Virus, který pronikl i přes nejlepší firemní ochranu

Nepříjemná chyba v ochraně sítě umožnila nechvalně proslulému červu Nimda proniknout do firemní sítě. Nakonec ale...


Nepříjemná chyba v ochraně sítě umožnila nechvalně proslulému červu Nimda
proniknout do firemní sítě. Nakonec ale nenapáchal žádné škody. Co ho zastavilo?
Tenhle víkend byl trochu náročnější. Proto jsem doufal, že bude pondělí
klidnější a já stihnu alespoň vyčistit svoji e-mailovou schránku a věnovat se
finančnímu plánu na příští rok. Místo toho jsem byl nucen bojovat s červem
známým pod názvem Nimda. Tenhle rozkošný virus je něco jako Code Red pořádně
nadopovaný anaboliky.
Jakmile tisíce počítačů začaly útočit na náš firewall a pokoušely se využít
známé slabiny v IIS (Internet Information Server) od Microsoftu, bylo nám hned
zřejmé, že se něco děje. Naštěstí na našich systémech dostupných zvnějšku IIS
neprovozujeme. Po útocích prostřednictvím webu následovala smršť infikovaných
e-mailů, která se snesla na naši gateway. Vzhledem ke známým rizikům blokujeme
veškeré spustitelné přílohy a také soubory s příponami .vbs, .bat a .pif, tudíž
i přesto, že antivirový software dosud signaturu viru neznal, se nám podařilo
síť bez problémů ochránit.
Protože podobné útoky již z dřívějška známe, byli jsme klidní, dokonce by se
dalo řici, že až znudění. Další den, další e-mailový virus. Současný útok ve
stylu Code Red byl už však tak trochu záhadnou shodou okolností. Rozhodli jsme
se rychle zkontrolovat naše antivirové aplikace, a proto jsme se podívali na
weby SANS Institute, abychom získali analýzu a aktualizované signatury. Na
mnohých internetových stránkách se objevovaly informace o tom, že tento červ
síť nijak výrazně nezatěžuje a že jsou již k dispozici aktualizace schopné jej
detekovat.

Nimda pod mikroskopem
Nimda umí v napadeném systému otevřít dveře pro další zákeřné útoky. Vytvoří
zde další uživatelský účet nazvaný "guest" a tomuto účtu přidělí
administrátorská práva. Poté zpřístupní lokální disky tak, že jsou dostupné z
celého internetu. Vzhledem k tomu, že naše interní systémy byly skryté za
firewallem a zvnějšku nepřístupné, domnívali jsme se, že i kdybychom byli
Nimdou zasaženi, veškeré následky a vliv na fungování firemní sítě by byly
relativně malé. To jsme se ale velmi mýlili.
Nimda nejenže rozesílá všem e-maily a snaží se najít zranitelné IIS servery,
ale také modifikuje webové stránky takovým způsobem, aby obsahovaly virus. V
běžných případech by to nebyl příliš velký problém naši uživatelé nejsou tak
hloupí, aby bezdůvodně stahovali a spouštěli náhodné programy.
Nimda ale bohužel ke své činnosti využívá hrubé chyby v Internet Exploreru.
Některé webové stránky používají hudbu, která hraje na pozadí, a Internet
Explorer samozřejmě musí umět načíst příslušné hudební soubory. Červ se ukrývá
právě v podobě zvukového .wav souboru. Jakmile je tento soubor stažen, aplikace
pro přehrávání se na něj podívá a uvědomí si, že to není .wav soubor, ale .exe
soubor. A cože udělá s tímto podvrženým souborem? Vyhodí chybové hlášení a
ukončí se? Bude varovat uživatele? Samozřejmě že ne. Namísto toho předá tento
soubor dál a ten je spuštěn. Pouhé prohlížení internetových stránek tak může
znamenat, že váš počítač bude infikován virem.
My jsme ale věděli, že naše e-mailová gateway a antivirový software
nainstalovaný na našem proxy serveru mají aktualizované antivirové definice,
takže bychom měli být ochráněni. Posledním krokem bylo aktualizovat antivirové
aplikace na desktopech a zablokovat ostatní možné cesty, kterými by virus mohl
do firmy proniknout. Vypnuli jsme POP3 e-mailové servery a nastavili počítače
tak, aby musely přistupovat k internetu prostřednictvím proxy serveru.
Uživatelé, kteří používali Netscape Navigator a Unix, byli donuceni, aby jej
přiměli pracovat s Microsoft Proxy a autentizací prostřednictvím Windows NT
(jestli má někdo tipy, jak usnadnit tento velmi strastiplný proces, velmi je
uvítám).

Virus je uvnitř
Update desktopů byl poslední vrstvou naší ochrany. Poté jsme z jednoho z
počítačů s aktualizovaným antivirovým softwarem dostali varování. Byla zjištěna
infikovaná webová stránka v adresáři obsahujícím dočasné internetové soubory
(cache prohlížeče). To nedávalo žádný smysl. Daný uživatel prohlížel internet
přes proxy. Věděli jsme, že proxy server má ty správné antivirové signatury.
Přesto se onen soubor do počítače nějak dostal. Přiběhl jsem k němu a vypnul ho.
Přenesli jsme počítač do mé kanceláře, abychom zjistili, jakým způsobem k
infikování došlo. Ale právě v okamžiku, kdy jsme jej připojili k jinému stroji,
který měl analýzu provést, přišla výstraha z dalšího desktopu. Bylo zřejmé, že
naše webová ochrana nefunguje. Okamžitě jsme proto zakázali přístup k
internetu. Kolika různými způsoby nás tento virus může napadnout?!
Připravili jsme testovací stroj s těmi správnými antivirovými aktualizacemi a
použili ho k prohlížení internetu přes proxy. Tak jsme byli konečně schopni
zjistit skutečnou příčinu problému. Zahrávat si takovýmto způsobem s funkčním
virem je vždycky riskantní, ale byli jsme opatrní a věděli jsme, že antivirová
aplikace nainstalovaná na desktopu je schopna virus zachytit. Při našem
testování se ukázalo, že instalace InterScan WebManageru od kalifornské firmy
Trend Micro, nebyla schopna virus z HTTP paketů odfiltrovat.
Několik telefonátů manažerům pro bezpečnost z jiných firem ukázalo, že virus
zastavili pomocí aktualizovaných antivirových definic pro Trend Micro InterScan
VirusWall. Naneštěstí aplikovali tuto novou ochranu až poté, co došlo k průniku
viru do prostředí jejich sítí. Stejně jako já měli plné ruce práce s tím, jak
se snažili virus odstranit a zabránit jeho šíření.

Poslední záchrana
Zavěsil jsem a rozhlédl se kolem. Nedostával jsem hromady e-mailů, neviděl jsem
pokusy o průnik ke sdíleným prostředkům. Ani žádné odchozí skenování jiných
strojů přes HTTP. Červ tu byl, pokoušel se asi škodit, ale zjevně se mu to
nedařilo. Něco nás zachránilo.
Nahradili jsme náš WebManager produktem Websweeper od dublinské společnosti
Baltimore Technologies, poté přidali Sophos Anti-Virus od britské firmy Sophos.
Bylo to tak trochu dvojí jištění. Poté jsme toto redundantní řešení aplikovali
na celou řadu proxy serverů zapojených v sérii. Museli jsme se vzdát
autentizace uživatelů na každé jednotlivé úrovni a spolehnout se jen na
jednoúrovňovou challenge/response autentizaci prostřednictvím Windows NT. Každá
úroveň představovala jeden možný bod selhání, ale tímto způsobem bychom
přinejmenším byli schopni zastavit virus dříve, než se dostane na desktopy
uživatelů. I když mnoho ze vzdálených počítačů, ze kterých útoky přicházely,
bylo mezitím vyčištěno, na spoustě dalších se viru stále úspěšně dařilo.
Nicméně náš další rychlý test prohlížení internetu potvrdil, že červ se již na
desktopy není schopen dostat. Věděli jsme, že jsme v bezpečí, takže jsme opět
mohli povolit přístup k internetu.
Uživatelé prohlížeče Netscape pod Unixem byli rovněž potěšeni, protože mohli
znovu využívat proxy serveru nevyžadujícího žádnou autentizaci, a tak se jim
opět zcela otevřela cesta k nerušenému surfování kdekoli po internetu. Byli tak
spokojení, že nám o tom řekli. Chyba. Zabezpečení způsobené pouze zvláštností
použitých prostředků v praxi příliš nefunguje. Až příští týden dokončíme
přechod na Websweeper, už si bez kontroly surfovat nebudou ale přinejmenším
budou v bezpečí.
A cože to bylo za úžasné zabezpečení, které nás zachránilo od nutnosti trávit
hodiny a hodiny likvidováním viru na počítačích, jak to byly nuceny dělat jiné
firmy? Která chytrá ochrana zabránila šíření viru? Virus prostě havaroval,
protože firemní e-mailový adresář byl příliš velký na to, aby ho zvládl
zpracovat.

Užitečné odkazy
Podrobný popis funkcí červa Nimda naleznete na stránce
http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html.
Prvním skutečně zajímavým červem byl patrně virus Code Red. Více podrobností o
něm naleznete na této webové stránce:
http://www.incidents.org/react/code_red.php.
Vynikajícím zdrojem informací o nových virech je web SANS Institute na adrese
http://www.incidents.org/.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.