Як виявити ботнет

Наша взаимовыгодная связь https://banwar.org/

Все частіше ми стали чути про ботнети . зазвичай бот в складі ботнету - це програма, непомітно встановлена ​​на комп'ютері, яка дозволяє зловмисникові здійснювати якісь дії з використанням ресурсів зараженого комп'ютера. Наприклад розсилка спаму, підбір паролів, атак на відмову в обслуговуванні (дос).

Число ботнетів і комп'ютерів-зомбі збільшується величезними темпами. Організація ShadowServer Foundation, яка проводила статистичні дослідження цієї теми, наводить такі дані по активності ботнетів за останні два роки.

Як дізнатися чи немає у Вашій мережі комп'ютерів-зомбі? Чи достатня захист, що надається патчами, антивірусами, анти-руткитами і антиспамом? Може бути, потрібно щось ще? Чи потрібно задіяти будь-які інші способи забезпечення безпеки?

Одне з рішень називається Darknet ( "темна мережа").

Ідея Darknet не нова. Вона народилася з "медових горщиків" (honeypot) - рішення, до сих пір залишився недооціненим, хоча його насправді легко реалізувати. Термін Darknet позначає закриту або публічну частину мережі, в якій немає ніяких серверів / служб. Насправді, в цій мережі є як мінімум один тихий хост, відловлювати і перевіряючий все пакети. Назвемо його "тихий медовий горщик" (silent honeypot). Ідея проста. Ми не очікуємо ніякого трафіку в цій мережі, тому будь-який пакет, що прийшов сюди, не є дозволеним і його потрібно аналізувати.

Як показано на малюнку 2, мережа поділяється на дві частини з мережевою маскою / 26. Частина Darknet складається з тихих "ловців трафіку" або систем виявлення вторгнень (Network Intrusion Detection Systems, NIDS).

Існує безліч складних комерційних систем виявлення вторгнень, але якщо не хочете платити купу грошей, можна скористатися одним з відкритих і вільних рішень, таким як Snort, Argus або повнофункціональним рішенням Darknet від Team Cymru (див. Джерела інформації в кінці статті). Ці кошти дозволять вам отримати повний аналіз пакетів, що відносяться до нових і ще невідомих експлойтів.

На малюнку веб-сайту Team Cymru показано, як Darknet виявляє хробака через кілька хвилин після його запуску.

У цьому прикладі Darknet володіє публічним адресним простором, таким чином, буде відловлювати весь вхідний трафік. Ми будемо мати знання того, які існують загрози з зовнішнього світу, які шаблони трафіку мають місце бути, і таким чином передбачати майбутні невідомі експлойти. Однак як ми можемо виявити ботнети всередині нашої мережі? Щоб відповісти на це питання, треба поглянути докладніше на поведінку шкідливого ПЗ.

В даний час близько 90% шкідливого ПО поводиться звичайним і приблизно однаковим способом. З точки зору мережевого трафіку, можна сказати, що типове шкідливе ПО має наступні особливості:

1. Повинна забезпечуватися виживання. Це відноситься не зовсім до мережі. Шкідливе ПО постарається прописати себе в папку Автозавантаження, в стартові скрипти або в реєстр Windows.
   2. Активні спроби самокопірованія і поширення (зараження інших сусідніх комп'ютерів). Способи різні - розсилка повідомлень електронної пошти за адресами з адресної книги (поштовий канал); створення файлів в загальних папках Windows, на мережевих дисках і в P2P-ресурсах (назвемо це P2P-каналом); або пряме зараження - шляхом застосування 0-day експлойтів на непропатченних системи.
   3. Чи будуть спроби зв'язатися з керуючим центром (CC) з метою скачати інше шкідливе ПЗ, або отримати інструкції - зазвичай з веб-сайтів (веб-канал) або Internet Relay Chat (IRC-канал). Найчастіше ці CC розташовані на комп'ютерах з динамічним IP-адресою (використовується динамічний DNS) або розташовані в країнах, відомих поганою славою розповсюджувачів шкідливого ПО (Китай, Росія і т.д.), або в підозрілих мережах (наприклад, відомий Russian Business Network ).
   4. Будуть спроби шкідливих дій - зазвичай розсилка спаму (поштовий канал), витік даних / шпигунство / розкрадання аутентифікаційних даних / фішинг, DDOS, найчастіше через веб-канал.

Як ми можемо бачити, шкідливе ПЗ часто використовує найпопулярніші канали поширення і управління - в основному, веб, пошта, P2P і IRC-канали.

Володіючи цією інформацією, ми можемо створити Darknet всередині нашої мережі і помістити туди ловців трафіку або систему виявлення вторгнень для збору підозрілих даних.

Цей метод можна пояснити однією фразою: "Весь вихідний трафік, який не вирішено (порушує політику компанії) або підозрілий, буде відправлений на аналіз".

Залишається одна проблема. Як визначити, який трафік можна вважати підозрілим або небажаним? Універсальним рішенням буде перенаправляти всі пакети з встановленим evil-бітом (RFC 3514). На жаль, реалізувати це досить складно.

Розглянемо приклад. У нас є компанія з внутрішнім поштовим сервером і сервером імен (DNS / WINS). Ми можемо перенаправляти весь вихідний трафік (якщо джерело - не оці два сервера) на порти TCP 25 (SMTP), TCP / UDP 53 (DNS), TCP 6667-6669 (IRC) і всіх відомих P2P-клієнтів (наприклад, мережі Limeware) на машини мережі Darknet для подальшого аналізу. Так як комп'ютери внутрішньої мережі не відправляють пошту безпосередньо на інші сервера і не приєднуються до IRC, ми можемо просто блокувати ці канали і таким чином припиняти поширення шкідливого ПЗ. Якщо за своєю природою діяльність компанії спрямована на блізлежайшіх місцевість або країну, ми можемо перенаправляти всі WWW-запити (на порт TCP 80) до підозрілих доменів (таким як .cn або .ru), динамічні DNS-імена і т.п.

Для вирішення цього завдання, ми встановимо базові правила iptables в файрволла Linux, як в цьому прикладі (ми перенаправляємо всі запити з внутрішнього інтерфейсу eth0 до порту TCP 6669 IRC на внутрішній хост 1.1.1.1):

iptables -A PREROUTING -t nat -i eth0 -p tcp -dport 6669 -j DNAT -to 1.1.1.1:6669
iptables -A FORWARD -p tcp -i eth0 -d 1.1.1.1 -dport 6669 -j ACCEPT

Нам необхідно буде налаштувати внутрішній сервер 1.1.1.1, щоб він отлавливал весь трафік. Є два способи зробити це: ми можемо фіксувати всі пакети, які прийшли на сервер; або встановити певні сервіси (WWW, IRC, SMTP, POP3, DNS) і потім стежити за сполуками до них і їх цілісністю.

Давайте докладніше розглянемо спосіб з машиною, що фіксує всі пакети. Більш складні рішення (такі, як рішення від антивірусних компаній) зазвичай включають кілька машин (найчастіше як образи VMware) з різними операційними системами, відкритими загальними ресурсами, веб-серверами, P2P-клієнтами, поштовими агентами, клієнтами миттєвих повідомлень і т.п.

Після атаки / зараження, зміни в системі будуть порівняні з вхідним станом (знімком VMware), і на підставі цих змін буде проводитись аналіз шкідливого поведінки і відновлення стану.

Подібні лабораторії можуть бути дуже складними, але для отримання базової функціональності (моніторинг трафіку і попередження про загрози) досить лише одного комп'ютера з вашим улюбленим дистрибутивом Linux.

моніторинг трафіку

Один із засобів прослуховування трафіку і збору статистики називається ntop. Його можна завантажити з сайту ntop.org , Або встановити пакет за допомогою пакетного менеджера. Для основних систем Linux, таких як Red Hat, Debian / Ubuntu і SUSE вже є скомпільовані пакети. Перед тим, як використовувати ntop, потрібно встановити пароль адміністратора, ввівши таку команду:

Програма запускається так:

Тепер можна відкрити локальну адресу http: //127.0.0.1:3000 і переглянути статистику. Ntop - це наймогутніший засіб, що надає великий обсяг інформації. Можна проводити сортування по пакетам, портам, адресами хостів і т.п. Графіки використання мережі корисні при визначенні кількості трафіку, що проходить в вашу систему.

Запам'ятайте, жоден пакет не вважається допустимим в Darknet. Таким чином, це засіб здатний зібрати статистику по тим хостам / мереж, які генерують неприпустимий трафік.

Попередження про погрози

Щоб отримувати попередження про те, які експлойти існують у вашій мережі, потрібно встановити систему виявлення вторгнень (Intrusion Detection System, IDS). Кращим вільним рішенням на даний момент є Snort. Систему можна скачати з сайту www.snort.org, у багатьох дистрибутивах система доступна як бінарний пакет.

Єдине, що потрібно змінити в файлі конфігурації /etc/snort/snort.conf - це змінна $ HOME_NETWORK. Вона повинна містити ваш IP-адресу та маску підмережі. Snort - це система виявлення вторгнень, заснована на базі даних шаблонів.

Якщо трафік потрапляє під шаблон, попередження буде записано в журнал (за замовчуванням, в файл / var / log / snort), а пакети будуть зафіксовані для подальшого аналізу (можна відповісти на них за допомогою команди tcpdump -r, або досліджувати їх вміст за допомогою утиліти Wireshark).

Потужні і прості правила дозволяють вам писати свої власні сигнатури, або редагувати вже існуючі. Так ви зможете записувати трафік, відповідний вашим критеріям. На додаток до цього можна встановити засоби підтримки Snort, наприклад IDScenter (див. Джерела інформації).

Існує проект Honeynet, заснований на технологіях Snort і Sebek. Це урізана Linux-система, заснована на Fedora і містить власні графічні засоби управління інцидентами.

Бажаючі дізнатися більше в цій темі, можуть звернутися до проекту HIHAT (Highly Interactive Honeypot Analyses Toolkit), що перетворює популярні PHP-додатки, такі як PHPNuke або osCommerce в повнофункціональні засоби журналирования, створення звітів і попереджень.

Тут можна з легкістю виявляти команди і SQL-ін'єкції, XSS (cross-site scripting) і відображати виявлені IP-адреси в географічні координати, як показано на малюнку.

результати

Ця проста конфігурація, що складається з одного сервера у внутрішній мережі Darknet, дозволяє нам виявляти і отримувати попередження про наступні події:

1. Активно поширюється шкідливе ПЗ.
2. Таємні канали та можливі витоки даних.
3. Підозріла активність (умисна чи ні), наприклад порушення політики компанії і розвідка в мережі (наприклад, сканування портів).
4. Надає журнал аудиту і записує показання для подальших досліджень.
5. Надає загальну статистику використання мережі.

Не всякий трафік підозрілий

Ви самі вирішили блокувати вихідний IRC-трафік, але це може бути неочевидно для інших працівників вашої компанії. Коли Маша із сусіднього відділу спробує в обід підключитися до свого улюбленого IRC-каналу, ви напевно знайдете її, але це зовсім не означатиме, що на машиною машині бот намагається з'єднатися з керуючим центром. Однак безліч однакових з'єднань з одного або декількох комп'ютерів найчастіше ясно говорить про те, що щось йде не так.

У моїй повсякденній роботі я спостерігаю дивні речі. Люди постійно намагаються встановити заборонені програми, часто навіть не здогадуючись про це - наприклад, дитина співробітника встановлює Limewire на ноутбук компанії, який йому дали пограти або погуляти в інтернеті.

Через певний час ви заробите великий обсяг статистики і зможете відрізнити справжню загрозу від просто неправильного використання комп'ютерів і інших ізольованих інцидентів.

Забезпечення безпеки інформаційних систем - це дуже складне завдання. Сьогодні ми ведемо постійну війну проти агресорів - це війна за час і гроші. Час грає вирішальну роль в захисті всіх мереж, оточених погрозами. Однак перш за все, потрібно знати про них. Коли ви знаєте свого ворога, його наміри і його озброєння, зреагувати і пом'якшити удар буде простіше. Ось для чого придумані Darknet і honeypot'и.

<

p align = "right"> (с) G. Landecki