Вирус в домашней сети
Когда я просматривал статистику поисковой системы Яндекс, то обратил внимание, что запрос: "Безопасность домашней сети" - запрашивается лищь 45 раз в месяц, что, скажем прямо, довольно прискорбно.
Чтобы не быть голословным, хочу рассказать одну занимательную историю из своей жизни. Некоторое время назад ко мне зашел сосед, который решил приобщиться к современной жизни и приобрел себе ноутбук, маршрутизатор, ну и озаботился тем, чтобы подключиться к сети интернет.
Маршрутизатор сосед купил марки D-Link DIR-300-NRU, а у этой модели имеется такая особенность. По умолчанию, в качестве имени беспроводной сети (SSID), он использует название бренда. Т.е. в списке доступных сетей обнаруживается сеть с именем dlink. Дело в том, что большинство производителей "зашивают" в настройки название сети в виде марки и модели (например, Trendnet-TEW432 и т.п.).
Так вот, увидел я в списке сетей dlink и сразу же к нему подключился. Сразу же оговорюсь, что любой маршрутизатор (кроме Wi-Spotов и прочей экзотики, которая не имеет сетевых проводных интерфейсов RJ-45) обязательно нужно настраивать, подключившись к нему по проводу. На практике, я могу сказать, что можно и по Wi-Fi настраивать, но только не перепрошивать, - перепрошивать только по проводу, а иначе есть вероятность его серьёзно повредить. Хотя, если бы я вёл настройку маршрутизатора по проводу, то этого курьёза бы не произошло и не было бы этой истории.
Я подключаюсь к сети dlink, начинаю настраивать - меняю SSID, задаю ключ шифрования, определяю диапазон адресов, канал вещания и т.п., перезапускаю маршрутизатор и только тут до меня доходит то, что уж больно какой-то неуверенный приём, хотя маршрутизатор рядом стоит.
Да, действительно, я подключился к чужому открытому маршрутизатору и настроил его, как надо. Естественно, я сразу же вернул все настройки к исходным, чтобы владельцы маршрутизатора не расстраивались и уже настроил целевой маршрутизатор, как надо. Но, при всём при этом, могу сказать, что этот маршрутизатор до сих пор так и стоит незашифрованный и к нему может прицепиться любой желающий. Так вот, чтобы избежать таких вот ситуаций, настраиваем беспроводной маршрутизатор и читаем дальше про безопасность домашней сети.
Давайте рассмотрим, какие элементы как аппаратные, так и программные, являются защитниками сети, а какие - потенциальными брешами, включая, кстати, и человеческий фактор . Но, обо всём по порядку.
Мы не будем рассматривать, каким образом интернет приходит к вам в дом - нам достаточно понимания того, что он приходит.
И вопрос - приходит куда? На компьютер? На маршрутизатор? На беспроводную точку доступа?
Мы не будем рассматривать, каким образом интернет приходит к вам в дом - нам достаточно понимания того, что он приходит. А, между тем, это вопрос очень и очень важный и вот почему. Каждое из вышеперечисленных устройств имеет свою степень защиты от различных хакерских атак и несанкционированного доступа.
Первое место по уровне защиты от сетевых атак можно смело отдать такому устройству, как маршрутизатор (его ещё иногда называют "роутер" - это то же самое, только по-английски - Router - маршрутизатор). Аппаратную защиту "пробить" гораздо сложнее, хоть и нельзя сказать, что невозможно. Но об этом позже. Существует такая народная мудрость, которая гласит: "Чем устройство проще - тем оно надёжней". Т.к. маршрутизатор - гораздо более простое устройство и более узкоспециализированное, то оно, конечно, надёжней.
На втором месте по уровню защиты от сетевых атак - компьютер, оснащённый различными защитными программными средствами (межсетевыми экранами, которые так же называются FireWall - дословный перевод - Огненная стена. В ОС Windows XP и более поздних этот сервис называется Брандмауэр). Функционал примерно тот же, но появляется возможность реализации двух функций, которые чаще всего невозможно сделать средствами маршрутизатора, а именно - отслеживание посещения пользователями сайтов и ограничение доступа к определенным ресурсам. Конечно, в домашних условиях такой функционал чаще всего не требуется или легко реализуется с использованием бесплатных сервисов, например, Яндекс.DNS, если вам требуется оградить своего ребёнка от нехорошего контента. Конечно, на компьютере-шлюзе иногда имеется такой приятный функционал, как "проточный" антивирус, который умеет анализировать проходящий трафик, но это не является поводом к тому, чтобы отказываться от антивируса на компьютерах-клиентах, т.к. вирус на всякий случай может прилететь в файле-архиве с паролем, а туда антивирусу никак не попасть, пока вы его не вскроете.
Беспроводная точка доступа - это прозрачный в обе стороны шлюз, через который может прилететь что угодно, поэтому использовать точки доступа имеет смысл только в сетях, защищенных аппаратным или программным файрволом (маршрутизатором или компьютером с установленным специализированным ПО).
Чаще всего в домашней сети используются беспроводные маршрутизаторы, которые оборудованы четырьмя портами для подключения компьютеров по проводу и радиомодулем, выполняющим функцию точки доступа. В этом случае сеть имеет следующий вид:
Здесь мы наглядно видим, что главный защитник нашей сети от хакерских атак - маршрутизатор, однако это не говорит о том, что вы можете чувствовать себя в абсолютной безопасности.
Функция файрвола маршрутизатора состоит в том, что он транслирует ваши запросы в интернет и полученный ответ возвращает вам. При этом, если информация никем в сети, включая ваш компьютер, не запрашивалась, то файрвол такие данные отфильтровывает, оберегая ваш покой.
Какими методами можно попасть в вашу сеть, защищенную файрволом?
Чаще всего это вирусы-трояны, которые проникают в вашу сеть вместе с зараженными скриптами или скачанными зараженными программами. Нередко вирусы распространяются в виде вложений в электронные письма или ссылок, содержащихся в теле письма (почтовые черви). В частности, так распространяется вирус-червь, который шифрует всю информацию на жестких дисках вашего компьютера, а после этого вымогает деньги за расшифровку.
Что ещё способен сделать вирус, поселившийся на вашем компьютере?
Деятельность вируса может быть самой разнообразной - от "зомбирования" компьютера или воровства данных до вымогательства денег впрямую через блокировку Windows или шифрование всех пользовательских данных.
У меня есть знакомые, утверждающие, что не встречали более бесполезной программы, чем антивирус и прекрасно обходятся без него. Если вы считаете так же, то должен предупредить, что не всегда вирус выдает себя сразу и выдает вообще. Иногда его деятельность состоит в том, чтобы принять участие в DDoS атаке какого-либо узла в интернете. Вам это ничем не грозит кроме того, что вас может заблокировать провайдер и заставить провериться на вирусы. Поэтому, даже, если на вашем компьютере нет важных данных, антивирус, хотя бы бесплатный, лучше поставить.
Если на ваш компьютер проник троян - он может открыть порт, организовать туннель и предоставить своему создателю полную власть над вашим компьютером.
Многие вирусы умеют распространяться по сети, поэтому если вирус попал на один компьютер в сети, существует вероятность его проникновения на другие компьютеры вашей домашней сети
Как уберечь себя от вирусов?
Прежде всего, необходимо установить на каждый компьютер в сети обновляющийся антивирус. В идеале коммерческий, но если с деньгами туго можно использовать бесплатные антивирусы, вроде Avast, Avira, AVG, Microsoft Security Essentials и т.п. Это, конечно, не такая эффективная защита, как у платного антивируса, но лучше уж так, чем вообще без антивируса.
Важно: Между появлением нового вируса и добавлением его описания в антивирусную базу существует некоторый "зазор", длинной от 3 дней до 2-х недель (иногда дольше). Так вот, в это время ваш компьютер может быть потенциально под угрозой заражения вирусом, даже, с обновляющимся антивирусом. Поэтому переходим к следующему этапу, а именно инструкциям, выполняя которые вы сможете уберечь себя от заражения.
1. Никогда не открывать вложения в письма и не переходить по ссылкам с этих писем, если адресат вам неизвестен. Если адресат вам известен, но письмо имеет ярко выраженный рекламный характер или из разряда - "посмотри эти фотки - ты здесь голый", то, конечно же, ни по каким ссылкам переходить не следует. Единственное, что вы можете сделать полезного в этом случае - это сообщить человеку, что он поймал вирус. Это может быть как электронное письмо, так и сообщение в Skype, ICQ, Mail.ru-агенте и прочих системах.
2. Иногда вам может прийти сообщение от "коллекторского агентства" или из "МосГорСуда" о том, что у вас какие-то неприятности - знайте, так распространяются вирусы-шифрователи, поэтому ни в коем случае не следует переходить по ссылкам и открывать вложения.
3. Обязательно обратите внимание на то, как выглядят сообщения об обнаруженных вирусах антивирусом. Запомните их внешний вид, т.к. нередко при навигации по интернету возникает сообщение, что мол обнаружен вирус, немедленно скачайте с сайта антивирус и проверьтесь. Если вы помните, как выглядит окно сообщений антивируса, то всегда сможете понять - антивирус вас предупреждает или это "обманка". Да, и антивирус никогда не будет требовать скачать с данного сайта какое-то дополнение - это первый признак вируса. Не попадайтесь, а то потом придется вызывать специалиста лечить компьютер от вируса-вымогателя.
4. Вы скачали архив с какой-то программой или ещё чем-то, но при открытии файла требуют отправить смс и получить код - ни в коем случае этого не делайте, как бы ни были убедительны доводы, приведённые в окне. Вы отправите 3 смс, стоимостью по 300 рублей каждая и внутри увидите инструкцию по скачиванию файлов с торрентов.
6. Если вы используете беспроводную сеть Wi-Fi - вам необходимо установить ключ шифрования сети. Если у вас открытая сеть, то все желающие могут к ней подключиться. Опасность состоит не в том, что кто-то, кроме вас, будет пользоваться вашим интернетом, а в том, что он попадает в вашу домашнюю сеть, в которой наверняка используются какие-то общие ресурсы, которые нежелательно выставлять на всеобщее обозрение. О создании сети с использованием технологии Wi-Fi вы так же можете прочитать статью.
Вместо подведения итогов
Теперь мы знаем, что каким бы дорогим и качественным не был наш защитник - маршрутизатор, если не принимать определенных мер, то можно заразить свой компьютер вирусом, а попутно создать угрозу для всей сети. Ну, и, конечно же, нельзя забывать о том, что ключ шифрования вашей беспроводной сети так же является очень важным фактором.
Ранее мы писали о подмене DNS, вследствие чего на компьютере появлялась реклама и баннеры-вымогатели. В ряде случаев, DNS-сервера были изменены не только в Windows, но и на роутере. Если выражаться технически корректно, то подмена ДНС — это конечно же не вирус в классическом смысле слова, а вредоносная настройка, которая тем не менее приносит немало неудобств.
В чем смысл подмены DNS-серверов и какой от этого вред
Выглядит это так. Во время просмотра сайтов вдруг открывается страница с предложением обновить флеш-плеер, java, установить бесплатный антивирус, скачать программу якобы для ускорения работы и оптимизации ПК или любую другую на первый взгляд безобидную вещь. Немаловажно, что при этом в адресной строке может отображаться имя знакомого и проверенного сайта. Если пользователь скачает и запустит предложенный файл, то скорее всего в скором будущем у него начнутся большие проблемы с ПК:
-
На компьютере может начаться показ рекламных объявлений.
При этом, как правило, снижается быстродействие ПК, идут постоянные обращения к жесткому диску, загрузка процессора достигает 100% в состоянии простоя.
Как происходит заражение роутера
Как правило, вначале происходит заражение одного из компьютеров в локальной сети. Вирус проникает на компьютер при скачивании какого-либо файла из Интернета. Затем, он посылает запросы на стандартные для сетевого оборудования адреса, может сканировать файлы cookies, скачивать вспомогательное вредоносное ПО (троян) и в результате попадает в настройки роутера или ADSL-модема.
Вирусы и трояны могут изменить настройки маршрутизатора (в частности, подменить DNS), если:
1. Для входа на веб-интерфейс используются стандартные реквизиты — IP, логин и пароль (например, 192.168.1.1, admin/admin)
2. Адрес, логин и пароль роутера сохранены в браузере.
Признаки заражения роутера
(могут встречаться как все вместе, так и отдельные признаки)
1. На устройствах, которые подключены к маршрутизатору, выскакивает реклама, в браузерах самостоятельно открываются левые вкладки/всплывающие окна, может появиться баннер-вымогатель на весь экран.
3. Нет доступа к Интернету, хотя индикатор WAN/Internet светится.
4. Компьютер получает IP-адрес из диапазона 169.254.*.*
Как удалить вирус с роутера
2. Откройте настройки WAN (т.е. соединения с Интернет-провайдером)
Иногда вредоносное ПО пытается сбить пользователя с толку и прописывает зловредный DNS первичным, но тут же в качестве вторичного указывает IP публичного DNS компании Google. Фокус заключается в том, что ко вторичному сервер идет запрос только тогда, если первичный не смог найти сайт в своей базе, что на деле случается редко.
3. Откройте настройки LAN (т.е. локальной сети).
В большинстве случаев, должна быть активирована функция DNS Relay и никаких особенных адресов DNS роутер раздавать не должен.
Не во всех роутерах (на стандартных прошивках) есть возможность редактировать DNS, раздаваемые в LAN. Как правило, в качестве сервера разрешения имен для клиентов указывается локальный IP маршрутизатора.
Вот типичная правильная настройка локальной сети в маршрутизаторе Tp-Link:
Если у вас не получается исправить настройки, сделайте сброс настроек роутера и настройте его заново.
4. После этого обязательно проверьте все компьютеры и устройства в сети на вирусы с помощью MBAM и CureIt.
Как защитить роутер от вирусов
Зайдите на сайт производителя, введите свою модель, аппаратную версию и скачайте самую свежую прошивку. Читайте как обновить прошивку роутера на примере оборудования TP-Link.
Не все маршрутизаторы позволяют изменить логин. Но если вы установите сложный пароль, этого будет достаточно.
Даже не сомневайтесь, что первым делом вирус-взломщик роутеров будет обращаться к самым популярным адресам: 192.168.0.1 и 192.168.1.1. Поэтому мы вам советуем изменить третий и четвертый октет локального IP-адреса в настройках LAN. Задайте например:
После этого все устройства в сети будут получать IP из диапазона 192.168.83.*
Даже если вредоносное ПО проникнет на компьютер, оно будет нейтрализовано и не успеет заразить роутер.
Думаю, вы в состоянии запомнить пароль от веб-интерфейса маршрутизатора. Или как минимум его записать на бумаге.
Пожалуйста, поделитесь статьей, если она вам понравилась!
Проблема эпидемии сетевых червей актуальна для любой локальной сети. Рано или поздно может возникнуть ситуация, когда в ЛВС проникает сетевой или почтовый червь, который не детектируется применяемым антивирусом. Сетевой вирус распространяется по ЛВС через не закрытые на момент заражения уязвимости операционной системы или через доступные для записи общие ресурсы. Почтовый вирус, как следует из названия, распространяется по электронной почте при условии, что он не блокируется клиентским антивирусом и антивирусом на почтовом сервере. Кроме того, эпидемия в ЛВС может быть организована изнутри в результате деятельности инсайдера. В данной статье мы рассмотрим практические методики оперативного анализа компьютеров ЛВС с применением различных средств, в частности с помощью авторской утилиты AVZ.
Постановка задачи
В случае обнаружения эпидемии или некой нештатной активности в сети администратор должен оперативно решить минимум три задачи:
- обнаружить зараженные ПК в сети;
- найти образцы вредоносной программы для отправки в антивирусную лабораторию и выработки стратегии противодействия;
- принять меры для блокирования распространения вируса в ЛВС и его уничтожения на зараженных компьютерах.
В случае деятельности инсайдера основные шаги анализа идентичны и чаще всего сводятся к необходимости обнаружения установленного инсайдером постороннего ПО на компьютерах ЛВС. В качестве примера такого ПО можно назвать утилиты удаленного администрирования, клавиатурные шпионы и различные троянские закладки.
Рассмотрим более подробно решение каждой из поставленных задач.
Поиск зараженных ПК
Для поиска зараженных ПК в сети можно применять как минимум три методики:
- автоматический удаленный анализ ПК — получение информации о запущенных процессах, загруженных библиотеках и драйверах, поиск характерных закономерностей — например процессов или файлов с заданными именами;
- исследование трафика ПК с помощью сниффера — данный метод очень эффективен для отлова спам-ботов, почтовых и сетевых червей, однако основная сложность в применении сниффера связана с тем, что современная ЛВС строится на базе коммутаторов и, как следствие, администратор не может осуществлять мониторинг трафика всей сети. Проблема решается двумя путями: запуском сниффера на маршрутизаторе (что позволяет осуществлять мониторинг обмена данными ПК с Интернетом) и применением мониторинговых функций коммутаторов (многие современные коммутаторы позволяют назначить порт мониторинга, на который дублируется трафик одного или нескольких портов коммутатора, указанных администратором);
- исследование нагрузки на сеть — в данном случае очень удобно применять интеллектуальные коммутаторы, которые позволяют не только оценивать нагрузку, но и удаленно отключать указанные администратором порты. Данная операция существенно упрощается при наличии у администратора карты сети, на которой имеются данные о том, какие ПК подключены к соответствующим портам коммутатора и где они расположены;
- применение ловушек (honeypot) — в локальной сети настоятельно рекомендуется создать несколько ловушек, которые позволят администратору своевременно обнаружить эпидемию.
Автоматический анализ ПК можно свести к трем основным этапам:
- проведение полного исследования ПК — запущенные процессы, загруженные библиотеки и драйверы, автозапуск;
- проведение оперативного обследования — например поиск характерных процессов или файлов;
- карантин объектов по определенным критериям.
Все перечисленные задачи можно решить при помощи авторской утилиты AVZ, которая рассчитана на запуск из сетевой папки на сервере и поддерживает скриптовый язык для автоматического обследования ПК. Для запуска AVZ на компьютерах пользователей необходимо:
- Поместить AVZ в открытую для чтения сетевую папку на сервере.
- Создать в этой папке подкаталоги LOG и Qurantine и разрешить пользователям запись в них.
- Запустить AVZ на компьютерах ЛВС при помощи утилиты rexec или логон-скрипта.
Запуск AVZ на шаге 3 должен производиться при таких параметрах:
\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt
Рис. 1. Редактор скриптов AVZ
Рассмотрим три типовых скрипта, которые могут пригодиться в ходе борьбы с эпидемией. Во-первых, нам потребуется скрипт для исследования ПК. Задача скрипта — произвести исследование системы и создать протокол с результатами в заданной сетевой папке. Скрипт имеет следующий вид:
// Включение сторожевого таймера на 10 минут
// Запуск сканирования и анализа
//Завершение работы AVZ
В ходе выполнения данного скрипта в папке LOG (предполагается, что она создана в каталоге AVZ на сервере и доступна пользователям для записи) будут создаваться HTML-файлы с результатами исследования компьютеров сети, причем для обеспечения уникальности в имя протокола включается имя исследуемого компьютера. В начале скрипта располагается команда включения сторожевого таймера, который принудительно завершит процеcc AVZ через 10 минут в случае, если в ходе выполнения скрипта возникнут сбои.
Протокол AVZ удобен для изучения вручную, однако для автоматизированного анализа он мало пригоден. Кроме того, администратору часто известно имя файла вредоносной программы и требуется только проверить наличие или отсутствие данного файла, а при наличии — поместить в карантин для анализа. В этом случае можно применить скрипт следующего вида:
// Включение сторожевого таймера на 10 минут
// Поиск вредоносной программы по имени
QuarantineFile(‘%WinDir%\smss.exe’, ‘Подозрение на LdPinch.gen’);
QuarantineFile(‘%WinDir%\csrss.exe’, ‘Подозрение на LdPinch.gen’);
//Завершение работы AVZ
В этом скрипте задействуется функция QuarantineFile, которая совершает попытку карантина указанных файлов. Администратору остается только проанализировать содержимое карантина (папка Quarantine\сетевое_имя_ПК\дата_каратина\) на наличие помещенных в карантин файлов. Следует учесть, что функция QuarantineFile автоматически блокирует помещение в карантин файлов, опознанных по базе безопасных AVZ или по базе ЭЦП Microsoft. Для практического применения данный скрипт можно усовершенствовать — организовать загрузку имен файлов из внешнего текстового файла, проверять найденные файлы по базам AVZ и формировать текстовый протокол с результатами работы:
// Поиск файла с указанным именем
function CheckByName(Fname : string) : boolean;
if Result then begin
case CheckFile(FName) of
-1 : S := ‘, доступ к файлу блокируется’;
1 : S := ‘, опознан как Malware (‘+GetLastCheckTxt+’)’;
2 : S := ‘, подозревается файловым сканером (‘+GetLastCheckTxt+’)’;
3 : exit; // Безопасные файлы игнорируем
AddToLog(‘Файл ‘+NormalFileName(FName)+’ имеет подозрительное имя’+S);
//Добавление указанного файла в карантин
SuspNames : TStringList; // Список имен подозрительных файлов
// Проверка файлов по обновляемой базе данных
if FileExists(GetAVZDirectory + ‘files.db’) then begin
AddToLog(‘База имен загружена - количество записей = ‘+inttostr(SuspNames.Count));
for i := 0 to SuspNames.Count - 1 do
AddToLog(‘Ошибка загрузки списка имен файлов’);
Для работы данного скрипта необходимо создать в папке AVZ доступные пользователям для записи каталоги Quarantine и LOG, а также текстовый файл files.db — каждая строка данного файла будет содержать имя подозрительного файла. Имена файлов могут включать макросы, наиболее полезные из которых — %WinDir% (путь к папке Windows) и %SystemRoot% (путь к папке System32). Другим направлением анализа может стать автоматическое исследование списка процессов, запущенных на компьютерах пользователей. Информация о запущенных процессах есть в протоколе исследования системы, но для автоматического анализа удобнее применять следующий фрагмент скрипта:
// Обновление списка процессов
AddToLog(‘Количество процессов = ‘+IntToStr(GetProcessCount));
// Цикл анализа полученного списка
for i := 0 to GetProcessCount - 1 do begin
S1 := S1 + ‘,’ + ExtractFileName(GetProcessName(i));
// Поиск процесса по имени
if pos(‘trojan.exe’, LowerCase(GetProcessName(i))) > 0 then
S := S + GetProcessName(i)+’,’;
AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);
AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);
В завершение рассмотрим последний из полезных скриптов анализа — скрипт автоматического карантина всех файлов, которые не опознаются по базе безопасных AVZ и по базе ЭЦП Microsoft:
Автоматический карантин изучает запущенные процессы и загруженные библиотеки, службы и драйверы, около 45 способов автозапуска, модули расширения браузера и проводника, обработчики SPI/LSP, задания планировщика, обработчики системы печати и т.п. Особенностью карантина является то, что файлы в него добавляются с контролем повторов, поэтому функцию автокарантина можно вызывать многократно.
Достоинство автоматического карантина заключается в том, что с его помощью администратор может оперативно собрать потенциально подозрительные файлы со всех компьютеров сети для их изучения. Простейшей (но весьма эффективной на практике) формой изучения файлов может быть проверка полученного карантина несколькими популярными антивирусами в режиме максимальной эвристики. Следует отметить, что одновременный запуск автокарантина на нескольких сотнях компьютеров может создать высокую нагрузку на сеть и на файловый сервер.
Исследование трафика можно проводить тремя способами:
- вручную при помощи снифферов;
- в полуавтоматическом режиме — в данном случае сниффер собирает информацию, и затем его протоколы обрабатываются либо вручную, либо некоторым ПО;
- автоматически при помощи систем обнаружения вторжений (IDS) типа Snort (http://www.snort.org/) либо их программных или аппаратных аналогов. В простейшем случае IDS состоит из сниффера и системы, анализирующей собираемую сниффером информацию.
Система обнаружения вторжений является оптимальным средством, так как позволяет создавать наборы правил для обнаружения аномалии в сетевой активности. Второе ее преимущество состоит в следующем: большинство современных IDS позволяют размещать агенты мониторинга трафика на нескольких узлах сети — агенты собирают информацию и передают ее. В случае же применения сниффера очень удобно пользоваться консольным UNIX-сниффером tcpdump. Например, для мониторинга активности по порту 25 (протокол SMTP) достаточно запустить сниффер с командной строкой вида:
tcpdump -i em0 -l tcp port 25 > smtp_log.txt
В данном случае ведется захват пакетов через интерфейс em0; информация о захваченных пакетах будет сохраняться в файле smtp_log.txt. Протокол сравнительно просто анализировать вручную, в данном примере анализ активности по порту 25 позволяет вычислить ПК с активными спам-ботами.
В качестве ловушки (Honeypot) можно использовать устаревший компьютер, производительность которого не позволяет применять его для решения производственных задач. Например, в сети автора в качестве ловушки успешно применяется Pentium Pro c 64 Мбайт оперативной памяти. На этот ПК следует установить наиболее распространенную в ЛВС операционную систему и выбрать одну из стратегий:
- Установить операционную систему без пакетов обновлений — она будет индикатором появления в сети активного сетевого червя, эксплуатирующего любую из известных уязвимостей для данной операционной системы;
- установить операционную систему с обновлениями, которые установлены на других ПК сети — Honeypot будет аналогом любой из рабочих станций.
Каждая из стратегий имеет как свои плюсы, так и минусы; автор в основном применяет вариант без обновлений. После создания Honeypot следует создать образ диска для быстрого восстановления системы после ее повреждения вредоносными программами. В качестве альтернативы образу диска можно использовать системы отката изменений типа ShadowUser и его аналогов. Построив Honeypot, следует учесть, что ряд сетевых червей ищут заражаемые компьютеры путем сканирования диапазона IP, отсчитываемого от IP-адреса зараженного ПК (распространенные типовые стратегии — X.X.X.*, X.X.X+1.*, X.X.X-1.*), — следовательно, в идеале Honeypot должен быть в каждой из подсетей. В качестве дополнительных элементов подготовки следует обязательно открыть доступ к нескольким папкам на Honeypot-системе, причем в данные папки следует положить несколько файлов-образцов различного формата, минимальный набор — EXE, JPG, MP3.
Рис. 2. Создание и настройка предупреждения о сетевой активности
В качестве предупреждения удобнее всего использовать сообщения электронной почты, отправляемые на почтовый ящик администратора, — в этом случае можно получать оперативные оповещения от всех ловушек в сети. Кроме того, если сниффер позволяет создавать несколько предупреждений, есть смысл дифференцировать сетевую активность, выделив работу с электронной почтой, FTP/HTTP, TFTP, Telnet, MS Net, повышенный трафик более 20-30 пакетов в секунду по любому протоколу (рис. 3).
Рис. 3. Письмо-оповещение, высылаемое
в случае обнаружения пакетов, соответствующих заданным критериям
При организации ловушки неплохо разместить на ней несколько применяемых в сети уязвимых сетевых служб или установить их эмулятор. Простейшим (и бесплатным) является авторская утилита APS, работающая без инсталляции. Принцип работы APS сводится к прослушиванию множества описанных в ее базе портов TCP и UDP и выдаче в момент подключения заранее заданного или случайно генерируемого отклика (рис. 4).
Рис. 4. Главное окно утилиты APS
Дистанционное удаление вредоносных программ
В идеальном случае после обнаружения образцов вредоносных программ администратор отправляет их в антивирусную лабораторию, где они оперативно изучаются аналитиками и в базы антивируса вносятся соответствующие сигнатуры. Эти сигнатуры через автоматическое обновление попадают на ПК пользователей, и антивирус производит автоматическое удаление вредоносных программ без вмешательства администратора. Однако эта цепочка не всегда работает как положено, в частности возможны следующие причины сбоя:
- по ряду независимых от администратора сети причин образы могут не дойти до антивирусной лаборатории;
- недостаточная оперативность антивирусной лаборатории — в идеале на изучение образцов и их внесение в базы уходит не более 1-2 часов, то есть в пределах рабочего дня можно получить обновленные сигнатурные базы. Однако не все антивирусные лаборатории работают столь оперативно, и обновления можно ждать несколько дней (в редких случаях — даже недель);
- высокая работоспособность антивируса — ряд вредоносных программ после активации уничтожают антивирусы или всячески нарушают их работу. Классические примеры — внесение в файл hosts записей, блокирующих нормальную работу системы автообновления антивируса, удаление процессов, службы и драйверов антивирусов, повреждение их настроек и т.п.
Следовательно, в перечисленных ситуациях придется бороться с вредоносными программами вручную. В большинстве случаев это несложно, так как по результатам исследования компьютеров известны зараженные ПК, а также полные имена файлов вредоносных программ. Остается только произвести их дистанционное удаление. Если вредоносная программа не защищается от удаления, то уничтожить ее можно скриптом AVZ следующего вида:
// Эвристическая чистка системы
Данный скрипт удаляет один заданный файл (или несколько файлов, так как команд DeleteFile в скрипте может быть неограниченное количество) и затем производит автоматическую чистку реестра. В более сложном случае вредоносная программа может защищаться от удаления (например, пересоздавая свои файлы и ключи реестра) или маскироваться по руткит-технологии. В этом случае скрипт усложняется и будет иметь следующий вид:
// Включение протоколирования BootCleaner
// Импорт в задание BootCleaner списка файлов, удаленных скриптом
Читайте также: