Запобігання та виявлення вторгнень - це найважливіші елементи процесу забезпечення безпеки комп'ютера і комп'ютерних мереж.
У разі злому комп'ютера або мережевого пристрою необхідно негайно вжити заходів для:
- запобігання подальшому поширенню загрози (ізоляція скомпрометованого пристрої, очищення, повне відновлення системи з довіреної резервної копії і т.д.);
- виявлення способів проникнення / зараження і усунення їх (дослідження ексідента, установка оновлень безпеки, відмова від використання уразливого ПО і мережевого устаткування, застосування систем запобігання та виявлення вторгнення, установка антивірусного ПО, зміна політики інформаційної безпеки організації і т.д.);
- оцінки та усунення наслідків злому (визначення потрапила в результаті злому в руки зловмисників інформації, зміна облікових даних, відновлення CDN, попередження користувачів про необхідність зміни паролів і т.д.).
Ознаками, що свідчать, що комп'ютер був скомпрометований (Indicators of Compromise), тобто зламаний, можуть бути:
- поява на комп'ютері шкідливих файлів (вірусів, бекдор, троянів, кілогеров, криптор, Майнер і т.д.), а також хакерський утиліт (для дослідження мережі, експлуатації вразливостей, збору облікових даних і т.д.);
- поява неавторизованих нових здійсненних і інших файлів, навіть якщо вони не визначаються антивірусним ПЗ як шкідливі;
- неавторизована мережева активність (підключення до віддалених хостів, відкриття для прослуховування портів невідомими програмами, або програмами, які не повинні цього робити і ін.);
- аномальна активність на дискових пристроях і підвищене споживання ресурсів системи (через пошуку по дискам, шифрування файлів, використання ресурсів комп'ютера в цілях зловмисника для виконання обчислень або зберігання і поширення даних і т.д.)
- та інші ознаки, як видимі «на око», так і вимагають використання спеціалізованого ПЗ для виявлення.
Інструкція з використання Loki
У цій замітці буде розказано про Loki - простому сканері для виявлення ознак злому. У Loki відкритий вихідний код, програма безкоштовна, є кроссплатформенной, включає в себе можливості ряду безкоштовних інструментів і відкритих баз даних по шкідливих файлів. На даний момент програма активно розвивається і постійно поповнюється новими сигнатурами.
Ви можете перевірити свій комп'ютер або сервер як на Linux, так і на Windows.
Процес установки на Linux описаний тут .
Я розгляну запуск і аналіз результатів на Windows.
Установка Loki в Windows
Скачайте останній випуск програми з офіційної сторінки релізів . Розпакуйте архів. Програма не вимагає установки, досить розпакувати архів, що скачав. Для запуску відкрийте командний рядок: натисніть Win + x і виберіть «Командний рядок (адміністратор)». Почніть з поновлення програми і сигнатур, для цього перетягніть у вікно командного рядка файл loki-upgrader.exe, натисніть ENTER і дочекайтеся завершення процесу.
Після цього перетягніть в командний рядок файл loki.exe і натисніть ENTER - почнеться сканування всього комп'ютера.
Якщо ви не довіряєте виконуваним файлам, то на сторінці програми описано, як самостійно скомпілювати її з вихідного коду.
Аналіз результатів Loki
В першу чергу, потрібно звертати увагу на повідомлення, виділені червоним:
В поле DESCRIPTION дано опис файлу і причини його підозрілості. Зазвичай це віруси, бекдори і інші подібні програми, які не можуть бути присутніми на комп'ютерах більшості користувачів (якщо вони не займаються аналізом шкідливого ПО).
Далі слід звернути увагу на жовті попередження:
На першому сркіншоте - знайдений інструмент для відновлення Wi-Fi паролів .
Знайдена програма для дампа облікових даних, паролів :
Якщо ви їх не скачували, то подібних програм не повинно бути у вашій системі. Їх міг забути людина, яка намагалася отримати відомості з вашого комп'ютера.
тут:
підозрілий власник процесу (можливо, проблема в кирилиці).
Повідомлення, помічені синім, можуть означати цілком легітимну діяльність. Наприклад, на цьому скріншоті підключення працює веб-браузера:
Далі Tor і додаток для VoIP:
В даному випадку вони є легітимними - встановлені власником. Проте, варто переглянути, які програми прослуховують порти або підключена програма.
Далі приклад виконуваного файлу, який розташований в директорії, де зазвичай не повинно бути здійсненних файлів. Це не обов'язково шкідливі файли, але на них варто звернути увагу:
Судячи з усього, помилкове спрацьовування (файл ідентифікований по одному тільки імені файлу), тим не менш, варто хоча б подивитися дату створення, цифрові підписи, наявність активності і т.д .:
Програма знайшла здійсненний файл Nmap :
Ймовірно, помилкове спрацьовування (занадто загальний патерн пошуку для Cloud Hopper):
Файл Microsoft Office містить функцію AutoOpen (таке рідко зустрічається в нормальних офісних файлах):
Notice: FILE: C: \ Users \ Alex \ Downloads \ INFO_0323310510_alexey \ 9806.doc SCORE: 40 TYPE: OLE SIZE: 90112 FIRST_BYTES: d0cf11e0a1b11ae1000000000000000000000000 / MD5: 31746eb6e63d4d3dc913121b0a4f3146 SHA1: 49cb5f309931a282c466a8f4e0bc60773731fb76 SHA256: e5a489137478adc100409ca51e69f957991c3e0aad477a4de3bfea1fc41b10ee CREATED: Tue Jan 17 8:20:49 2017 MODIFIED: Tue Jan 17 6:05:01 2017 ACCESSED: Tue Jan 17 8:20:49 2017REASON_1: Yara Rule MATCH: Office_AutoOpen_Macro SUBSCORE: 40 DESCRIPTION: Detects an Microsoft Office file that contains the AutoOpen Macro function MATCHES: Str1: AutoOpen Str2: Macros
висновок
Loki - це нескладна програма для виявлення ознакою компрометації. Вона допоможе побачити явні ознаки проникнення й зараження комп'ютера. Також вона є хорошим інструментом для вивчення і розуміння своєї операційної системи, що відбуваються в ній процесів.
