Сканирование на уязвимости: как проверить устройство и обезопасить себя от потенциальных угроз. Сетевые сканеры безопасности: возможности, принцип работы и передовые решения Самые свежие данные об угрозах

Как вы можете убедиться, что было их достаточно и все они очень опасны для подверженных им систем. Важно не только вовремя обновлять систему чтобы защититься от новых уязвимостей но и быть уверенным в том, что ваша система не содержит уже давно устраненных уязвимостей, которые могут использовать хакеры.

Здесь на помощь приходят сканеры уязвимостей Linux. Инструменты анализа уязвимостей - это один из самых важных компонентов системы безопасности каждой компании. Проверка приложений и систем на наличие старых уязвимостей - обязательная практика. В этой статье мы рассмотрим лучшие сканеры уязвимостей, с открытым исходным кодом, которые вы можете использовать для обнаружения уязвимостей в своих системах и программах. Все они полностью свободны и могут использоваться как обычными пользователями, так и в корпоративном секторе.

OpenVAS или Open Vulnerability Assessment System - это полноценная платформа для поиска уязвимостей, которая распространяется с открытым исходным кодом. Программа основана на исходном коде сканера Nessus. Изначально этот сканер распространялся с открытым исходным кодом, но потом разработчики решили закрыть код, и тогда, в 2005 году, на основе открытой версии Nessus был создан OpenVAS.

Программа состоит из серверной и клиентской части. Сервер, который выполняет основную работу по сканированию систем запускается только в Linux, а клиентские программы поддерживают в том числе Windows, к серверу можно получить доступ через веб-интерфейс.

Ядро сканера более 36000 различных проверок на уязвимости и каждый день обновляется с добавлением новых, недавно обнаруженных. Программа может обнаруживать уязвимости в запущенных сервисах, а также искать неверные настройки, например, отсутствие аутентификации или очень слабые пароли.

2. Nexpose Community Edition

Это еще один инструмент поиска уязвимостей linux с открытым исходным кодом, разрабатываемый компанией Rapid7, это та же самая компания, которая выпустила Metasploit. Сканер позволяет обнаруживать до 68000 известных уязвимостей, а также выполнять более 160000 сетевых проверок.

Версия Comunity полностью свободна, но она имеет ограничение, на одновременное сканирование до 32 IP адресов и только одного пользователя. Также лицензию нужно обновлять каждый год. Здесь нет сканирования веб-приложений, но зато поддерживается автоматическое обновление базы уязвимостей и получение информации об уязвимостях от Microsoft Patch.

Программу можно установить не только в Linux, но и в Windows, а управление выполняется через веб-интерфейс. С помощью него вы можете задать параметры сканирования, ip адреса и прочую необходимую информацию.

После завершения проверки вы увидите список уязвимостей, а также информацию об установленном программном обеспечении и операционной системе на сервере. Можно также создавать и экспортировать отчеты.

3. Burp Suite Free Edition

Burp Suite - это сканер веб-уязвимостей, написанный на Java. Программа состоит из прокси-сервера, паука, инструмента для генерации запросов и выполнения стресс тестов.

С помощью Burp вы можете выполнять проверку веб-приложений. Например, с помощью прокси сервера можно перехватывать и просматривать весть проходящий трафик, а также модифицировать его при необходимости. Это позволит смоделировать многие ситуации. Паук поможет найти веб-уязвимости, а инструмент генерации запросов - стойкость веб-сервера.

4. Arachni

Arachni - это полнофункциональный фреймворк для тестирования веб-приложений, написанный на Ruby, который распространяется с открытым исходным кодом. Он позволяет оценить безопасность веб-приложений и сайтов, выполняя различные тесты на проникновение.

Программа поддерживает выполнение сканирования с аутентификацией, настройкой заголовков, поддержкой подмены Aser-Agent, поддержка определения 404. Кроме того, у программы есть веб-интерфейс и интерфейс командной строки, сканирование можно приостановить, а затем снова проложить и в целом, все работает очень быстро.

5. OWASP Zed Attack Proxy (ZAP)

OWASP Zed Attack Proxy - еще один комплексный инструмент для поиска уязвимостей в веб-приложениях. Поддерживаются все, стандартные для такого типа программ возможности. Вы можете сканировать порты, проверять структуру сайта, искать множество известных уязвимостей, проверять корректность обработки повторных запросов или некорректных данных.

Программа может работать по https, а также поддерживает различные прокси. Поскольку программа написана на Java, ее очень просто установить и использовать. Кроме основных возможностей, есть большое количество плагинов, позволяющих очень сильно увеличить функциональность.

6. Clair

Clair - это инструмент поиска уязвимостей linux в контейнерах. Программа содержит список уязвимостей, которые могут быть опасны для контейнеров и предупреждает пользователя, если были обнаружены такие уязвимости в вашей системе. Также программа может отправлять уведомления, если появляться новые уязвимости, которые могут сделать контейнеры небезопасными.

Каждый контейнер проверяется один раз и для его проверки нет необходимости его запускать. Программа может извлечь все необходимые данные из выключенного контейнера. Эти данные сохраняются в кэш, чтобы иметь возможность уведомлять об уязвимостях в будущих.

7. Powerfuzzer

Powerfuzzer - это полнофункциональный, автоматизированный и очень настраиваемый веб-сканер, позволяющий проверить реакцию веб-приложения на некорректные данные и повторные запросы. Инструмент поддерживает только протокол HTTP и может обнаруживать такие уязвимости, как XSS, SQL инъекции, LDAP, CRLF и XPATH атаки. Также поддерживается отслеживание ошибок 500, которые могут свидетельствовать о неверной настройке или даже опасности, например, переполнении буфера.

8. Nmap

Nmap - это не совсем сканер уязвимостей для Linux. Эта программа позволяет просканировать сеть и узнать какие узлы к ней подключены, а также определить какие сервисы на них запущенны. Это не дает исчерпывающей информации про уязвимости, зато вы можете предположить какое из программного обеспечения может быть уязвимым, попытаться перебрать слабые пароли. Также есть возможность выполнять специальные скрипты, которые позволяют определить некоторые уязвимости в определенном программном обеспечении.

Выводы

В этой статье мы рассмотрели лучшие сканеры уязвимостей linux, они позволяют вам держать свою систему и приложения в полной безопасности. Мы рассмотрели программы, которые позволяют сканировать как саму операционную систему или же веб-приложения и сайты.

На завершение вы можете посмотреть видео о том что такое сканеры уязвимостей и зачем они нужны:

ОБЗОР И СРАВНЕНИЕ СКАНЕРОВ УЯЗВИМОСТЕЙ

Рожкова Екатерина Олеговна

студент 4 курса, кафедра судовой автоматики и измерений СПбГМТУ, РФ, г. Санкт-Петербург

E - mail : rina 1242. ro @ gmail . com

Ильин Иван Валерьевич

студент 4 курса, кафедра безопасных информационных технологий

СПб НИУ ИТМО, РФ, г. Санкт-Петербург

E - mail : vanilin . va @ gmail . com

Галушин Сергей Яковлевич

научный руководитель, канд. техн. наук, зам.проректора по научной работе, РФ, г. Санкт-Петербург

Для высокого уровня безопасности необходимо применять не только межсетевые экраны, но и периодически проводить мероприятия по обнаружению уязвимостей, например, при помощи сканеров уязвимости. Своевременное выявление слабых мест в системе позволит предотвратить несанкционированный доступ и манипуляции с данными. Но какой вариант сканера наиболее подходит нуждам конкретной системы? Чтобы ответить на этот вопрос, прежде всего, необходимо определиться с изъянами в системе безопасности компьютера или сети . Согласно статистике, большинство атак происходит через известные и опубликованные «лазейки» безопасности, которые могут быть не ликвидированы по многим причинам, будь то нехватка времени, персонала или некомпетентность системного администратора. Также следует понимать, что обычно в систему недоброжелатель может проникнуть несколькими способами, и если один из способов не сработает, нарушитель всегда может опробовать другой. Для обеспечения максимального уровня безопасности системы требуется тщательный анализ рисков и дальнейшее составление четкой модели угроз, чтобы точнее предугадать возможные действия гипотетического преступника.

В качестве наиболее распространенных уязвимостей можно назвать переполнение буфера, возможные ошибки в конфигурации маршрутизатора или межсетевого экрана, уязвимости Web-сервера, почтовых серверов, DNS-серверов, баз данных . Кроме этого, не стоит обходить вниманием одну из самых тонких областей информационной безопасности - управление пользователями и файлами, поскольку обеспечение уровня доступа пользователя с минимальными привилегиями - специфичная задача, требующая компромисса между удобством работы пользователя и обеспечением защиты системы. Необходимо упомянуть проблему пустых или слабых паролей, стандартных учетных записей и проблему общей утечки информации.

Сканер безопасности - это программное средство для удаленной или локальной диагностики различных элементов сети на предмет выявления в них различных уязвимостей; они позволяют значительно сократить время работы специалистов и облегчить поиск уязвимостей .

Обзор сканеров безопасности

В данной работе рассматривались сканеры, имеющие бесплатную триал-версию, позволяющую использовать программное обеспечение для ознакомления с ограниченным списком его возможностей и оценкой степени простоты интерфейса. В качестве предметов обзора выбраны следующие популярные сканеры уязвимостей: Nessus, GFI LANguard, Retina, Shadow security scaner, Internet Scanner.

Nessus

Nessus - программа для автоматического поиска известных изъянов в защите информационных систем. Она способна обнаружить наиболее часто встречающиеся виды уязвимостей, например наличие уязвимых версий служб или доменов, ошибки в конфигурации (отсутствие необходимости авторизации на SMTP-сервере), наличие паролей по умолчанию, пустых или слабых паролей.

Сканер Nessusявляется мощным и надежным средством, которое относится к семейству сетевых сканеров, позволяющих осуществлять поиск уязвимостей в сетевых сервисах, предлагаемых операционными системами, межсетевыми экранами, фильтрующими маршрутизаторами и другими сетевыми компонентами. Для поиска уязвимостей используются как стандартные средства тестирования и сбора информации о конфигурации и функционировании сети, так и специальные средства, эмулирующие действия злоумышленника по проникновению в системы, подключенные к сети.

В программе существует возможность подключения собственных проверочных процедур или шаблонов. Для этого в сканере предусмотрен специальный язык сценариев, названный NASL (Nessus Attack Scripting Language). База уязвимостей постоянно полнеет и обновляется. Зарегистрированные пользователи сразу же получают все обновления, тогда как остальные (триал-версии и т. д.) с некоторой задержкой.

GFI LanGuard

GFI LanGuard Network Security Scanner (N.S.S) - это отмеченное наградой решение, использующее для защиты три основных компонента: сканер безопасности, управление внесением исправлений и сетевой контроль с помощью одной объединенной консоли. Просматривая всю сеть, он определяет все возможные проблемы безопасности и, используя свои обширные функциональные возможности по созданию отчетов, предоставляет средства, необходимые для обнаружения, оценки, описания и устранения любых угроз.

В процессе проверки безопасности производится более 15 000 оценок уязвимости, а сети проверяются по каждому IP-адресу. GFI LanGuard N.S.S. предоставляет возможность выполнения многоплатформенного сканирования (Windows, Mac OS, Linux) по всем средам и анализирует состояние сети по каждому источнику данных. Это обеспечивает возможность идентификации и устранения любых угроз прежде, чем хакеры добьются своего.

GFI LanGuard N.S.S. поставляется с полной и исчерпывающей базой данных оценки уязвимостей, включающей такие стандарты как OVAL (более 2 000 значений) и SANS Top 20. Эта база данных регулярно обновляется информацией от BugTraq, SANS Corporation, OVAL, CVE и др. Благодаря системе автоматического обновления GFI LanGuard N.S.S. всегда содержит новейшую информацию об обновлениях Microsoft в области защиты, а также информацию от GFI и других информационных хранилищ, таких как база данных OVAL.

GFI LanGuard N.S.S. сканирует компьютеры, определяет и классифицирует уязвимости, рекомендует действия и предоставляет средства, позволяющие устранить возникшие проблемы. GFI LANguard N.S.S. также использует графический индикатор уровня угрозы, который обеспечивает интуитивную, взвешенную оценку состояния уязвимости проверенного компьютера или группы компьютеров. При возможности предоставляется ссылка или дополнительная информация по определенному вопросу, например идентификатор в BugTraq ID или в базе знаний Microsoft.

GFI LanGuard N.S.S. позволяет легко создавать собственные схемы проверки уязвимости с помощью мастера. С помощью машины сценариев VBScript можно также писать сложные схемы проверки уязвимости для GFI LanGuard N.S.S. GFI LanGuard N.S.S. включает редактор сценариев и отладчик.

Retina

Retina Network Security Scanner, сканер уязвимостей сети комппании BeyondTrust, выявляет известные уязвимости сети и осуществляет приоритезацию угроз для их последующего устранения. В процессе использования программного продукта происходит определение всех компьютеров, устройств, ОС, приложений и беспроводных сетей.

Пользователи также могут использовать Retina для оценки рисков информационной безопасности, управления рисками проектов и выполнения требований стандартов с помощью аудитов согласно политике предприятия. Данный сканер не запускает код уязвимости, поэтому сканирование не приводит к потере работоспособности сети и анализируемых систем. С использованием фирменной технологи Adaptive Speed на сканирование локальной сети класса С потребуется около 15 минут, этому способствует Adaptive Speed - технология скоростного безопасного сканирования сети. Кроме того, гибкие возможности по настройке области сканирования позволяют системному администратору анализировать безопасность всей сети или заданного сегмента, не влияя на работу соседних. Происходит автоматическое обновление локальных копий базы, поэтому анализ сети всегда производится на основе наиболее актуальных данных. Уровень ложных срабатываний составляет менее 1 %, существует гибкий контроль доступа к системному реестру.

Shadow security scaner (SSS )

Данный сканер может использоваться для надежного обнаружения как известных, так и не известных (на момент выпуска новой версии продукта) уязвимостей. При сканировании системы SSS анализирует данные, в том числе, на предмет уязвимых мест, указывает возможные ошибки в конфигурации сервера. Помимо этого, сканер предлагает возможные пути решения этих проблем и исправления уязвимостей в системе.

В качестве технологии «лазеек» в системе используется ядро собственной разработки компании-производителя Shadow Security Scanner. Можно отметить, что работая по ОС Windows, SSS будет производить сканирование серверов вне зависимости от их платформы. Примерами платформ могут служить Unix-платформы (Linux, FreeBSD, OpenBSD, Net BSD, Solaris), Windows-платформы (95/98/ME/NT/2000/XP/.NET/Win 7 и 8). Shadow Security Scanner спсобен также определять ошибки в оборудовании CISCO, HP и других. Данный сканер создан отечественными разработчиками, и соответственно, имеет русский интерфейс, а также документацию и линию горячей поддержки на нем.

Internet Scanner

Данный сканер обеспечивает автоматизированное обнаружение и анализ уязвимостей в корпоративной сети. В числе возможностей сканера - реализация ряда проверок для последующей идентификации уязвимостей сетевых сервисов, ОС, маршрутизаторов, почтовых и web-серверов, межсетевых экранов и прикладного ПО. Internet Scanner может обнаружить и идентифицировать более 1450 уязвимостей, к которым могут быть отнесены некорректная конфигурация сетевого оборудования, устаревшее программное обеспечение, неиспользуемые сетевые сервисы, «слабые» пароли и т. д. . Предусмотрена возможность проверок FTP, LDAP и SNMP-протоколов, проверок электронной почты, проверки RPC, NFS, NIS и DNS, проверок возможности осуществления атак типа «отказ в обслуживании», «подбор пароля», проверок Web-серверов, CGI-скриптов, Web-браузеров и X-терминалов. Кроме того, существует возможность проверки межсетевых экранов, proxy-серверов, сервисов удаленного доступа, файловой системы, подсистемы безопасности и подсистемы аудита, системного реестра и установленных обновлений ОС Windows и т. д. Internet Scanner позволяет анализировать наличие какой-то одной уязвимости на заданном участке сети, например проверку установки конкретного патча операционной системы. Internet Scanner может работать на сервере Windows NT, также поддерживает ОС AIX, HP-UX, Linux и Solaris.

Прежде чем выбрать критерии сравнения, следует подчеркнуть, что критерии должны охватывать все аспекты использования сканеров безопасности: начиная от методов сбора информации и заканчивая стоимостью . Использование сканера безопасности начинается с планирования развёртывания и самого развёртывания. Поэтому первая группа критериев касается архитектуры сканеров безопасности, взаимодействия их компонентов, инсталляции, управления. Следующая группа критериев - сканирование - должна охватить методы, используемые сравниваемыми сканерами для выполнения перечисленных действий, а также другие параметры, связанные с указанными этапами работы программного продукта. Также к важным критериям относятся результаты сканирования, в частности, как они хранятся, какие могут быть сформированы отчёты на их основе. Следующие критерии, на которых следовало бы заострить внимание, это критерии обновления и поддержки, которые позволяют выяснить такие вопросы, как методы и способы обновления, уровень технической поддержки, наличие авторизованного обучения и т. д. Последняя группа включает в себя единственный, но весьма важный критерий - стоимость.

· Поддерживаемые системы;

· Дружественность интерфейса;

· Возможности сканирования (профили сканирования);

· Возможность настройки профилей (насколько гибко);

· Идентификация сервисов и приложений;

· Идентификация уязвимостей;

· Генерация отчета (форматы);

· Возможность генерации произвольного отчета (свои);

· Частота обновления;

· Техническая поддержка.

В работе были рассмотрены 5 сканеров уязвимостей, которые были подвергнуты сравнению по выделенным критериям.

По эффективности лидером был выбран сканер Nessus, так как он обладает наиболее полным спектром возможностей для проведения анализа защищенности компьютерной системы. Однако он относительно дорогой по сравнению с остальными сканерами: при небольшом количестве IP адресов разумней выбрать GFI LanGuard или SSS.

Список литературы:

1. Долгин А.А., Хорев П.Б., Разработка сканера уязвимостей компьютерных систем на основе защищенных версий ОС Windows, Труды международной научно-технической конференции «Информационные средства и технологии», 2005.
2. Информационный портал о безопасности [Электронный ресурс] - Режим доступа. - URL: http://www.securitylab.ru/ (дата обращения 27.03.15).
3. Онлайн-журнал Softkey.info [Электронный ресурс] - Режим доступа. - URL: http://www.softkey.info/ (дата обращения 27.03.15).
4. Официальный сайт «GFI Software». [Электронный ресурс] - Режим доступа. - URL: http://www.gfi.ru/ (дата обращения 27.03.15).
5. Официальный сайт «Beyond trust». [Электронный ресурс] - Режим доступа. - URL: http://www.beyondtrust.com/Products/RetinaNetworkSecurityScanner/ (дата обращения 27.03.15).
6. Официальный сайт IBM [Электронный ресурс] - Режим доступа. - URL: http://www.ibm.com/ (дата обращения 27.03.15).
7. Официальный сайт Tenable Network Security [Электронный ресурс] - Режим доступа. - URL: http://www.tenable.com/products/nessus-vulnerability-scanner/ (дата обращения 27.03.15).
8. Официальный сайт «safety-lab.». [Электронный ресурс] - Режим доступа. - URL: http://www.safety-lab.com/ (дата обращения 27.03.15).
9. Решения IBM для обеспечения информационной безопасности [Электронный ресурс] - Режим доступа. - URL: http://www.ibm.com/ru/services/iss/pdf/ISS_2009_DB_s10.pdf (дата обращения 27.03.15).
10. Хорев П.Б., Методы и средства защиты информации в компьютерных системах, М., Издательский центр «Академия», 2005.

Настало время познакомиться с еще одним видом программного обеспечения, предназначенного для защиты от интернет-угроз. Сканеры уязвимости – это комплексные решения, которые могут представлять собой как аппаратные, так и программные средства, предназначеные для постоянного сканирования состояния корпоративной сети, на предмет действия вирусов или подозрительных процессов. Их основной задачей является оценка безопасности процессов и поиск уязвимостей и их устранение.

Vulnerability scanner или сканер уязвимости, дает администратору возможность поиска существующих в сети «дыр» или «бэкдоров», с помощью которых, хакеры и мошенники могут получить доступ к сети компании и конфиденциальным данным. Кроме этого, в состав сканеров входят средства для сканирования запущенных служб и процессоров, а также сканеры портов.

Исходя из этого, можно выделить такие функции сканеров уязвимостей:

• Поиск уязвимостей и их анализ.
• Проверка всех ресурсов в сети, устройства, операционная система, порты, приложения, процессы и т.д.
• Создание отчетов, в которых указывается уязвимость, путь ее распространения и характер.

Как работают сканеры уязвимостей?

В основе сканера лежат два механизма. Первый механизм называется – зондирование . Это не слишком быстрый, но наиболее эффективный инструмент активного анализа. Суть его состоит в том, что он сам запускает атаки, и следит за тем, где эти атаки могут пройти. Во время зондирования, подтверждаются возможные догадки и возможности прохождения атак на определенных направлениях.

Другой механизм – сканирование . В этом случае инструмент работает быстро, но производится только поверхностный анализ сети, по самым частым и возможным «дырам» в безопасности сети. Отличие второго способа в том, что он не подтверждает наличие уязвимости, а только уведомляет администратора о ее возможности, основываясь на косвенных признаках. Например, происходит сканирование портов, определяются их заголовки и затем они сравниваются с эталонными таблицами и правилами. В случае расхождения значений, сканер уведомляет о нахождении потенциальной уязвимости, которые администратор должен проверить более надежными способами.

Основные принципы работы сканеров уязвимостей

Сбор всей информации в сети, идентификация всех служб, устройств и процессов.

Поиск потенциальных уязвимостей

Использование специализированных методов и моделирование атак, для подтверждения уязвимости (существует не во всех сетевых сканерах)

Подборка лучших сканеров уязвимостей

Nessus. Довольно давно, еще с 1998 года, компания Tenable Network Security , начала заниматься разработкой своего сканера уязвимостей, благодаря чему имеет большой опыт и далеко впереди в своей сфере. Многие годы их сканер является коммерческим ПО. Ключевой особенностью сканера Nessus, является возможность расширять функционал с помощью плагинов. Таким образом, мощные тесты, такие как тесты на проникновение или другие, не устанавливаются вместе с главным модулем, а при необходимости подключаются отдельно. Все плагины можно разделить на 42 категории. Это означает, что, например, для проведения пинтеста (теста на проникновение), не обязательно запускать полную проверку, а можно выделить только тесты из определенной категории или выбрать тесты вручную. Кроме этого, Nessus имеет свой специальный скриптовый язык, так что, администраторы могут сами писать необходимые им тесты.

Symantec Security Check. Главными функциями данного сканера является поиск червей, троянов, вирусов, а также сканирование локальной сети, для обнаружения заражений. Данный продукт устанавливается без затруднений, и имеет основной центр управления в браузере. В состав решения входят два модуля: SecurityScan и VirusDetection. Первый - занимается сканирование сети, второй - сканирует и проверяет устройство на наличие вирусов Некоторые специалисты советуют использовать решение от Symantec, для дополнительной проверки.

Xspider. Как заявляется разработчик, их решение способно выявить треть всех возможных уязвимостей, называемых «zero day». Основным преимуществом данного сканера, является возможность выявления максимального числа «дыр» в системе безопасности, до того, как их смогут обнаружить хакеры. Данный сканер не требует дополнительного программного обеспечения. После проведения анализа, он формирует полный отчет с найденными уязвимостями и возможными способами их устранения.

Rapid 7 NeXpose. Rapid 7, по статистике – самая быстрорастущая компания за последнее время. Совершенно недавно, компания купила проект Metaspoilt Fremawork, которая создала такой популярный сейчас NeXpose. Для использования коммерческой версии продукта понадобится выложить не малую сумму за лицензию, но существует и более доступная Community версия, у которой более скудный функционал. Продукт легко интегрируется с Metaspoilt. Схема работы данного решения не простая, для начала требуется запуск NeXpose, после этого консоль управления Metaspoilt, и только после этого, можно начинать сканирование, которое при всем этом, настраивается не через панель управления, а с помощью специальных команд. Особенностью является возможность запускать различные модули Metaspoilt с NeXpose.

Проблема эпидемии сетевых червей актуальна для любой локальной сети. Рано или поздно может возникнуть ситуация, когда в ЛВС проникает сетевой или почтовый червь, который не детектируется применяемым антивирусом. Сетевой вирус распространяется по ЛВС через не закрытые на момент заражения уязвимости операционной системы или через доступные для записи общие ресурсы. Почтовый вирус, как следует из названия, распространяется по электронной почте при условии, что он не блокируется клиентским антивирусом и антивирусом на почтовом сервере. Кроме того, эпидемия в ЛВС может быть организована изнутри в результате деятельности инсайдера. В данной статье мы рассмотрим практические методики оперативного анализа компьютеров ЛВС с применением различных средств, в частности с помощью авторской утилиты AVZ.

Постановка задачи

В случае обнаружения эпидемии или некой нештатной активности в сети администратор должен оперативно решить минимум три задачи:

• обнаружить зараженные ПК в сети;
• найти образцы вредоносной программы для отправки в антивирусную лабораторию и выработки стратегии противодействия;
• принять меры для блокирования распространения вируса в ЛВС и его уничтожения на зараженных компьютерах.

В случае деятельности инсайдера основные шаги анализа идентичны и чаще всего сводятся к необходимости обнаружения установленного инсайдером постороннего ПО на компьютерах ЛВС. В качестве примера такого ПО можно назвать утилиты удаленного администрирования, клавиатурные шпионы и различные троянские закладки.

Рассмотрим более подробно решение каждой из поставленных задач.

Поиск зараженных ПК

Для поиска зараженных ПК в сети можно применять как минимум три методики:

• автоматический удаленный анализ ПК - получение информации о запущенных процессах, загруженных библиотеках и драйверах, поиск характерных закономерностей - например процессов или файлов с заданными именами;
• исследование трафика ПК с помощью сниффера - данный метод очень эффективен для отлова спам-ботов, почтовых и сетевых червей, однако основная сложность в применении сниффера связана с тем, что современная ЛВС строится на базе коммутаторов и, как следствие, администратор не может осуществлять мониторинг трафика всей сети. Проблема решается двумя путями: запуском сниффера на маршрутизаторе (что позволяет осуществлять мониторинг обмена данными ПК с Интернетом) и применением мониторинговых функций коммутаторов (многие современные коммутаторы позволяют назначить порт мониторинга, на который дублируется трафик одного или нескольких портов коммутатора, указанных администратором);
• исследование нагрузки на сеть - в данном случае очень удобно применять интеллектуальные коммутаторы, которые позволяют не только оценивать нагрузку, но и удаленно отключать указанные администратором порты. Данная операция существенно упрощается при наличии у администратора карты сети, на которой имеются данные о том, какие ПК подключены к соответствующим портам коммутатора и где они расположены;
• применение ловушек (honeypot) - в локальной сети настоятельно рекомендуется создать несколько ловушек, которые позволят администратору своевременно обнаружить эпидемию.

Автоматический анализ ПК в сети

Автоматический анализ ПК можно свести к трем основным этапам:

• проведение полного исследования ПК - запущенные процессы, загруженные библиотеки и драйверы, автозапуск;
• проведение оперативного обследования - например поиск характерных процессов или файлов;
• карантин объектов по определенным критериям.

Все перечисленные задачи можно решить при помощи авторской утилиты AVZ, которая рассчитана на запуск из сетевой папки на сервере и поддерживает скриптовый язык для автоматического обследования ПК. Для запуска AVZ на компьютерах пользователей необходимо:

1. Поместить AVZ в открытую для чтения сетевую папку на сервере.
2. Создать в этой папке подкаталоги LOG и Qurantine и разрешить пользователям запись в них.
3. Запустить AVZ на компьютерах ЛВС при помощи утилиты rexec или логон-скрипта.

Запуск AVZ на шаге 3 должен производиться при таких параметрах:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

В данном случае параметр Priority=-1 понижает приоритет процесса AVZ, параметры nw=Y и nq=Y переключают карантин в режим «сетевой запуск» (в этом случае в папке карантина для каждого компьютера создается подкаталог, имя которого совпадает с сетевым именем ПК), HiddenMode=2 предписывает запретить пользователю доступ к GUI и управлению AVZ, и, наконец, самый важный параметр Script задает полное имя скрипта с командами, которые AVZ выполнит на компьютере пользователя. Скриптовый язык AVZ достаточно прост для использования и ориентирован исключительно на решение задач обследования компьютера и его лечения. Для упрощения процесса написания скриптов можно использовать специализированный редактор скриптов, который содержит оперативную подсказку, мастер создания типовых скриптов и средства проверки корректности написанного скрипта без его запуска (рис. 1).

Рис. 1. Редактор скриптов AVZ

Рассмотрим три типовых скрипта, которые могут пригодиться в ходе борьбы с эпидемией. Во-первых, нам потребуется скрипт для исследования ПК. Задача скрипта - произвести исследование системы и создать протокол с результатами в заданной сетевой папке. Скрипт имеет следующий вид:

ActivateWatchDog(60 * 10);

// Запуск сканирования и анализа

// Исследование системы

ExecuteSysCheck(GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//Завершение работы AVZ

В ходе выполнения данного скрипта в папке LOG (предполагается, что она создана в каталоге AVZ на сервере и доступна пользователям для записи) будут создаваться HTML-файлы с результатами исследования компьютеров сети, причем для обеспечения уникальности в имя протокола включается имя исследуемого компьютера. В начале скрипта располагается команда включения сторожевого таймера, который принудительно завершит процеcc AVZ через 10 минут в случае, если в ходе выполнения скрипта возникнут сбои.

Протокол AVZ удобен для изучения вручную, однако для автоматизированного анализа он мало пригоден. Кроме того, администратору часто известно имя файла вредоносной программы и требуется только проверить наличие или отсутствие данного файла, а при наличии - поместить в карантин для анализа. В этом случае можно применить скрипт следующего вида:

// Включение сторожевого таймера на 10 минут

ActivateWatchDog(60 * 10);

// Поиск вредоносной программы по имени

QuarantineFile(‘%WinDir%\smss.exe’, ‘Подозрение на LdPinch.gen’);

QuarantineFile(‘%WinDir%\csrss.exe’, ‘Подозрение на LdPinch.gen’);

//Завершение работы AVZ

В этом скрипте задействуется функция QuarantineFile, которая совершает попытку карантина указанных файлов. Администратору остается только проанализировать содержимое карантина (папка Quarantine\сетевое_имя_ПК\дата_каратина\) на наличие помещенных в карантин файлов. Следует учесть, что функция QuarantineFile автоматически блокирует помещение в карантин файлов, опознанных по базе безопасных AVZ или по базе ЭЦП Microsoft. Для практического применения данный скрипт можно усовершенствовать - организовать загрузку имен файлов из внешнего текстового файла, проверять найденные файлы по базам AVZ и формировать текстовый протокол с результатами работы:

// Поиск файла с указанным именем

function CheckByName(Fname: string) : boolean;

Result:= FileExists(FName) ;

if Result then begin

case CheckFile(FName) of

1: S:= ‘, доступ к файлу блокируется’;

1: S:= ‘, опознан как Malware (‘+GetLastCheckTxt+’)’;

2: S:= ‘, подозревается файловым сканером (‘+GetLastCheckTxt+’)’;

3: exit; // Безопасные файлы игнорируем

AddToLog(‘Файл ‘+NormalFileName(FName)+’ имеет подозрительное имя’+S);

//Добавление указанного файла в карантин

QuarantineFile(FName,’подозрительный файл’+S);

SuspNames: TStringList; // Список имен подозрительных файлов

// Проверка файлов по обновляемой базе данных

if FileExists(GetAVZDirectory + ‘files.db’) then begin

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile(‘files.db’);

AddToLog(‘База имен загружена - количество записей = ‘+inttostr(SuspNames.Count));

// Цикл поиска

for i:= 0 to SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog(‘Ошибка загрузки списка имен файлов’);

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+’_files.txt’);

Для работы данного скрипта необходимо создать в папке AVZ доступные пользователям для записи каталоги Quarantine и LOG, а также текстовый файл files.db - каждая строка данного файла будет содержать имя подозрительного файла. Имена файлов могут включать макросы, наиболее полезные из которых - %WinDir% (путь к папке Windows) и %SystemRoot% (путь к папке System32). Другим направлением анализа может стать автоматическое исследование списка процессов, запущенных на компьютерах пользователей. Информация о запущенных процессах есть в протоколе исследования системы, но для автоматического анализа удобнее применять следующий фрагмент скрипта:

procedure ScanProcess;

S:= ‘’; S1:= ‘’;

// Обновление списка процессов

RefreshProcessList;

AddToLog(‘Количество процессов = ‘+IntToStr(GetProcessCount));

// Цикл анализа полученного списка

for i:= 0 to GetProcessCount - 1 do begin

S1:= S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// Поиск процесса по имени

if pos(‘trojan.exe’, LowerCase(GetProcessName(i))) > 0 then

S:= S + GetProcessName(i)+’,’;

if S <> ‘’ then

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

Исследование процессов в данном скрипте выполнено в виде отдельной процедуры ScanProcess, поэтому ее несложно поместить в собственный скрипт. Процедура ScanProcess строит два списка процессов: полный список процессов (для последующего анализа) и список процессов, которые, с точки зрения администратора, считаются опасными. В данном случае для демонстрации в качестве опасного рассматривается процесс с именем ‘trojan.exe’. Информация об опасных процессах добавляется в текстовый файл _alarm.txt, данные обо всех процессах - в файл _all_process.txt. Легко заметить, что можно усложнить скрипт, добавив в него, к примеру, проверку файлов процессов по базе безопасных файлов или проверку имен исполняемых файлов процессов по внешней базе. Подобная процедура применяется в скриптах AVZ, используемых в «Смоленскэнерго»: администратор периодически изучает собранную информацию и модифицирует скрипт, добавляя в него имя процессов запрещенных по политике безопасности программ, например ICQ и MailRu.Agent, что позволяет оперативно проверить наличие запрещенного ПО на изучаемых ПК. Другое применение списка процессов - поиск ПК, на которых отсутствует обязательный процесс, например антивирус.

В завершение рассмотрим последний из полезных скриптов анализа - скрипт автоматического карантина всех файлов, которые не опознаются по базе безопасных AVZ и по базе ЭЦП Microsoft:

// Выполнение автокарантина

ExecuteAutoQuarantine;

Автоматический карантин изучает запущенные процессы и загруженные библиотеки, службы и драйверы, около 45 способов автозапуска, модули расширения браузера и проводника, обработчики SPI/LSP, задания планировщика, обработчики системы печати и т.п. Особенностью карантина является то, что файлы в него добавляются с контролем повторов, поэтому функцию автокарантина можно вызывать многократно.

Достоинство автоматического карантина заключается в том, что с его помощью администратор может оперативно собрать потенциально подозрительные файлы со всех компьютеров сети для их изучения. Простейшей (но весьма эффективной на практике) формой изучения файлов может быть проверка полученного карантина несколькими популярными антивирусами в режиме максимальной эвристики. Следует отметить, что одновременный запуск автокарантина на нескольких сотнях компьютеров может создать высокую нагрузку на сеть и на файловый сервер.

Исследование трафика

Исследование трафика можно проводить тремя способами:

• вручную при помощи снифферов;
• в полуавтоматическом режиме - в данном случае сниффер собирает информацию, и затем его протоколы обрабатываются либо вручную, либо некоторым ПО;
• автоматически при помощи систем обнаружения вторжений (IDS) типа Snort (http://www.snort.org/) либо их программных или аппаратных аналогов. В простейшем случае IDS состоит из сниффера и системы, анализирующей собираемую сниффером информацию.

Система обнаружения вторжений является оптимальным средством, так как позволяет создавать наборы правил для обнаружения аномалии в сетевой активности. Второе ее преимущество состоит в следующем: большинство современных IDS позволяют размещать агенты мониторинга трафика на нескольких узлах сети - агенты собирают информацию и передают ее. В случае же применения сниффера очень удобно пользоваться консольным UNIX-сниффером tcpdump. Например, для мониторинга активности по порту 25 (протокол SMTP) достаточно запустить сниффер с командной строкой вида:

tcpdump -i em0 -l tcp port 25 > smtp_log.txt

В данном случае ведется захват пакетов через интерфейс em0; информация о захваченных пакетах будет сохраняться в файле smtp_log.txt. Протокол сравнительно просто анализировать вручную, в данном примере анализ активности по порту 25 позволяет вычислить ПК с активными спам-ботами.

Применение Honeypot

В качестве ловушки (Honeypot) можно использовать устаревший компьютер, производительность которого не позволяет применять его для решения производственных задач. Например, в сети автора в качестве ловушки успешно применяется Pentium Pro c 64 Мбайт оперативной памяти. На этот ПК следует установить наиболее распространенную в ЛВС операционную систему и выбрать одну из стратегий:

• Установить операционную систему без пакетов обновлений - она будет индикатором появления в сети активного сетевого червя, эксплуатирующего любую из известных уязвимостей для данной операционной системы;
• установить операционную систему с обновлениями, которые установлены на других ПК сети - Honeypot будет аналогом любой из рабочих станций.

Каждая из стратегий имеет как свои плюсы, так и минусы; автор в основном применяет вариант без обновлений. После создания Honeypot следует создать образ диска для быстрого восстановления системы после ее повреждения вредоносными программами. В качестве альтернативы образу диска можно использовать системы отката изменений типа ShadowUser и его аналогов. Построив Honeypot, следует учесть, что ряд сетевых червей ищут заражаемые компьютеры путем сканирования диапазона IP, отсчитываемого от IP-адреса зараженного ПК (распространенные типовые стратегии - X.X.X.*, X.X.X+1.*, X.X.X-1.*), - следовательно, в идеале Honeypot должен быть в каждой из подсетей. В качестве дополнительных элементов подготовки следует обязательно открыть доступ к нескольким папкам на Honeypot-системе, причем в данные папки следует положить несколько файлов-образцов различного формата, минимальный набор - EXE, JPG, MP3.

Естественно, что, создав Honeypot, администратор должен отслеживать его работу и реагировать на любые аномалии, обнаруженные на данном компьютере. В качестве средств регистрации изменений можно применять ревизоры, для регистрации сетевой активности можно использовать сниффер. Важным моментом является то, что у большинства снифферов предусмотрена возможность настройки отправки оповещения администратору в случае обнаружения заданной сетевой активности. Например, в сниффере CommView правило предполагает указание «формулы», описывающей сетевой пакет, или задание количественных критериев (отправка более заданного количества пакетов или байт в секунду, отправка пакетов на неопознанные IP- или MAC-адреса) - рис. 2.

Рис. 2. Создание и настройка предупреждения о сетевой активности

В качестве предупреждения удобнее всего использовать сообщения электронной почты, отправляемые на почтовый ящик администратора, - в этом случае можно получать оперативные оповещения от всех ловушек в сети. Кроме того, если сниффер позволяет создавать несколько предупреждений, есть смысл дифференцировать сетевую активность, выделив работу с электронной почтой, FTP/HTTP, TFTP, Telnet, MS Net, повышенный трафик более 20-30 пакетов в секунду по любому протоколу (рис. 3).

Рис. 3. Письмо-оповещение, высылаемое
в случае обнаружения пакетов, соответствующих заданным критериям

При организации ловушки неплохо разместить на ней несколько применяемых в сети уязвимых сетевых служб или установить их эмулятор. Простейшим (и бесплатным) является авторская утилита APS, работающая без инсталляции. Принцип работы APS сводится к прослушиванию множества описанных в ее базе портов TCP и UDP и выдаче в момент подключения заранее заданного или случайно генерируемого отклика (рис. 4).

Рис. 4. Главное окно утилиты APS

На рисунке приведен скриншот, снятый во время реального срабатывания APS в ЛВС «Смоленскэнерго». Как видно на рисунке, зафиксирована попытка подключения одного из клиентских компьютеров по порту 21. Анализ протоколов показал, что попытки периодические, фиксируются несколькими ловушками в сети, что позволяет сделать вывод о сканировании сети с целью поиска и взлома FTP-серверов путем подбора паролей. APS ведет протоколы и может отправлять администраторам сообщения с отчетами о зарегистрированных подключениях к контролируемым портам, что удобно для оперативного обнаружения сканирования сети.

При создании Honeypot полезно также ознакомиться с онлайн-ресурсами по данной теме, в частности с сайтом http://www.honeynet.org/. В разделе Tools данного сайта (http://www.honeynet.org/tools/index.html) можно найти ряд инструментов для регистрации и анализа атак.

Дистанционное удаление вредоносных программ

В идеальном случае после обнаружения образцов вредоносных программ администратор отправляет их в антивирусную лабораторию, где они оперативно изучаются аналитиками и в базы антивируса вносятся соответствующие сигнатуры. Эти сигнатуры через автоматическое обновление попадают на ПК пользователей, и антивирус производит автоматическое удаление вредоносных программ без вмешательства администратора. Однако эта цепочка не всегда работает как положено, в частности возможны следующие причины сбоя:

• по ряду независимых от администратора сети причин образы могут не дойти до антивирусной лаборатории;
• недостаточная оперативность антивирусной лаборатории - в идеале на изучение образцов и их внесение в базы уходит не более 1-2 часов, то есть в пределах рабочего дня можно получить обновленные сигнатурные базы. Однако не все антивирусные лаборатории работают столь оперативно, и обновления можно ждать несколько дней (в редких случаях - даже недель);
• высокая работоспособность антивируса - ряд вредоносных программ после активации уничтожают антивирусы или всячески нарушают их работу. Классические примеры - внесение в файл hosts записей, блокирующих нормальную работу системы автообновления антивируса, удаление процессов, службы и драйверов антивирусов, повреждение их настроек и т.п.

Следовательно, в перечисленных ситуациях придется бороться с вредоносными программами вручную. В большинстве случаев это несложно, так как по результатам исследования компьютеров известны зараженные ПК, а также полные имена файлов вредоносных программ. Остается только произвести их дистанционное удаление. Если вредоносная программа не защищается от удаления, то уничтожить ее можно скриптом AVZ следующего вида:

// Удаление файла

DeleteFile(‘имя файла’);

ExecuteSysClean;

Данный скрипт удаляет один заданный файл (или несколько файлов, так как команд DeleteFile в скрипте может быть неограниченное количество) и затем производит автоматическую чистку реестра. В более сложном случае вредоносная программа может защищаться от удаления (например, пересоздавая свои файлы и ключи реестра) или маскироваться по руткит-технологии. В этом случае скрипт усложняется и будет иметь следующий вид:

// Антируткит

SearchRootkit(true, true);

// Управление AVZGuard

SetAVZGuardStatus(true);

// Удаление файла

DeleteFile(‘имя файла’);

// Включение протоколирования BootCleaner

BC_LogFile(GetAVZDirectory + ‘boot_clr.log’);

// Импорт в задание BootCleaner списка файлов, удаленных скриптом

BC_ImportDeletedList;

// Активация BootCleaner

// Эвристическая чистка системы

ExecuteSysClean;

RebootWindows(true);

Данный скрипт включает активное противодействие руткитам, применение системы AVZGuard (это блокиратор активности вредоносных программ) и системы BootCleaner. BootCleaner - это драйвер, выполняющий удаление заданных объектов из KernelMode в ходе перезагрузки, на ранней стадии загрузки системы. Практика показывает, что подобный скрипт в состоянии уничтожить подавляющее большинство существующих вредоносных программ. Исключение составляют malware, меняющие имена своих исполняемых файлов при каждой перезагрузке, - в данном случае обнаруженные в ходе исследования системы файлы могут быть переименованы. В этом случае потребуется лечение компьютера вручную или создание собственных сигнатур вредоносной программы (пример реализующего сигнатурный поиск скрипта описан в справке AVZ).

Заключение

В данной статье мы рассмотрели некоторые практические методики борьбы с эпидемией ЛВС вручную, без использования антивирусных продуктов. Большинство описанных методик также могут применяться для поиска постороннего ПК и троянских закладок на компьютерах пользователей. При возникновении затруднений с поиском вредоносных программ или созданием скриптов лечения администратор может воспользоваться разделом «Помогите» форума http://virusinfo.info или разделом «Борьба с вирусами» форума http://forum.kaspersky.com/index.php?showforum=18. Изучение протоколов и помощь в лечении осуществляются на обоих форумах бесплатно, анализ ПК ведется по протоколам AVZ, и в большинстве случаев лечение сводится к выполнению на зараженных ПК скрипта AVZ, составленного опытными специалистами данных форумов.