ÚspýÜný zvlßdnutß virovß infekce

Ka×dÚ rßno v p¨l devßtÚ mß naÜe IT oddýlenÝ provoznÝ poradu. VÜichni mana×eři majÝ mo×nost prohlÚdnout si zm


Ka×dÚ rßno v p¨l devßtÚ mß naÜe IT oddýlenÝ provoznÝ poradu. VÜichni mana×eři
majÝ mo×nost prohlÚdnout si zmýny infrastruktury a vznÚst svÚ vlastnÝ
po×adavky. NapřÝklad mana×er datovÚho centra zde probÝrß ka×dou výtÜÝ zmýnu
naplßnovanou na přÝsluÜnř den a kontroluje udßlosti priority 0 a 1, kterÚ se
staly za poslednÝch 24 hodin.
TakÚ analyzujeme hovory na helpdesk a hlßÜenÝ o virovřch nßkazßch v naÜÝ
organizaci. Obvykle se denný objevÝ 5-10 takovřch zprßv. To nenÝ tak ÜpatnÚ,
kdy× uvß×Ýme, ×e mßme po celÚm svýtý vÝce ne× 6 000 zamýstnanc¨. NicmÚný vŔera
byla naÜe sch¨ze přeruÜena doslova explozÝ virovřch varovßnÝ, kterÚ přichßzely
z helpdesku. Býhem 30 minut toti× toto oddýlenÝ přijalo 40 hlßÜenÝ o virech a
jejich poŔet rapidný stoupal. Zdßlo se, ×e se do sÝtý dostal takzvanř zero-day
virus, tedy malware, kterř antivirovÚ programy nejsou schopny zatÝm ·Ŕinný
detekovat.
Nakazit se takovřm virem nenÝ tý×kÚ. Zamýstnanci pou×ÝvajÝcÝ webovÚ e-maily,
mezi ný× patřÝ napřÝklad Yahoo nebo Gmail, si bezdýky mohou do svřch poŔÝtaŔ¨
stßhnout Ükodlivř kˇd, proto×e tyto e-maily nejsou skenovßny tak jako
elektronickß poÜta v naÜem firemnÝm systÚmu Exchange. Infekce m¨×e nastat takÚ
potÚ, co si zamýstnanci připojÝ svoje laptopy k domßcÝmu internetu a pak
sta×enÚ viry donesou na sÝŁ ve svÚ prßci.
PrvnÝ kroky
Pro mý jako bezpeŔnostnÝho mana×era je d¨le×itÚ, ×e si tuto nepřÝjemnou
zßle×itost mohu vzÝt na starost sßm a spravovat ji. NejdřÝv bylo potřeba
infikovanÚ stroje odpojit od sÝtý. JednÝm z přÝznak¨ nßkazy v tomto přÝpadý
bylo to, ×e e-mailovß zprßva s infikovanou přÝlohou byla ze zasa×enÚho poŔÝtaŔe
rozeslßna na vÜechny adresy v lokßlnÝm seznamu kontakt¨. To znamenß, ×e jsem
mohl nechat helpdesk kontrolovat hlaviŔky e-mail¨, a zjiÜŁovat tak infikovanÚ
stroje. Kdy× byl nýjakř nalezen, nýkdo z helpdesku přÝsluÜnÚmu u×ivateli
zavolal a nařÝdil mu, aby sv¨j stroj od sÝtý odpojil.
Pokud u×ivatel nebyl dostupnř, helpdesk zaslal pracovnÝk¨m sÝŁovÚ divize MAC
adresu uvedenÚho poŔÝtaŔe, a ti odpojili přÝsluÜnř port na přepÝnaŔi. NajÝt MAC
adresu je v naÜem sÝŁovÚm prostředÝ velmi jednoduchÚ. Nßzev tÚmýř vÜech naÜich
stroj¨ se sklßdß z prvnÝho pÝsmene křestnÝho jmÚna u×ivatele nßsledovanÚho
prvnÝmi Üesti znaky jeho přÝjmenÝ. Tak×e pokud mßme e-mailovou adresu napřÝklad
mthurman, helpdesk jednoduÜe poÜle nbtstatu dotaz "a mthurma", ŔÝm× urŔÝ MAC
adresu přÝsluÜnÚho systÚmu. SÝŁovř třm pak vystopuje přÝsluÜnř port přepÝnaŔe
vzta×enř k danÚ MAC adrese a jednoduÜe jej vypne.
MezitÝm jsme izolovali vzorek viru a zaslali ho k analřze naÜemu poskytovateli
antiviru, tedy firmý Trend Micro. Po třech hodinßch nßm firma zaslala vzorovř
soubor pro detekci viru a teprve o dost pozdýji nßm dodala funkŔnÝ TSC soubor,
kterř fakticky odstra˛uje infekci z napadenÚho systÚmu. Toto byla prvnÝ
přÝle×itost otestovat rychlost odpovýdi antivirovÚho providera na zero-day
·tok, ale pokud jim to poka×dÚ bude trvat tak dlouho, budu zřejmý hledat jinÚho
vřrobce antiviru.
DalÜÝ nßstroje
ZatÝmco jsme Ŕekali na reakci naÜeho antivirovÚho dodavatele, vÜechny
odpovÝdajÝcÝ nßstroje, kterÚ jsme mýli k dispozici, jsem vyhradil pro urŔenÝ
rozsahu infekce a jejÝch aktivit. Tyto nßstroje nßm takÚ pomohly stanovit, kdy
se naÜe firma bude moci pova×ovat za "dezinfikovanou" a pokraŔovat v obvyklÚ
Ŕinnosti.
ZajÝmavÚ je, ×e naÜe antivirovß brßna (od firmy Proof-point), kterß monitoruje
vÜechny přÝchozÝ a výtÜinu odchozÝch e-mail¨, byla schopna identifikovat
zasa×enÚ
e-maily, dÝky Ŕemu× jsme ji mohli vyu×Ýt jako pom¨cku k hledßnÝ dalÜÝch
infikovanřch stroj¨. NaneÜtýstÝ ale ka×dř, kdo si e-mailovÚho klienta nasmýruje
na nßÜ vnitřnÝ SMTP server nebo vnýjÜÝ e-mailovÚ servery, zmi˛ovanou brßnu
Proof-pointu obejde, tak×e infikovanß poÜta se dostala i mimo spoleŔnost a
ozřvaly se nßm jinÚ spoleŔnosti, ×e byly nßmi infikovßny.
DalÜÝm u×iteŔnřm nßstrojem jsou naÜe firewally. Jeliko× se tento virus ÜÝřÝ
e-mailem, proÜli jsme logy naÜich firewall¨, naÜli nadmýrnß spojenÝ s portem 25
a usoudili, ×e stroje připojenÚ tÝmto zp¨sobem jsou infikovanÚ.
Infekce pod kontrolou
TÚmýř 12 hodin potÚ, co byla naÜe rannÝ sch¨zka nßhle odroŔena, jsme koneŔný
byli schopni nainstalovat aktualizovanř vzorovř soubor od Trend Micro, a co je
jeÜtý d¨le×itýjÜÝ, i soubor TSC pro 70 % naÜich systÚm¨. (ZbřvajÝcÝch 30 %
představovaly poŔÝtaŔe, kterÚ nebyly na sÝti, nejpravdýpodobnýji proto, ×e se
nachßzely ve vzdßlenřch Ŕasovřch pßsmech.)
Abychom si ovýřili, ×e vÜechno dobře funguje, pou×ili jsme nýkolik nßstroj¨,
poŔÝnaje logy firewallu. Zaznamenali jsme vřznamnř pokles přenos¨ na port 25,
kterř byl hlavnÝm vektorem vyu×Ývanřm tÝmto konkrÚtnÝm Ŕervem k ÜÝřenÝ infekce.
Log z Proof-pointu rovný× prokßzal zlepÜenÝ, poŔet infikovanřch e-mail¨ klesl z
2 700 na pouhřch 28. Novß hlßÜenÝ na helpdesk klesla z vÝce ne× 100 na 11.
Dokonce jsme donesli jeden infikovanř stroj do laboratoře a ovýřili si, ×e je
Ŕistř, a to tÝm,
×e jsme otestovali, zda jsou urŔitÚ soubory vymazßny z adresßře temp, a tÝm, ×e
jsme nainstalovali Ethereal (zdarma ÜÝřenř paketovř sniffer), abychom
zajistili, ×e stroj negeneruje provoz na portu 25.
Kdy× to celÚ bylo za nßmi, pova×oval jsem nßs za ÜŁastlivce, jeliko× zhoubnř
kˇd zasßhl jen malÚ procento naÜich stroj¨. Uvedenř incident vedl k tomu, ×e
byla uŔinýna zmýna bezpeŔnostnÝ politiky takovřm zp¨sobem, ×e u×ivatel¨m bylo
omezeno pou×ÝvßnÝ externÝch
e-mailovřch server¨. Bohu×el toto omezenÝ nem¨×e břt absolutnÝ - nýkolik Ŕlen¨
vedenÝ chce mÝt mo×nost pou×Ývat e-mailovÚ servery SMTP. Pro ný jsem vytvořil
pr¨vodce, jak se sprßvný chovat.
Celkový si myslÝm, ×e celř proces reakce na incident fungoval dobře. NicmÚný je
stßle potřeba jistÚho doladýnÝ, kterÚ bude vyhlßÜeno po ukonŔenÝ vÜech
napravovacÝch akcÝ.
ěeÜÝte podobnÚ problÚmy jako Mathias Thurman? Podýlte se o svoje zkuÜenosti s
nßmi i se Ŕtenßři Computerworldu. M¨×ete psßt na adresu bezpecnost@idg.cz.
(pal) 6 1042









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.