tomu bylo i u nás právě v minulém týdnu.
Až dosud byl v našich pobočkách docela mír a klid. Realizovaly se tu dlouhodobé
projekty a běžná údržba, ale jinak nic, co by nás nějak vzrušovalo a co by
stálo za řeč. Minulý týden nás ale k našemu překvapení napadl virus nebo
přesněji červ.
Za normálních okolností řeší problémy s viry naše IT oddělení, respektive ta
jeho část, která se zabývá správou desktopů. Tentokrát se ovšem problém dotkl
tolika lidí a bylo potřeba odvést tolik hodin práce, že se do akce musel
zapojit i můj tým.

Mumu přichází
Červ Bat.Mumu.A.Worm, zkráceně Mumu, na sebe nepřilákal světla reflektorů
televizních zpravodajů jako třeba Melissa nebo Code Red, ale naše IT oddělení
přesto muselo obětovat stovky člověkohodin, aby vyřešilo potíže, které s sebou
přinesl. Červ pro nás byl velkým překvapením dosud jsme se totiž kromě
standardních preventivních opatření více věnovali pouze trojici jiných známých
virů: SoBigu, Bugbearu a Lovgate.
Rozhodli jsme se, že právě viry těchto typů způsobily dostatek problémů v
jiných organizacích, a proto jsme se chtěli chovat proaktivně. Strávili jsme
velké množství hodin průzkumných prací, díky kterým jsme zjistili, na jaké
známky těchto virů si dávat pozor. Současně jsme samozřejmě vyhledávali
updatované soubory s definicemi virů a nasazovali je tak, aby nás vždy
spolehlivě ochránily. Při vší té práci jsme si vůbec nevšimli červa Mumu a to
až do chvíle, než se tu náhle rozšířil.
Uvedená trojice virů, na kterou jsme se původně zaměřili, obsahuje rutiny,
které jsou si podobné v tom, že se šíří za použití e-mailových distribučních
seznamů nebo technik trojského koně. Útočí tak, že skenují síť a hledají
pracovní stanice se slabinami. Viry se liší zprávami, které přenášejí, jmény
služeb, výkonných souborů i klíči v registru, které vytvářejí nebo mění, ale
všechny zvyšují síťový provoz, přeplňují schránky elektronické pošty, a brání
tak tomu, aby uživatelům sítě přicházela jejich legitimní pošta.
Mumu se naopak připojuje ke sdíleným diskům na vzdálených počítačích, které
mají slabá administrátorská hesla, a kopíruje tam svůj obsah. Červ obsahuje
sadu dávkových souborů, některé podpůrné utility a program ve stylu trojského
koně, který se šíří do dalších počítačů. Jeho činnost spočívá v tom, že
kopíruje sadu souborů na systémy se slabinami a vzdáleně provádí skript nebo
dávkový soubor na tomto systému což zaručí odeslání trojského koně zase do
dalších systémů.
Mumu skenuje IP adresy podobné IP adresám napadeného počítače, pokouší se
dosáhnout na sdílené disky prostřednictvím defaultního hesla, a pokud je
úspěšný, přepíše se přes různé soubory a znovu sám sebe spustí.

Začíná souboj
Jakmile jsme zjistili, že byly některé stroje v síti infikovány, připojili jsme
se k senzorům systému IDS (Intrusion Detection System) Snort na infikovaných
síťových segmentech a začali jsme monitorovat provoz.
Sledováním síťového provozu směřujícího k několika pracovním stanicím, o
kterých jsme věděli, že jsou infikovány, jsme zjistili společné indikátory. Šlo
například o nárůst počtu paketů NetBIOSu odesílaných z těchto stanic. V naší
síti se obvykle nějaký provoz NetBIOSu vyskytuje, ale v nijak nadměrném
množství, obzvláště ne na portu 445. Normálně ho většina protéká přes port 139.
Naši síťoví inženýři na uvedené zjištění reagovali omezením objemu provozu
NetBIOSu snížením dostupné šířky pásma.

Vzdálený přístup
Po dalším podrobnějším průzkumu jsme objevili, že takřka všechny nakažené
pracovní stanice byly ve vývojových odděleních ve vzdálených pobočkách v Indii
a v jižní Kalifornii. Protože se ale všechny desktopové systémy nacházejí na
jedné síti pro společnou správu, červ byl rovněž schopen se dále šířit do
dalších lokací, a to včetně naší centrály.
Jakmile jsme zjistili, jak se sami zbavit nepříjemného červa, poslali jsme
instrukce všem uživatelům desktopů. To ovšem byla veliká chyba, protože IT help
desk vzápětí obdržel stovky telefonátů a e-mailů od pracovníků, kteří se
domnívali, že je jejich počítač nakažen. Oddělení bezpečnosti IT bylo
samozřejmě uvedeno v kopii každého z těchto e-mailů.

Problémy
Následně jsme zjistili, že desktopy v naší indické pobočce buď neměly vůbec
žádnou antivirovou ochranu nebo používaly nějakou zastaralou verzi antivirové
databáze. A ani v dalších vzdálených lokacích nebyla situace lepší antivirový
software tu buď nebyl vůbec nainstalován, byl zastaralý anebo vypnutý
uživateli, kteří žili v přesvědčení, že zpomaluje práci jejich PC.
Nakonec jsme se Mumu zbavili. Vyžadovalo to ovšem ruční údržbu a samozřejmě
také použití updatu antivirových definic od naší antivirové firmy, který byl k
dispozici den poté, co útok začal. (Uvedená firma zveřejnila rovněž nástroj na
odstranění červa ten byl skutečně velmi užitečný.)
Nyní, když jsme červa Mumu zbavili jeho síly, stojíme tváří v tvář daleko
většímu problému totiž jak vynutit instalaci a správné používání našeho
standardního antivirového softwaru. To bude obtížné, protože mnoho vzdálených
lokalit, obzvláště těch za oceánem, má zajištěnu vlastní IT podporu bez dohledu
z centrálního IT oddělení. To je potřeba změnit.

Hledáme řešení
Epizoda s Mumu přilákala tolik pozornosti od výkonného managementu firmy, že se
jeho zástupci rozhodli uspořádat speciální schůzi a na ní všechny problémy,
které se objevily, pořádně prodiskutovat. V mém časovém plánu se tak objevil
úkol s vysokou prioritou přijít s řešením, které zajistí vynucení obecné
konfigurace desktopů napříč celou firmou.
V samém úvodu práce zřejmě provedeme nějaké manuální audity zmocníme vybrané
jednotlivce v různých lokalitách k tomu, aby provedli kontrolu pracovních
stanic a v případě nesrovnalostí realizovali nápravu. Tím se zajistí, že na
těchto stanicích bude nainstalována a spuštěna nejaktuálnější verze našeho
standardně používaného antivirového softwaru. Budeme také muset zabezpečit
stav, kdy bezpečnostní politika na stanicích neumožní žádnému jednotlivci
vyřadit antivirus z činnosti.
Dlouhodobým řešením bude pořízení nějakého robustního softwaru třídy enterprise
pro správu konfigurace a pro management změn. A pak už zbude jen ho
nainstalovat a využívat tak, aby se předešlo případným dalším problémům
podobného charakteru, jaké nás potkaly v minulých dnech.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.