Nasazení IDS se vždycky vyplatí...

Firemní Intrusion Detection System (IDS) znovu prokazuje svoji důležitost, když bojuje s červem. Když jsem přišel p...


Firemní Intrusion Detection System (IDS) znovu prokazuje svoji důležitost, když
bojuje s červem.

Když jsem přišel po víkendu do práce, čekal na mě velmi zajímavý e-mail. Zpráva
s předmětem "Account Alert" vypadala, jako by přišla z našeho helpdesku.
Požadovalo se v ní, abych si přečetl připojený dokument týkající se mého
uživatelského účtu.
Příloha byla pojmenována "account-info.exe". To bylo více než alarmující.
Investovali jsme značné prostředky do nejrůznějších technologií ve snaze
zabránit, aby se e-maily se spustitelnými soubory v příloze dostaly přes naše
externí poštovní brány, nicméně nyní se zdálo, že jeden přece jen prošel. Mé
obavy se potvrdily, když ostatní z IT oddělení prohlásili, že tentýž e-mail
obdrželi také. Samozřejmě, že velké procento lidí v IT oddělení ví, že by
spustitelné přílohy neměly být nikdy otevřeny, neboť jsou často využívány jako
prostředky pro distribuci škodlivého kódu. Naneštěstí je ale v naší firmě
zřejmě značný počet jiných zaměstnanců, kteří to buď nevěděli, nebo byli
oklamáni a uvěřili, že e-mail pochází z důvěryhodného zdroje.

Špatné načasování
Načasování tohoto e-mailu nemohlo být horší. Jako součást procesu synchronizace
našich uživatelských účtů jsme našim uživatelům rozesílali oficiální sdělení
ohledně nadcházejícího znovunastavení hesel. Uživatelé si tedy v poslední době
zvykli nacházet ve schránkách důležité e-maily od IT oddělení. Tento e-mail se
sice nedržel formátu oficiálních firemních zpráv, tomu však hodně uživatelů
nevěnuje příliš mnoho pozornosti. Výsledek: Spousta lidí přílohu otevřela a
jejich stroje byly infikovány.
Poté, co jsme analyzovali přílohu, jsme zjistili, že naše síť byla zasažena
červem W32.Mytob. DP@mm. Ten je opravdu nepříjemný. Dělá soustu běžných věcí,
jako je přidávání záznamů do host souboru, klíčů registru, služeb atd. Obsahuje
však také funkci, která mu dovoluje nalézt
e-mailové adresy, distribuční seznamy a adresáře alokované v populárních
e-mailových programech a poslat zprávu včetně spustitelného souboru každému,
koho v nich najde. Tímto způsobem sám sebe replikuje.
Avšak uvedený červ se také pokouší otevřít relace Internet Relay Chat v rámci
určité chatovací místnosti. Jestliže při připojování do chat roomu uspěje,
nečinně zde sedí a čeká na příkaz od IRC serveru. Ten pak může vyvolat akci
infikovaný systém stahuje soubory nebo provádí jiné škodlivé aktivity.
Setkal jsem se už s tím, že takoví červi instalovali programy pro zachycování
úhozů do klávesnice a periodicky tyto informace posílali na IRC server. Tento
druh aktivity jsme v tomto případě sice nezpozorovali, ale potenciál červa
poškodit firmu byl i tak dost vysoký.

Obtížná detekce
Problémem s červy, jako byl tento, je to, že tradiční software zajišťující
ochranu před viry je detekuje jen zřídka. Obvykle o červech nebo trojských
koních nic nezjistíme, dokud neobdržíme telefonát od našich síťových inženýrů,
kteří si stěžují na nadměrné problémy se šířkou pásma či s latencí, nebo když
nás helpdesk informuje, že je bombardován telefonáty zaměstnanců, jejichž
desktopy nepracují tak, jak by měly.
Abychom se vypořádali s tímto škodlivým kódem, vyhledal náš guru přes intrusion
detection systémy připojení na port 4512, což je nebezpečný IRC port, který,
jak jsme určili, čekal, až budou infikované stroje "volat domů". Když jsme
identifikovali provoz připojující se k tomuto portu, mohli jsme pak sledovat IP
adresu zpět až k portu přepínače. Jestliže IP adresa náležela té na desktopu,
vše, co jsme museli udělat, bylo znepřístupnit port příslušného přepínače,
dokud nebyl poslán technik helpdesku, aby červa odstranil. Helpdesk vytvořil
skript, který prochází infikovaný desktop a odstraní všechny procesy, jež červ
spustil.

Zajímavý rozhovor
Poté, co byl tento incident vyřešen, jsem měl zajímavý rozhovor s několika
svými bezpečnostními inženýry. Mluvili jsme o obvyklém využívání IDS. Před
několika lety jsme IDS nasadili, abychom číhali na známky toho, že se hacker
pokouší kompromitovat naši síť. Mezi jiným jsme hledali různé typy zneužití
přetečení zásobníku, skenování portů, DoS (Denial-of-Service) útoků a dalších
pokusů využít veřejně ohlášených slabin v některých aplikacích.
V několika posledních letech jsem však zaznamenal, že naše IDS bylo více
využíváno pro detekci porušování politik (jako je použití peer-to-peer programů
pro stahování souborů nebo chatovacích místností) a vystopování škodlivého kódu
(červů, trojských koní a virů). Ani nevím, kdy bylo IDS naposled využito při
dopadení hackera, který si vzal naši společnost na mušku prostřednictvím
zneužití přetečení zásobníku nebo jiného sofistikovaného útoku. Stále
konfigurujeme bázi pravidel IDS tak, abychom dokázali najít tyto typy signatur,
ale nikdy jsme se ve skutečnosti nesetkali s čímkoliv podstatným.
Po většinu doby bývá tou nejhorší věci, k níž dojde, to, že je naše vnější síť
konstantně zkoumána stovkami podezřelých adres každou hodinu. Pokoušeli jsme
kontaktovat poskytovatele služeb, abychom jim dali vědět, že u nás sondoval
někdo z jejich sítě, nikdy jsme ale nedostali jakékoliv dispozice, takže
stížnosti omezujeme pouze na ty největší provinilce.

Další postup
Naše IDS infrastruktura v současnosti monitoruje okolo 98 procent naší sítě.
Neustále přijímáme telefonáty od síťového týmu, personálu helpdesku a lidí
zajišťujících podporu desktopů, abychom asistovali při monitorování a analýze
síťového provozu a pomohli jim identifikovat škodlivé aktivity v síti. IDS by
tak mohl být naší nejcennější částí infrastruktury a pravděpodobně by mohl
firmě ušetřit stovky tisíc dolarů za telefonáty na podporu a nepotřebné zdroje.
Dalším krokem je vytvořit robustní infrastrukturu pro správu událostí a
automatizovat velkou část toho, co děláme, abychom mohli mnohé z těchto aktivit
přenést na nově vytvořený bezpečnostní operační tým.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.