Transcript Slide 1
Miha Pihler MCSA, MCSE, MCT, CISSP Microsoft MVP – Enterprise Security www.krneki.net/blog www.slowug.si Soavtor tečaja Microsoft TMG Okužba računalnika - Simptomi “Čudno obnašanje” računalnika Nenavadna količina prometa Opazno na požarnem zidu Spremenjena konfiguracija računalnika Nedelovanje servisov Zlonamerna koda zaseda TCP vrata legitimnih servisov – npr. RDP Načini okužbe Na hitro… Načini okužbe so omejeni samo z našo domišljijo Nameščeni popravki? 0-day napadi Socialni inženiring Slabo zaščiteni ali nezaščiteni servisi Slaba gesla, ki vodijo v notranjost omrežja 1. koraki Pregled strežnika Pregled servisov, ki tečejo na strežniku 1. koraki Pregled strežnika Pregled servisov, ki tečejo na strežniku Pregled sumljivih servisov 1. koraki Pregled strežnika Pregled servisov, ki tečejo na strežniku Pregled sumljivih servisov Pregled TCP vrat v primeru, da servisi ne delujejo 1. koraki Pregled strežnika Pregled servisov, ki tečejo na strežniku Pregled sumljivih servisov Pregled TCP vrat v primeru, da servisi ne delujejo Če smo identificirali proces, ki povzroča težave, si ga lahko pogledamo od bližje Packers Pregled strežnika Najbolj popularen je UPX Na voljo tudi drugi Peid orodje pove s čim je bilo zapakirano Packers Pregled strežnika Omogočajo združevanje več exe datotek Omogočajo enkripcijo “False positive” programi 1. koraki Pregled strežnika Datoteke na disku… 1. koraki Pregled strežnika Datoteke na disku… Drugi zlonamerni procesi Večina (!) Microsoft kode je podpisana Večina (!) zlonamerne kode (zaenkrat) ni Pogosto (!) niso podpisani vsi “3rd party” gonilniki Novi problemi Podpisi kode V zadnjem času precej razvpiti primeri: Komodo CA Spletna aplikacija, ki je imela v .dll “hard coded” uporabniško ime in geslo… DigiNotar CA Prepoved izdajanja certifikatov Preklicani iz npr. Windows OS preko “Windows Update” Kaj pa drugi OS? Kaj pa npr. Firefox?, … Bankrot 1. koraki Pregled strežnika Podpisi … Sigcheck 1. koraki Pregled strežnika Podpisi … Sigcheck Strings… Odstranitev s strežnika Lahko si zlonamerno kodo shranimo za poznejšo analizo Odstranimo servise, ki smo jih identificirali kot zlonamerne Odstranjevanje s strežnika V opisanem primeru je bila zlonamerna koda preprost za odstranitev Verjetno napadalci niso želeli biti odkriti Običajno ne bo tako preprosto Glavni problem je ta, da nikoli ne vemo ali smo res odstranili vso zlonamerno kodo Odstranjevanje s strežnika Priporoča se ponovna postavitev strežnika (format) Pazite na to, ali so okuženi vaše varnostne kopije (backupi) Primer: Nedavano so napadli strani linux.com on kernel.org. Administratorji so izvedli celotni reinstall strežnikov (večkrat) Nadaljnja analiza PeView PeView winspool.drv -- tiskanje advapi32.dll – registri, varnostne funkcije shlwapi.dll -- UNC in URL poti wsock32.dll – aplikacije, ki uporabljajo mrežo VirusTotal MD 5 hash exe programa lahko oddamo preko VirusTotal Večja verjetno, da najdemo MD5 hash kot kakšen drug (SHA1) Če ga VirusTotal ne najde, lahko hash Googlamo Problem Vidimo, da ne najdejo vsi AV programi naše zlonamerne kode oz. je nebi identificirali kot zlonamerno AV proizvajalci dobivajo ogromno sumljivih datotek, ki jih preprosto ne uspejo predelati Primer: RSA… 3. marca je bil RSA tarča napada. 19. marca je bil oddano originalno sporočilo na VirusTotal. Najdejo je bilo šele konec avgusta – več kot 5 mesecev pozneje… Naslednji koraki… … bi lahko bili Okužba sistema in spremljanje… Dostopov do datotek (Process Monitor) Dostopov do registra (Process Monitor) Spremljanje DNS poizvedb, da odkrijemo kam se CCproxy poskuša povezati Naslednji koraki… … bi lahko bili Nastavimo lasten DNS strežnik tako, da zmeraj vrača IP naslov našega strežnika Z Wiresharkom spremljamo mrežne aktivnosti Na našem strežniku postavimo npr. NC (Net Cat), da posluša na TCP vratih, ki smo jih identificirali z Wiresharkom Spremljamo, kakšen promet dobi NC Naslednji koraki… … bi lahko bili Pozor: CCProxy uporablja nastavljen RootDNS strežnike (v konfiguracijski datoteki) Zlonamerna koda bi namesto DNSov lahko uporabljala tudi IP naslove … Naslednji koraki… … bi lahko bili Disassembler Debugger Prihodnost Bo zelo “pestra”… Pred nekaj leti sem na NTK napovedal zlonamerno kodo, ki se bo skrivala v BIOSu. Sedaj je to postalo realnost Trojan.Mebromi – “in the wild” Sledijo? Mrežne kartice, grafične kartice, … Prihodnost Bo zelo pestra… Kje in kako vse lahko zlonamerna koda skriva svoje podatke? Enkripcija ADS (Alternative Data Stream) Steganography Trojan:Win32/Alureon.FE – “in the wild” How We Found the File That Was Used to Hack RSA http://www.f-secure.com/weblog/archives/00002226.html Malware burrows deep into computer BIOS to escape AV http://www.theregister.co.uk/2011/09/14/bios_rootkit_discovered/ A tale of grannies, Chinese herbs, Tom Cruise, Alureon and steganography http://blogs.technet.com/b/mmpc/archive/2011/09/25/a-tale-ofgrannies-chinese-herbs-tom-cruise-alureon-andsteganography.aspx InstantSSL.it named as source of Comodo breach by attacker http://www.thetechherald.com/article.php/201113/6975/InstantSSLit-named-as-source-of-Comodo-breach-by-attacker Independent Iranian hacker claims responsibility for Comodo hack http://arstechnica.com/security/news/2011/03/independent-iranianhacker-claims-responsibility-for-comodo-hack.ars Comodo hacker: I hacked DigiNotar too; other CAs breached http://arstechnica.com/security/news/2011/09/comodo-hacker-ihacked-diginotar-too-other-cas-breached.ars Comodo Hacker Claims Credit for DigiNotar Attack http://threatpost.com/en_us/blogs/comodo-hacker-claims-creditdiginotar-attack-090611 HVALA