6.3.4 Что делать если вы атакованы?
Семенов Ю.А. (ИТЭФ-МФТИ)
Yu. Semenov (ITEP-MIPT)
Время от времени у вас могут возникать ощущение, что ваша машина работает как-то не так, замедлен отклик на команды, тормозятся внешние обмены и т.д. Возможно, что это случайная флуктуация, результат перегрузки канала, но такое поведение может быть и результатом успешной атаки на ваш компьютер. По этой причине будет лучше провести некоторые проверки.
- С самого начала имейте исчерпывающую информацию о вашей сети и системе заранее.
Вы должны знать, как ведет себя компьютер и сеть, когда все в порядке. Это позволит вам раньше выявить факт вторжения. Желательно иметь копии конфигурации, схему подключения к сети, значения усредненных потоков трафика через интерфейсы. Хорошо, если наиболее критические файлы имеют вычисленные контрольные суммы.
- Сохраняйте место преступления.
Для выявления сложившейся ситуации важно, чтобы состояние машины осталось тем, которое имело место в момент, когда вы начали расследование. Если предоставить компьютер самому себе, какие-то важные детали могут быть стерты.
- Предпримите некоторые начальные шаги, чтобы предупредить руководство и других ответственных лиц.
Вам следует связаться с ответственным администратором, адвокатом фирмы, экспертами по безопасности, местными и федеральными официальными лицами, которые могут оказаться полезными.
- Понять, откуда могут исходить угрозы.
Вы можете думать, что вторжение произошло извне, но многие атаки предпринимаются своими из локальной сети. Не исходите из того, что вторжение непременно произошло из-за firewall.
- Изолировать подозреваемую систему.
Отсоедините компьютер от сети или пустите поток данных в обход, защитите ваш объект с помощью VLAN, чтобы защитить остальную часть сети от возможного заражения. Попытайтесь проанализировать события, когда и кто входил в систему, что он делал? Все ваши действия должны документироваться.
- Выгрузить систему (выполнить shut down) .
Это должно сохранить состояние машины. Однако, перед выходом из системы, если возможно, отследите активные фоновые процессы. Не слишком опытный хакер может оставить определенные следы, которые позволят определить, как произошло вторжение.
- Изготовить точную побитовую копию жесткого диска подозреваемой системы.
Это поможет при сравнении с базовым состоянием, которое может быть известно в результате выполнения пункта 1. Проведите сканирование диска на предмет наличия вирусов, червей, троянских коней и пр.
- Просмотреть журнальные (log) файлы.
Выявите, когда и что произошло. Документируйте все выявленные факты.
- Просмотреть все, что связано с паролями и всю ОС.
В машине может быть запущена бомба, которая сработает по часам.
Например, будет запущен какой-то разрушительный процесс при вводе неверного пароля. Проверьте появление новых паролей.
- Искать странные файлы.
Появились новые графические и текстовые файлы, которых раньше не было? Проведите сканирование на предмет выявление недавно созданных или модифицированных файлов. Нет ли там каких-либо аномалий? Проверьте такие файлы на наличие вирусов, spyware и т.д.
- Знать когда остановиться.
Иногда юридическая поддержка не подключается, вы тратите три недели, не найдя никаких надежных фактов. Тогда перезагрузите ОС и сконцентрируйтесь на профилактике безопасности.
Профилактика безопасности компьютера
Профилактические действия зависят от используемой операционной системы и набора используемых приложений. Но три вещи делать надо непременно:
- Регулярное обновление версии операционной системы
- Использование индивидуального Firewall (не надейтесь на корпоративный, вас могут атаковать из машины коллеги)
- Используйте обновленную версию антивирусной программы и программы детектирования spyware
Антивирусная программа не только должна регулярно запускаться для сканирования вашей машины на предмет детектирования вредоносных кодов, но и в реальном времени проверять все вновь устанавливаемые файлы, поступающие сообщения, WEB-страницы с целью блокировки проникновения spyware и других аналогичных программ. В отличии от антивирусных программ, которые достаточно эффективны, одной программы против spyware не существует и стоит иметь под рукой 2-3 такие программы, полученные из надежных источников. Необходимо регулярно проводить обновление базы данных сигнатур вредоносных кодов для этих программ.
Если вы подозреваете наличие или детектировали присутствие какого-то вида вредоносного кода, то следует предпринять немедленно следующее (”Guarding against malware infection from remote users”, Ed Skoudis, CISSP).
- Используйте несколько программных средств для выявления и удаления вредоносных кодов (вирусов, червей, spyware, rootkit), например:
http://vil.nai.com/vil/stinger
http://www.spybot.info/en/index.html
http://www.microsoft.com/athome/security/spyware/software/default.mspx
http://www.sysinternals.com/Utilities/RootkitRevealer.html
http://www.f-secure.com/blacklight
- Попробуйте некоторые общедоступные средства сканирования (запрос Google “free antivirus” может помочь вам). Можете попробовать также:
http://www.pestpatrol.com/prescan.htm
http://www.ewido.net/en/onlinescan
http://housecall.trendmicro.com
http://www.pandasoftware.com/producta/activescan
- Просмотрите некоторые очевидные места, такие как каталог Startup msconfig в Windows и с помощью regedit некоторые ключи регистра, например, HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run. Не следует пренебрегать и просмотром временных каталогов типа TMP или TEMP.
- Следует проанализировать активные системные и прикладные процессы.
- Выгрузить все программы, которые подозреваются, как инфицированные.
- Запустить программу обнаружения и удаления вирусов/spyware.
- Не исключено, что ваши проблемы сопряжены не с malware, а с неисправностью оборудования. Можно попробовать перезагрузить Windows или приложения. Если система не работает, надо просмотреть, какие изменения аппаратной конфигурации производились последнее время (может быть, например, был добавлен модуль не вполне исправной памяти, или карта PCI плохо вставлена в разъем).
- Просмотрите сайты поставщиков (Symantec, Spyware Encyclopedia и т.д.) на предмет наличия нужных программных продуктов и рекомендаций по диагностике.
- Поставщики антивирусных и анти-spyware программ могут предложить специальные средства и для их удаления. Не следует пренебрегать продуктами и других поставщиков при условии их получения из надежного источника.
- Поведите вычисление контрольной суммы (например, посредством HashCalc) подозрительных файлов и сравнить с соответствующими кодами, полученными для заведомо корректных копий.
- Если сомневаетесь, перезагружайтесь. Если при загрузке Windows повисает или начинает в определенной точке повторно грузиться (даже в safe-режиме), следует предпринять полную переустановку ОС с резервной копии с предварительной разметкой диска. Но прежде чем делать это, нужно побеспокоиться о спасении информационных файлов.
- На уровне предприятия необходим многовариантный план реагирования на инциденты в масштабах всей корпоративной сети. Для решения этой задачи могут быть полезны следующие ссылки.
http://csrc.nist.gov/publications/nistpubs/800-83/SP800-83.pdf
http://csrc.nist.gov/publications/nistpubs/800-61/sp800-61.pdf
http://www.first.org/resources/guides
http://www.ewido.net/en/onlinescan
http://cirt.rutgers.edu/tools.php
Следует иметь в виду, что заражение компьютера может произойти различными путями:
- Через e-mail за счет прикрепленных к сообщению файлов или самого сообщения, содержащего фрагменты HTML/XML, которые могут включать в себя вредоносные макросы.
- При просмотре некоторых WEB-сайтов на взломанных машинах или на серверах специально созданных для целей распространения вредоносных кодов.
- С помощью IM-сообщений, которые содержат файлы-приложения, содержащие вредоносные коды. Особенность IM-технологии заключается в том, что такие сообщения обходят все защитные фильтры и пригодны для рассылки вирусов, сетевых червей и троянских коней (spyware).
- Через систему совместного использования файлов, в частности в случае применения технологии P2P. В этом случае возможно туннелирование через firewall. P2P широко используется в файлообменных сетях и предполагает загрузку файлов или их фрагментов из неконтролируемых источников. Эта техника применяется для распространения spyware и MMC (malicious mobile codes), которые в свою очередь могут открыть доступ для других вредоносных кодов (вирусов, сетевых червей и т.д.).
- С привлечением социальной инженерии (фишинг, бесплатные игры, лотереи, серверы общедоступного программного обеспечения, порно-сайты), когда заражение происходит в случае попытки воспользоваться соблазнительным предложением.