Tytuł oryginału: The Practice of Network Security Monitoringpdf.helion.pl/wykreg/wykreg.pdf · 8...

Tytu oryginau: The Practice of Network Security Monitoring: Understanding Incident Detection and Response

Tumaczenie: Grzegorz Pawowski

ISBN: 978-83-246-8799-2

Original edition Copyright 2013 by Richard Bejtlich.All rights reserved.

Published by arrangement with No Starch Press, Inc.

Polish edition copyright 2014 by Helion SA.All rights reserved.

All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from the Publisher.

Wszelkie prawa zastrzeone. Nieautoryzowane rozpowszechnianie caoci lub fragmentu niniejszej publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metod kserograficzn, fotograficzn, a take kopiowanie ksiki na noniku filmowym, magnetycznym lub innym powoduje naruszenie praw autorskich niniejszej publikacji.

Wszystkie znaki wystpujce w tekcie s zastrzeonymi znakami firmowymi bd towarowymi ich wacicieli.

Autor oraz Wydawnictwo HELION dooyli wszelkich stara, by zawarte w tej ksice informacje byy kompletne i rzetelne. Nie bierze jednak adnej odpowiedzialnoci ani za ich wykorzystanie, ani za zwizane z tym ewentualne naruszenie praw patentowych lub autorskich. Wydawnictwo HELION nie ponosi rwnie adnej odpowiedzialnoci za ewentualne szkody wynike z wykorzystania informacji zawartych w ksice.

Wydawnictwo HELIONul. Kociuszki 1c, 44-100 GLIWICEtel. 32 231 22 19, 32 230 98 63e-mail: [email protected]: http://helion.pl (ksigarnia internetowa, katalog ksiek)

Drogi Czytelniku!Jeeli chcesz oceni t ksik, zajrzyj pod adres http://helion.pl/user/opinie/wykregMoesz tam wpisa swoje uwagi, spostrzeenia, recenzj.

Printed in Poland.

Kup ksik Pole ksik Oce ksik

Ksigarnia internetowa Lubi to! Nasza spoeczno

http://helion.pl/rt/wykreghttp://helion.pl/rf/wykreghttp://helion.pl/ro/wykreghttp://helion.plhttp://ebookpoint.pl/r/4CAKF

Spis treci

O AUTORZE ............................................................................................... 1

SOWO WSTPNE ..................................................................................... 15

PRZEDMOWA ........................................................................................... 21Czytelnicy ...............................................................................................................................23Wymagania wstpne ..............................................................................................................23Uwagi dotyczce oprogramowania i protokow ..................................................................24Zakres tematyczny ksiki .....................................................................................................25Podzikowania .......................................................................................................................26Owiadczenie .........................................................................................................................27

Cz I Wprowadzenie1UZASADNIENIE MONITOROWANIA BEZPIECZESTWA SIECI ................ 31

Wprowadzenie do NSM ........................................................................................................32Czy NSM zapobiega wamaniom? ......................................................................................33Jaka jest rnica midzy NSM a cigym monitorowaniem (CM)? .........................................34Jak NSM wyglda w porwnaniu z innymi podejciami? ....................................................38Dlaczego NSM dziaa? ........................................................................................................39Jak system NSM jest skonfigurowany? ...............................................................................40Kiedy NSM nie dziaa? ........................................................................................................42Czy stosowanie NSM-u jest legalne? ..................................................................................42W jaki sposb mona chroni prywatno uytkownikw

w czasie wykonywania operacji systemu NSM? ..............................................................44Przykadowy test systemu NSM ............................................................................................44Zakres danych systemu NSM .................................................................................................46

Pene dane ..........................................................................................................................46Dane wyodrbnione ..........................................................................................................48Dane sesji ...........................................................................................................................51

Kup ksik Pole ksik

http:/helion.pl/rt/wykreghttp:/helion.pl/rf/wykreg

6 S p i s t r e c i

Dane transakcji .................................................................................................................. 52Dane statystyczne .............................................................................................................. 54Metadane ........................................................................................................................... 56Dane alertw ..................................................................................................................... 59

Jaki jest sens zbierania tych wszystkich danych? .................................................................... 60Wady systemu NSM .............................................................................................................. 62Gdzie mog kupi system NSM? ........................................................................................... 62Gdzie mog uzyska wsparcie i dodatkowe informacje? ....................................................... 63Podsumowanie ...................................................................................................................... 63

2ZBIERANIE ZAWARTOCI RUCHU SIECIOWEGO:DOSTP, PRZECHOWYWANIE I ZARZDZANIE ..................................... 65

Przykadowa sie dla pilotaowego systemu NSM .................................................................. 66Przepyw ruchu w prostej sieci ......................................................................................... 67Moliwe miejsca uycia platformy NSM ............................................................................ 71

Adresy IP i NAT .................................................................................................................... 71Bloki adresw sieci ............................................................................................................ 72Przypisania adresw IP ...................................................................................................... 73Translacja adresw ............................................................................................................ 74

Wybieranie najlepszego miejsca do uzyskania widocznoci sieci .......................................... 78Miejsce obserwacji ruchu dotyczcego sieci DMZ ............................................................ 78Miejsca obserwacji ruchu dotyczcego sieci bezprzewodowej i sieci wewntrznej ......... 79

Uzyskiwanie fizycznego dostpu do ruchu sieciowego ......................................................... 81Uycie przecznikw do monitorowania ruchu sieciowego ............................................ 81Wykorzystanie TAPa sieciowego ..................................................................................... 82Przechwytywanie ruchu bezporednio w systemie klienta lub serwera ........................... 83

Wybr platformy NSM .......................................................................................................... 83Dziesi zalece dotyczcych zarzdzania platform NSM ................................................... 85Podsumowanie ...................................................................................................................... 86

Cz II Wdroenie pakietu Security Onion3WDROENIE I INSTALACJA AUTONOMICZNEJ PLATFORMY NSM ......... 91

Platforma autonomiczna czy serwer plus sensory? ............................................................... 92Wybr sposobu instalacji kodu SO ........................................................................................ 95Instalowanie systemu autonomicznego ................................................................................. 96

Instalowanie systemu SO na twardym dysku .................................................................... 96Konfigurowanie oprogramowania SO ............................................................................. 101Wybr interfejsu zarzdzania .......................................................................................... 103Instalacja skadnikw oprogramowania NSM .................................................................. 104Sprawdzenie instalacji ...................................................................................................... 108

Podsumowanie .................................................................................................................... 112

Kup ksik Pole ksik


S p i s t r e c i 7

4WDROENIE ROZPROSZONE ................................................................. 113

Instalowanie serwera SO z wykorzystaniem pliku .iso projektu SO ....................................114Uwagi dotyczce serwera SO ..........................................................................................114Tworzenie wasnego serwera SO ....................................................................................115Konfigurowanie wasnego serwera SO ............................................................................117

Instalowanie sensora SO z wykorzystaniem obrazu .iso systemu SO ..................................119Konfigurowanie sensora SO .............................................................................................119Dokoczenie procesu konfiguracji ...................................................................................121Upewnienie si, e sensory dziaaj .................................................................................123Sprawdzenie, czy tunel autossh dziaa .............................................................................123

Tworzenie serwera SO z wykorzystaniem archiww PPA .................................................124Instalacja Ubuntu Server jako systemu operacyjnego serwera SO ......................................125Wybr statycznego adresu IP ..........................................................................................127Aktualizacja oprogramowania ..........................................................................................128Rozpoczcie konfiguracji systemu baz danych MySQL i pakietw PPA na serwerze SO ....128Konfiguracja wasnego serwera SO z wykorzystaniem PPA ............................................130

Tworzenie sensora SO z wykorzystaniem archiww PPA ..................................................132Instalacja Ubuntu Server jako systemu operacyjnego sensora SO .....................................132Konfigurowanie systemu jako sensora .............................................................................134Uruchomienie kreatora ustawie ....................................................................................135

Podsumowanie .....................................................................................................................138

5ZARZDZANIE PLATFORM SO ........................................................... 141

Aktualizowanie systemu SO .................................................................................................141Przeprowadzanie aktualizacji z wykorzystaniem interfejsu GUI ......................................142Wykonywanie aktualizacji z wiersza polece ...................................................................143

Ograniczanie dostpu do systemu SO .................................................................................144czenie si przez serwer proxy obsugujcy protok SOCKS ......................................145Zmiana regu zapory sieciowej .........................................................................................147

Zarzdzanie przechowywaniem danych systemu SO ..........................................................148Zarzdzanie pamici masow sensora ...........................................................................149Sprawdzanie wielkoci pamici dyskowej zuytej przez bazy danych .............................150Zarzdzanie baz danych aplikacji Sguil ............................................................................151ledzenie zuycia pamici dyskowej ................................................................................151

Podsumowanie .....................................................................................................................152

Kup ksik Pole ksik


8 S p i s t r e c i

Cz III Narzdzia6NARZDZIA DO ANALIZY PAKIETW PRACUJCEW TRYBIE WIERSZA POLECE ............................................................... 155

Kategorie narzdzi SO ......................................................................................................... 156Prezentacja danych .......................................................................................................... 156Narzdzia SO do zbierania danych .................................................................................. 157Narzdzia SO dostarczajce dane ................................................................................... 157

Uywanie programu Tcpdump ............................................................................................ 158Wywietlanie, zapisywanie i odczytywanie zawartoci ruchu

za pomoc programu Tcpdump ................................................................................... 159Uycie filtrw w programie Tcpdump ............................................................................ 161Wydobywanie szczegowych informacji z danych wyjciowych programu Tcpdump ..... 164Badanie penych danych za pomoc programu Tcpdump ............................................... 164

Uywanie narzdzi Dumpcap i Tshark ................................................................................ 165Uruchamianie narzdzia Tshark ...................................................................................... 166Uruchamianie narzdzia Dumpcap ................................................................................. 166Zastosowanie narzdzia Tshark do odczytania ladu ruchu sieciowego

utworzonego przez program Dumpcap ...................................................................... 168Uycie filtrw wywietlania w programie Tshark ........................................................... 169Filtry wywietlania programu Tshark w dziaaniu ........................................................... 171

Uywanie narzdzia Argus i klienta Ra ................................................................................ 172Zatrzymywanie i uruchamianie serwera Argus ............................................................... 173Format pliku w aplikacji Argus ......................................................................................... 173Badanie danych aplikacji Argus ........................................................................................ 174

Podsumowanie .................................................................................................................... 178

7GRAFICZNE NARZDZIA DO ANALIZY PAKIETW ............................. 179

Uywanie aplikacji Wireshark .............................................................................................. 179Uruchamianie programu Wireshark ................................................................................ 180Przegldanie przechwyconych pakietw w programie Wireshark ................................. 181Modyfikowanie ukadu wywietlania danych w programie Wireshark ............................ 182Niektre uyteczne funkcje programu Wireshark .......................................................... 185

Korzystanie z narzdzia Xplico ........................................................................................... 192Uruchamianie Xplico ....................................................................................................... 193Tworzenie przypadkw i sesji w aplikacji Xplico ............................................................ 194Przetwarzanie ruchu sieciowego ..................................................................................... 195Interpretacja zdekodowanego ruchu ............................................................................... 195Wywietlanie metadanych i podsumowania ruchu .......................................................... 198

Badanie zawartoci ruchu za pomoc narzdzia NetworkMiner ........................................ 200Uruchamianie narzdzia NetworkMiner ......................................................................... 200Zbieranie i organizacja szczegw dotyczcych ruchu sieciowego ................................ 201Prezentacja treci ............................................................................................................ 202

Podsumowanie .................................................................................................................... 204

Kup ksik Pole ksik


S p i s t r e c i 9

8KONSOLE NSM ....................................................................................... 205

Rzut oka na ruch sieciowy z perspektywy systemu NSM ....................................................206Uywanie konsoli Sguil .........................................................................................................207

Uruchamianie aplikacji Sguil .............................................................................................208Sze kluczowych funkcji aplikacji Sguil ............................................................................210

Uywanie aplikacji Squert ....................................................................................................221Snorby ..................................................................................................................................223ELSA .....................................................................................................................................227Podsumowanie .....................................................................................................................231

Cz IV NSM w akcji9OPERACJE NSM ...................................................................................... 235

Cykl zapewniania bezpieczestwa w przedsibiorstwie ......................................................236Faza planowania ...............................................................................................................237Faza odpierania ................................................................................................................237Fazy wykrywania i reagowania .........................................................................................238

Zbieranie danych, analiza, eskalacja i rozwizanie ...............................................................238Zbieranie danych ..............................................................................................................239Analiza ..............................................................................................................................244Eskalacja ...........................................................................................................................247Rozwizanie .....................................................................................................................250

Naprawa ...............................................................................................................................254Uywanie metodologii NSM do poprawy bezpieczestwa .............................................255Tworzenie zespou CIRT .................................................................................................256

Podsumowanie .....................................................................................................................259

10NARUSZENIE BEZPIECZESTWA PO STRONIE SERWERA ..................... 261

Charakterystyka naruszenia bezpieczestwa po stronie serwera .......................................262Naruszenie bezpieczestwa po stronie serwera w akcji .....................................................263

Rozpoczcie pracy od uruchomienia konsoli Sguil ...........................................................264Kwerenda danych sesji przy uyciu konsoli Sguil .............................................................265Powrt do danych alertw ..............................................................................................269Przegldanie penych danych za pomoc programu Tshark ............................................271Wyjanienie dziaania furtki ..............................................................................................273Co zrobi wamywacz? .....................................................................................................274Co jeszcze zrobi wamywacz? .........................................................................................278

Eksploracja danych sesji .......................................................................................................280Przeszukiwanie dziennikw DNS aplikacji Bro ................................................................280Przeszukiwanie dziennikw SSH aplikacji Bro .................................................................282Przeszukiwanie dziennikw FTP aplikacji Bro .................................................................283

Kup ksik Pole ksik


10 S p i s t r e c i

Dekodowanie kradziey wraliwych danych ................................................................... 285Wyodrbnianie skradzionego archiwum ......................................................................... 286

Retrospekcja ........................................................................................................................ 287Podsumowanie pierwszego etapu ................................................................................... 287Podsumowanie drugiego etapu ....................................................................................... 288Kolejne kroki ................................................................................................................... 288

Podsumowanie .................................................................................................................... 289

11NARUSZENIE BEZPIECZESTWA PO STRONIE KLIENTA ..................... 291

Definicja naruszenia bezpieczestwa po stronie klienta ...................................................... 292Naruszenie bezpieczestwa po stronie klienta w akcji ....................................................... 294

Otrzymanie zgoszenia incydentu od uytkownika ......................................................... 295Rozpoczcie analizy przy uyciu narzdzia ELSA ............................................................ 295Szukanie brakujcego ruchu ............................................................................................ 300

Analiza zawartoci pliku dns.log aplikacji Bro ...................................................................... 302Sprawdzanie portw docelowych ....................................................................................... 304Zbadanie kanau dowodzenia i kontroli ............................................................................... 307

Pocztkowy dostp ......................................................................................................... 308Uruchomienie lepszej powoki ........................................................................................ 313Podsumowanie pierwszego etapu ................................................................................... 314Przeniesienie ataku na drugi komputer ........................................................................... 314Instalacja ukrytego tunelu ................................................................................................ 316Zebranie informacji o ofierze .......................................................................................... 317Podsumowanie drugiego etapu ....................................................................................... 318

Podsumowanie .................................................................................................................... 319

12ROZSZERZANIE SYSTEMU SECURITY ONION ....................................... 321

Uycie aplikacji Bro do ledzenia plikw wykonywalnych .................................................. 322Obliczanie przez Bro skrtw pobranych plikw wykonywalnych ................................ 322Sprawdzenie skrtu w serwisie VirusTotal ..................................................................... 323

Wykorzystywanie aplikacji Bro do wyodrbniania binariw z ruchu sieciowego ............... 324Skonfigurowanie aplikacji Bro do wyodrbniania binariw z ruchu sieciowego ............. 325Zbieranie ruchu do testowania aplikacji Bro ................................................................... 326Testowanie aplikacji Bro pod wzgldem wyodrbniania binariw z ruchu HTTP .......... 328Badanie pliku binarnego wyodrbnionego z ruchu HTTP ............................................... 330Testowanie aplikacji Bro pod wzgldem wyodrbniania binariw z ruchu FTP ............. 331Badanie pliku binarnego wyodrbnionego z ruchu FTP .................................................. 332Sprawdzenie skrtu i pliku binarnego w serwisie VirusTotal .......................................... 332Ponowne uruchomienie programu Bro ........................................................................... 334

Wykorzystanie danych analitycznych dotyczcych zagroenia APT1 .................................. 337Uywanie moduu APT1 ................................................................................................. 337Instalacja moduu APT1 ................................................................................................... 339Wygenerowanie ruchu potrzebnego do testowania moduu APT1 ................................... 340Testowanie moduu APT1 ............................................................................................... 341

Kup ksik Pole ksik


S p i s t r e c i 11

Informowanie o pobraniu zoliwych binariw ....................................................................343Korzystanie z repozytorium skrtw zoliwego

oprogramowania oferowanego przez Team Cymru ....................................................343Repozytorium MHR a system SO ....................................................................................345MHR i SO kontra pobranie zoliwego pliku ....................................................................346Identyfikacja programu binarnego ....................................................................................348

Podsumowanie .....................................................................................................................349

13SERWERY PROXY I SUMY KONTROLNE ................................................ 351

Serwery proxy ......................................................................................................................351Serwery proxy a widoczno ...........................................................................................352Radzenie sobie z serwerami proxy w sieciach produkcyjnych .........................................356

Sumy kontrolne ....................................................................................................................357Prawidowa suma kontrolna ............................................................................................357Nieprawidowa suma kontrolna .......................................................................................358Identyfikowanie prawidowych i nieprawidowych sum kontrolnych

za pomoc programu Tshark ........................................................................................358Dlaczego pojawiaj si nieprawidowe sumy kontrolne? .................................................361Aplikacja Bro a nieprawidowe sumy kontrolne ...............................................................362Ustawienie trybu ignorowania nieprawidowych sum kontrolnych w programie Bro .....363

Podsumowanie .....................................................................................................................366

ZAKOCZENIE ...................................................................................... 367Przetwarzanie w chmurze ...................................................................................................368

Wyzwania wynikajce z przetwarzania w chmurze .........................................................369Korzyci wynikajce z przetwarzania w chmurze ............................................................370

Przepyw pracy, metryki i wsppraca .................................................................................371Przepyw pracy a metryki ................................................................................................372Wsppraca ......................................................................................................................373

Podsumowanie .....................................................................................................................373

DodatekSKRYPTY I KONFIGURACJA SYSTEMU SO ............................................. 375

Skrypty sterujce systemu Security Onion ...........................................................................375/usr/sbin/nsm ....................................................................................................................377/usr/sbin/nsm_all_del ........................................................................................................377/usr/sbin/nsm_all_del_quick .............................................................................................378/usr/sbin/nsm_sensor .......................................................................................................379/usr/sbin/nsm_sensor_add ................................................................................................380/usr/sbin/nsm_sensor_backup-config ...............................................................................380/usr/sbin/nsm_sensor_backup-data ..................................................................................380/usr/sbin/nsm_sensor_clean .............................................................................................380/usr/sbin/nsm_sensor_clear ..............................................................................................380/usr/sbin/nsm_sensor_del .................................................................................................380/usr/sbin/nsm_sensor_edit ...............................................................................................381

Kup ksik Pole ksik


12 S p i s t r e c i

/usr/sbin/nsm_sensor_ps-daily-restart ............................................................................. 381/usr/sbin/nsm_sensor_ps-restart ..................................................................................... 381/usr/sbin/nsm_sensor_ps-start ......................................................................................... 383/usr/sbin/nsm_sensor_ps-status ....................................................................................... 384/usr/sbin/nsm_sensor_ps-stop ......................................................................................... 384/usr/sbin/nsm_server ....................................................................................................... 385/usr/sbin/nsm_server_add ............................................................................................... 385/usr/sbin/nsm_server_backup-config ............................................................................... 385/usr/sbin/nsm_server_backup-data .................................................................................. 385/usr/sbin/nsm_server_clear ............................................................................................. 385/usr/sbin/nsm_server_del ................................................................................................ 385/usr/sbin/nsm_server_edit ............................................................................................... 385/usr/sbin/nsm_server_ps-restart ...................................................................................... 385/usr/sbin/nsm_server_ps-start ......................................................................................... 386/usr/sbin/nsm_server_ps-status ....................................................................................... 386/usr/sbin/nsm_server_ps-stop ......................................................................................... 386/usr/sbin/nsm_server_sensor-add .................................................................................... 386/usr/sbin/nsm_server_sensor-del ..................................................................................... 386/usr/sbin/nsm_server_user-add ....................................................................................... 387

Pliki konfiguracyjne systemu Security Onion ....................................................................... 387/etc/nsm/ .......................................................................................................................... 387/etc/nsm/administration.conf ........................................................................................... 388/etc/nsm/ossec/ ................................................................................................................ 388/etc/nsm/pulledpork/ ....................................................................................................... 388/etc/nsm/rules/ ................................................................................................................. 388/etc/nsm/securityonion/ ................................................................................................... 389/etc/nsm/securityonion.conf ............................................................................................ 389/etc/nsm/sensortab .......................................................................................................... 391/etc/nsm/servertab ........................................................................................................... 392/etc/nsm/templates/ ......................................................................................................... 392/etc/nsm/$HOSTNAME-$INTERFACE/ .......................................................................... 392/etc/cron.d/ ...................................................................................................................... 396Bro ................................................................................................................................... 396CapMe ............................................................................................................................. 397ELSA ................................................................................................................................ 397Squert .............................................................................................................................. 397Snorby ............................................................................................................................. 397Syslog-ng .......................................................................................................................... 397/etc/network/interfaces ................................................................................................... 397

Aktualizacja systemu SO ...................................................................................................... 398Aktualizowanie dystrybucji systemu SO .......................................................................... 399Aktualizowanie systemu baz danych MySQL .................................................................. 399

SKOROWIDZ .......................................................................................... 401

Kup ksik Pole ksik


10Naruszenie

bezpieczestwapo stronie serwera

NADSZED MOMENT PRAWDY. TERAZ JESTE GOTOWY, ABY ZOBACZYNSM W DZIAANIU. W TYM ROZDZIALE ZAPRZGNIEMY TEORI,NARZDZIA I PROCES DO PRACY W PROSTYM SCENARIUSZU NARUSZE-

nia bezpieczestwa. Jak dotd zaimplementowae sensor z systememSO i zebrae pewn ilo danych NSM. Teraz planujesz przeprowadzenie

analizy dostpnego materiau ledczego.Ten rozdzia demonstruje naruszenie bezpieczestwa po stronie serwera

jedn z gwnych kategorii zoliwych dziaa w sieci, z ktrymi prawdopodob-nie si spotkasz. Nastpny rozdzia demonstruje naruszenie bezpieczestwa postronie klienta, ktre moe wystpowa nawet czciej ni wariant dotyczcyserwera. Rozpoczynamy od naruszenia bezpieczestwa po stronie serwera, ponie-wa jest ono atwiejsze do zrozumienia pod wzgldem koncepcyjnym.

Poniewa jest to ksika o systemie NSM, w rozdziaach 10. i 11. przypa-trzymy si wzorcom wamania dotyczcym dwch popularnych typw atakwskoncentrowanych wok sieci. Na przykad nie bdziemy analizowa przypadkupodczenia do laptopa napdu USB ze zoliwym oprogramowaniem czy odgad-nicia hasa przez nikczemnika dziaajcego wewntrz organizacji, majcego dostp

Kup ksik Pole ksik


262 Roz d z i a 1 0

do wewntrznego terminala komputera. Skupimy si natomiast na atakach poprzezsie. S to raczej ataki zdalne, a nie lokalne warianty wymagajce interakcji z sys-temem, ktry jest ju fizycznie lub wirtualnie dostpny dla wamywacza.

Charakterystyka naruszenia bezpieczestwapo stronie serwera

Naruszenie bezpieczestwa po stronie serwera dotyczy sytuacji, gdy wamy-wacz decyduje si na zaatakowanie aplikacji wystawionej na dostp z internetu.T aplikacj mogaby by usuga WWW, usuga protokou transferu plikw, bazadanych lub dowolne inne oprogramowanie nasuchujce ruch internetowy.Rysunek 10.1 pokazuje wzorzec ataku waciwy dla naruszenia bezpieczestwapo stronie serwera.

Rysunek 10.1. Wzorzec ataku waciwy dla naruszenia bezpieczestwa po stronieserwera

Wamywacz signie po dostp do aplikacji, aby si o niej wicej dowiedzie.To dziaanie bdce rekonesansem naley zakwalifikowa jako incydent katego-rii Cat 6, co zostao omwione w rozdziale 9. (patrz tabela 9.3). Jeli wamywaczprbuje wykorzysta luki bezpieczestwa w kodzie aplikacji, dziaanie to kwali-fikuje si jako incydent kategorii Cat 3. Jeli wamywaczowi udaje si sprawi,e aplikacja wykona jego zoliwe polecenie, atak si powid i doszo do wyko-rzystania luki bezpieczestwa. Zgodnie z podziaem na kategorie zakrelonymw tabeli 9.3 mamy teraz do czynienia z wamaniem klasy Cat 1. Kiedy wamywaczwykona zoliwy kod lub polecenia na komputerze ofiary, otwiera jeden lub wicej

Kup ksik Pole ksik


N a r u s ze n i e be z p i e c ze s twa po s t ron i e s e rwer a 263

kanaw komunikacyjnych, aby jeszcze bardziej wzmocni swoj kontrol nadsystemem. Taki kana nazywa si kanaem dowodzenia i kontroli (ang. command--and-control, C2). Ustanowienie kanau C2 kwalifikuje to dziaanie jako wamanieBreach 3.

Kiedy ju wamywacz ustanowi kana C2 czcy go z ofiar, moe wykonareszt swojego planu gry. By moe chce ukra informacje z systemu swejpierwszej ofiary. By moe chce przej z pierwszej ofiary na inny komputer lubaplikacj wewntrz przedsibiorstwa. A by moe chce przeskoczy przez tofiar i zaatakowa zupenie inn organizacj, wykorzystujc wieo zaatakowanofiar jako przeskok (ang. hop), czyli odskoczni.

Bez wzgldu na to, co wamywacz zdecyduje si zrobi w nastpnym kroku,celem zespou CIRT jest w tym momencie szybkie okrelenie zakresu wamaniai podjcie byskawicznych dziaa powstrzymujcych, aby zmniejszy ryzyko utratydanych, ich zmiany lub degradacji.

Naruszenie bezpieczestwapo stronie serwera w akcji

W ramach przykadu zaprezentowanego w tym rozdziale przeledzimy krok pokroku przypadek naruszenia bezpieczestwa po stronie serwera, majcy miej-sce, gdy wamywacz atakuje udostpnion w internecie usug na komputerzez lukami bezpieczestwa, ktry jest monitorowany przez autonomiczn platformNSM z uruchomionym systemem SO. Zbadamy, jak przykadowe wamaniewyglda w danych NSM, i postaramy si odkry, jak rozumie te dane.

Sieci, ktra jest celem ataku, jest nowy segment w sieci firmy Vivians Pets,jak pokazano na rysunku 10.2. Sie ta skada si z serwera (192.168.3.5), desk-topa (192.168.3.13) i pomocniczego sprztu sieciowego. Sensor NSM obserwujecze nadrzdne prowadzce do internetu za porednictwem TAPa sieciowego.Czonkowie zespou CIRT przedsibiorstwa utworzyli co, co byo, jak sdzili,odizolowan sieci testow z kilkoma komputerami, w celu poszerzenia swejwiedzy o bezpieczestwie. Niestety nie zapewnili systemom znajdujcym siw tym segmencie skutecznej ochrony. W trakcie prb nauczenia si czego wicejo bezpieczestwie komputerw mogli narazi firm na dodatkowe ryzyko.

W przedstawionej konfiguracji platforma NSM bdzie widzie ruch do i odsieci testowej. Dla zachowania prostoty przykadu skonfigurowaem sie tak, enie jest wymagane stosowanie techniki NAT. Kiedy obserwujesz interakcj siecitestowej z komputerami znajdujcymi si na zewntrz sieci firmy Vivians Pets,powiniene przyj, e translacja adresw nie ma miejsca. (W rzeczywistocibdziesz prawdopodobnie musia sobie radzi z pewnym stopniem zaciemnie-nia obrazu ze wzgldu na kwestie zwizane z technik NAT, ktre zostay opisanew rozdziale 2.).

Kup ksik Pole ksik


264 Roz d z i a 1 0

Rysunek 10.2. Podsie testowa sieci firmy Vivians Pets

Rozpoczcie pracy od uruchomienia konsoli SguilPraca zespou CIRT firmy Vivians Pets rozpoczyna si od odwiedzenia wasnejkonsoli Sguil, ktrej zesp uywa jako swojego podstawowego interfejsu do danychNSM. Pamitaj, e Sguil umoliwia analitykom badanie alertw przez ogldaniedanych sesji i penych danych, jak rwnie niektrych danych transakcji.

Pewnego dnia jeden z analitykw loguje si do konsoli Sguil platformy NSMpokazanej na rysunku 10.2 i widzi alerty pokazane na rysunku 10.3.

Domylnie konsola Sguil wywietla dane alertw. Pokazane tu alerty s wyge-nerowane gwnie przez pasywny system wykrywania zasobw PRADS (pozycjepoprzedzone oznaczeniem PADS) i motor IDS-u Snort (pozycje poprzedzone ozna-czeniem GPL lub ET).

Widzimy mnstwo zdarze PRADS ze rdowym adresem IP 203.0.113.10.Ten adres IP reprezentuje zdalnego intruza. (Blok adresw sieci 203.0.113.0/24jest zarezerwowany do celw dokumentacyjnych na mocy dokumentu RFC5735 razem z blokiem adresw sieci 198.151.100.0/24, z ktrym spotkalimy siw rozdziale 2.).

Zdarzenia, zaczynajc od identyfikatora 4.75 w polu Alert ID (identyfikatoralertu) i koczc na identyfikatorze 4.87, reprezentuj system PRADS zgaszajcyodkrycie nowych usug na dwch komputerach: 192.168.3.5 i 192.168.3.13,czyli dwch systemach w segmencie sieci testowej pokazanych na rysunku 10.2.

Kup ksik Pole ksik



Rysunek 10.3. Konsola Sguil wywietlajca alerty dotyczce sieci firmy Vivians Pets

Kiedy tylko PRADS dowiaduje si o usugach przez obserwowanie ich interak-cji z komputerami, generuje tego rodzaju alerty. W tym przypadku wynik jestuytecznym zestawieniem przynajmniej niektrych z usug, ktre jak siokazuje odkry zdalny intruz o adresie 203.0.113.10. Poczwszy od znacznikaczasu 2013-03-09 21:32:07 odpowiadajcego pierwszemu alertowi z wartoci203.0.113.10 w polu rdowego adresu IP, widzimy lad intruza reprezentowa-nego przez adres 203.0.113.10, ktry przeprowadzi sieciowy rekonesans przeciwkoprzynajmniej dwm komputerom znajdujcym si w sieci testowej.

A co z pozosta aktywnoci? Pierwszy alert ze rdowym adresem IP192.168.3.130 wyglda na komunikat systemu PRADS zgaszajcego odkrycieserwera DNS o adresie 192.168.3.1. To nic niezwykego. Alerty wystpujce pozdarzeniach PRADS z adresem rdowym 203.0.113.10 wygldaj na bardziejniepokojce.

Przed zagbieniem si w szczegy tych alertw zboczymy nieco z tematu,aby sprawdzi nasz hipotez, e intruz 203.0.113.10 przeprowadzi sieciowyrekonesans wymierzony przeciw naszej sieci testowej.

Kwerenda danych sesji przy uyciu konsoli SguilAby ustali, jaki dokadnie sieciowy rekonesans przeprowadzi intruz 203.0.113.10,moemy zapyta konsol Sguil o dane sesji dotyczce ruchu pyncego od i do hostao adresie 203.0.113.10. Ze wzgldu na liczb docelowych usug pokazanych

Kup ksik Pole ksik


266 Roz d z i a 1 0

w konsoli Sguil moemy si domyla, e intruz 203.0.113.10 przeskanowa wieleportw TCP na obydwu komputerach docelowych. Dlatego podczas wykony-wania kwerendy danych sesji w konsoli Sguil rcznie dopasujemy maksymalnliczb rekordw danych sesji zwrconych w wyniku wyszukiwania, podnoszc jz 1000 do 10 000 rekordw.

Aby wykona kwerend danych sesji, podwietlamy jeden z rekordw alertwzawierajcych warto 203.0.113.10 w polu rdowego adresu IP, a nastpniewybieramy opcj Advanced Query/Query Sancp Table/Query SrcIP (kweren-da/kwerenda tabeli sancp/kwerenda przy uyciu rdowego adresu IP), jak poka-zano na rysunku 10.4.

Rysunek 10.4. Kwerenda danych sesji przy uyciu rdowego adresu IP

Wywietlone w wyniku naszego wyboru okno Query Builder (konstruktorzapyta) udostpnia dwa pola z klauzulami WHERE, ktre moemy edytowa. Musimysi upewni, e domylne czasy pocztkowe dla rekordw danych sesji wychwycdane, o ktre nam chodzi. W naszym przypadku aktywno rozpocza si 9 marca2013 r. o godz. 21:32:07 UTC, wic modyfikujemy zawarto pl Where Clause(klauzula WHERE), aby wyszukiwanie dotyczyo waciwego czasu, w sposb poka-zany na listingu 10.1.

Listing 10.1. Skadnia klauzuli wyszukujcej dane sesji dotyczce adresu 203.0.113.10

WHERE sancp.start_time > '2013-03-09' AND sancp.src_ip = INET_ATON('203.0.113.10')

Zmieniamy take warto pola LIMIT w oknie Query Builder (konstruktorzapyta) z 1000 na 10 000 rekordw wyniku, a potem wybieramy opcj Submit(przelij), aby wykona kwerend. W odpowiedzi baza danych zwraca 2014 rekor-dw, poczwszy od tych, ktre zostay pokazane na rysunku 10.5.

Aktywno, ktrej rdem jest host 203.0.113.10, rozpoczyna si w punkcieczasowym 2013-03-09 21:31:44. Moemy rozbi t sekwencj zdarze na kilkaoddzielnych elementw. Najpierw napastnik uywa komunikatw ICMP (1 w polu Protok nagwka IP),

aby wykona rekonesans wymierzony przeciw podzbiorowi systemw

Kup ksik Pole ksik



Rysunek 10.5. Dane sesji dotyczce ruchu od i do hosta o adresie 203.0.113.10 pokazujce fazy 1.i 2. rekonesansu oraz pocztek fazy 3.

w sieci 192.168.3.0/24. Nie moemy by tego pewni, ale by moe intruzprzeprowadzi wczeniejszy rekonesans (tu niezarejestrowany), ktrydoprowadzi go do podjcia prb pingowania tylko tych szeciu systemw.Skanowanie z wykorzystaniem komunikatw ICMP stanowi faz 1.Nastpnie napastnik przechodzi do fazy 2. w czasie 2013-03-09 21:31:45,ktra skada si ze skanowania portw TCP 80 i 443 na kilku systemach.

Faza 3. rozpoczyna si w czasie 2013-03-09 21:32:01 od skanowaniaszerokiego wyboru portw TCP. W fazie 4., ktra rozpoczyna si od tegosamego znacznika czasu, widzimy mniejsze skanowania dotyczceprawdopodobnie otwartych portw. (Te dziaania s tak szybkie,e wszystkie, jak si okazuje, rozpoczynaj si w tej samej sekundzie).Rysunek 10.6 pokazuje koniec fazy 3. i pocztek fazy 4.

Faza 4. koczy si w czasie 2013-03-09 21:32:06 od ponownej zmiany taktykiprzez intruza. W czasie 2013-03-09 21:32:07 przeprowadza dodatkowy rekone-sans, rozpoczynajc faz 5. przepytywanie aktywnych usug. Widzimy, jakwysya i odbiera wiksze iloci danych, co pokazuj wartoci kolumn po prawejstronie okna przedstawionego na rysunku 10.7. (Wiksze liczby bajtw danych prze-syanych midzy komputerami zwykle wiadcz o bardziej znaczcej konwersacji.

Kup ksik Pole ksik


268 Roz d z i a 1 0

Rysunek 10.6. Faza 3. rekonesansu koczy si, a rozpoczyna si faza 4.

Jeli wystpuj mniejsze liczby bajtw, jest to zwykle tylko wymiana informacjio stanie poczenia wystpujca na przykad w uzgadnianiu trjetapowym pro-tokou TCP).

Kolumny wywietlone na rysunku 10.7 pokazuj liczb pakietw i bajtwdanych wysanych przez rdo oraz liczb pakietw i bajtw danych wysanychprzez punkt docelowy. Wamywacz prawdopodobnie stara si okreli profilaktywnych usug celu swoich dziaa, uywajc narzdzia rekonesansu do zbie-rania informacji o dostpnych usugach. Intruz porwnuje informacje pochodzceze skanowania, aby znale dostpne metody ataku, a jeli znajdzie tak, ktrawykorzystuje odsonit luk bezpieczestwa, zdyskontuje t sabo.

Finalna faza dziaa rozpoczyna si w czasie 2013-03-09 21:38:38, jak poka-zano na rysunku 10.8. Narzdzie rekonesansu, z ktrego korzysta intruz, zako-czyo zbieranie informacji i wamywacz robi przerw na przejrzenie swoich wyni-kw. Okazuje si, e po odkryciu saboci wykorzystuje j, chocia moe to niewynika w oczywisty sposb z danych pokazanych na rysunku 10.8. (Sprawdzimyodnone dane alertw w oryginalnym oknie konsoli Sguil dla uzyskania jasnoci).Na razie przejrzyjmy rekordy danych sesji rozpoczynajce si od czasu 21:38:38,jak pokazano na rysunku 10.8.

Sesje zaczynajce si w czasie 21:38:38 bardzo rni si od wczeniejszychsesji. Jedn z sesji charakteryzuje transfer duej iloci danych, dotyczcy portuTCP 6200. Inna sesja (rekordy pokazujce aktywno dotyczc portu TCP 21)

Kup ksik Pole ksik



Rysunek 10.7. Koczy si faza 4. rekonesansu, a rozpoczyna si faza 5.

wskazuje na aktywny kana polece FTP. Po obejrzeniu piciu faz rekonesansuprowadzonego z adresu 203.0.113.10, po ktrym nastpiy skoncentrowane dzia-ania dotyczce portw TCP 21 i 6200, powinnimy si dokadnie przyjrze tymostatnim poczeniom.

Powrt do danych alertwZbadajmy dwa alerty w konsoli Sguil. Jak pokazano na rysunku 10.9, widzimydwa niepokojce alerty: GPL ATTACK_RESPONSE id check returned root oraz ETEXPLOIT VSFTPD Backdoor User Login Smiley. Pojawia si take dziwny alertPADS New Asset - sql MySQL 3.0.20-0.1ubuntu1, a nastpnie dwa alerty ICMP.

Podwietliem rekord dotyczcy alertu ET EXPLOIT, poniewa ten alert wydajesi najbardziej jednoznaczny i wie si z uyciem do znanego protokou FTP.Zaznaczona w konsoli Sguil opcja Show Packet Data (poka dane pakietu) ujawnia,e nazwa uytkownika dostarczona do serwera FTP to 0M:), po ktrej nastpujznaki powrotu karetki (0D) i nowego wiersza (0A). (W protokole FTP te znaki koczpolecenia, co oznacza, e zostay przetransmitowane przez klienta FTP wtedy, kiedyuytkownik albo narzdzie ataku wprowadzi nazw uytkownika FTP).

Moemy sprbowa wygenerowa transkrypt dla tego zdarzenia, klikajcprawym przyciskiem myszy pole Alert ID i wybierajc opcj Transcript. Wynikzosta pokazany na listingu 10.2.

Kup ksik Pole ksik


270 Roz d z i a 1 0

Rysunek 10.8. Faza 5. rekonesansu koczy si i wamywacz atakuje ofiar

Rysunek 10.9. Dane alertw programu Snort nastpujce po alertach dotyczcych rekonesansu

Kup ksik Pole ksik



Listing 10.2. Transkrypt alertu ET EXPLOIT

Sensor Name: sovm-eth1-1Timestamp: 2013-03-09 21:38:38Connection ID: .sovm-eth1-1_6011Src IP: 203.0.113.10 (Unknown)Dst IP: 192.168.3.5 (Unknown)Src Port: 50376Dst Port: 21OS Fingerprint: 203.0.113.10:50376 - UNKNOWN [S10:63:1:60:M1460,S,T,N,W4:.:?:?] (up: 1 hrs)OS Fingerprint: -> 192.168.3.5:21 (link: ethernet/modem)DST: 220 (vsFTPd 2.3.4) DST:SRC: USER 0M:) SRC:DST: 331 Please specify the password.DST:SRC: PASS azz SRC:DST: 421 Timeout. DST:

Powyszy transkrypt pokazuje klienta 203.0.112.10 logujcego si doserwera FTP na porcie TCP 21 hosta 192.168.3.5 . Nazwa uytkownikato 0M:) , jak to zostao wczeniej odnotowane w alercie programu Snort. Klientpodaje haso azz , ale nie ma miejsca adna komunikacja . Co si stao potemi co z poczeniem dotyczcym portu TCP 6200?

Przegldanie penych danych za pomoc programu TsharkW takich sytuacjach jak ta zalecam zbadanie oryginalnego ruchu sieciowego zare-jestrowanego w postaci penych danych. Interesuje nas ruch wystpujcy w cza-sie 2013-03-09 21:38:38 i dotyczcy portw TCP 21 lub 6200. Moemy odczy-tywa pene dane, zagldajc do odpowiedniego katalogu na sensorze o nazwiesovm i obserwujc interfejs eth1. Wykonaj polecenie ls, eby zobaczy nazw plikuzawierajcego pene dane dostpne do przejrzenia, jak pokazano na listingu 10.3.

Listing 10.3. Znalezienie penych danych i uruchomienie programu Tshark

$ cd /nsm/sensor_data/sovm-eth1/dailylogs/2013-03-09$ lssnort.log.1362864654$ tshark -n -t ad -r snort.log.1362864654 tcp.port==21 or tcp.port==6200

Korzystamy z programu Tshark, poniewa wywietla domylnie wicej szcze-gw na poziomie protokow, dziki czemu uatwia nam obserwacj tego, cosi dzieje. Teraz przypatrzymy si kadej istotnej czci tych szczegw, fragmentpo fragmencie. (Na pocztku zignorujemy ruch zwizany z rekonesansem).

Listing 10.4 pokazuje pierwsze dwa interesujce nas pakiety.

Kup ksik Pole ksik


272 Roz d z i a 1 0

Listing 10.4. Host 203.0.113.10 prbuje si poczy z portem TCP 6200 na komputerze192.168.3.5, ale mu si to nie udaje

6589 2013-03-09 21:38:38.159255 203.0.113.10 -> 192.168.3.5 TCP 74 40206 > 6200 [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSval=695390 TSecr=0 WS=166590 2013-03-09 21:38:38.159451 192.168.3.5 -> 203.0.113.10 TCP 60 6200 > 40206 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0

Na listingu 10.4 host 203.0.113.10 prbuje si poczy z portem TCP 6200 na komputerze 192.168.3.5 , ale poczenie si nie udaje, poniewa port TCP6200 nie prowadzi nasuchu. Odpowiada pakietem z ustawionymi flagami RSTi ACK .

Listing 10.5 pokazuje, co si dzieje potem.

Listing 10.5. Klient 203.0.113.10 loguje si do serwera FTP na hocie 192.168.3.5

6591 2013-03-09 21:38:38.160692 203.0.113.10 -> 192.168.3.5 TCP 74 50376 > 21 [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSval=695390 TSecr=0 WS=166592 2013-03-09 21:38:38.160702 192.168.3.5 -> 203.0.113.10 TCP 74 21 > 50376 [SYN, ACK] Seq=0 Ack=1 Win=5792 Len=0 MSS=1460 SACK_PERM=1 TSval=276175 TSecr=695390 WS=326593 2013-03-09 21:38:38.161131 203.0.113.10 -> 192.168.3.5 TCP 66 50376 > 21 [ACK] Seq=1 Ack=1 Win=14608 Len=0 TSval=695390 TSecr=2761756594 2013-03-09 21:38:38.162679 192.168.3.5 -> 203.0.113.10 FTP 86 Response: 220 (vsFTPd 2.3.4)6595 2013-03-09 21:38:38.163164 203.0.113.10 -> 192.168.3.5 TCP 66 50376 > 21 [ACK] Seq=1 Ack=21 Win=14608 Len=0 TSval=695391 TSecr=2761756596 2013-03-09 21:38:38.164876 203.0.113.10 -> 192.168.3.5 FTP 77 Request: USER 0M:) 6597 2013-03-09 21:38:38.164886 192.168.3.5 -> 203.0.113.10 TCP 66 21 > 50376 [ACK] Seq=21 Ack=12 Win=5792 Len=0 TSval=276175 TSecr=6953916598 2013-03-09 21:38:38.164888 192.168.3.5 -> 203.0.113.10 FTP 100 Response: 331 Please specify the password.6599 2013-03-09 21:38:38.166318 203.0.113.10 -> 192.168.3.5 FTP 76 Request: PASS azz

Na listingu 10.5 widzimy, e host 203.0.113.10 czy si z usug FTP naporcie TCP 21 komputera 192.168.3.5 . Widzimy rwnie, jak uytkownik0M:) loguje si i podaje haso azz . Listing 10.6 pokazuje konsekwencje zako-czonego sukcesem logowania.

Natychmiast, jeszcze przed zerwaniem poczenia z serwerem FTP, widzimynowe poczenie wiodce od hosta 203.0.113.10 do portu TCP 6200 na kom-puterze 192.168.3.5 . Tym razem, inaczej ni w sytuacji przedstawionej na lis-tingu 10.4, port TCP 6200 nasuchuje i akceptuje poczenie przez wysanie odpo-wiedzi z flagami SYN i ACK .

Kup ksik Pole ksik



Listing 10.6. Host 203.0.113.10 czy si z portem TCP 6200 na komputerze 192.168.3.5

6600 2013-03-09 21:38:38.166971 203.0.113.10u -> 192.168.3.5w TCP 74 60155 > 6200v [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSval=695392 TSecr=0 WS=166601 2013-03-09 21:38:38.166978 192.168.3.5 -> 203.0.113.10 TCP 74 6200 > 60155 [SYN, ACK] x Seq=0 Ack=1 Win=5792 Len=0 MSS=1460 SACK_PERM=1 TSval=276175 TSecr=695392 WS=326602 2013-03-09 21:38:38.168296 203.0.113.10 -> 192.168.3.5 TCP 66 60155 > 6200 [ACK] Seq=1 Ack=1 Win=14608 Len=0 TSval=695392 TSecr=2761756603 2013-03-09 21:38:38.168738 203.0.113.10 -> 192.168.3.5 TCP 69 60155 > 6200 [PSH, ACK] Seq=1 Ack=1 Win=14608 Len=3 TSval=695392 TSecr=2761756604 2013-03-09 21:38:38.168775 192.168.3.5 -> 203.0.113.10 TCP 66 6200 > 60155 [ACK] Seq=1 Ack=4 Win=5792 Len=0 TSval=276175 TSecr=695392. . . wycito . . .

Ta sekwencja zdarze pokazuje, e port TCP 6200 nie akceptowa aktywniepocze, dopki uytkownik 203.0.113.10 nie zalogowa si do serwera FTP i niedostarczy waciwej nazwy uytkownika i hasa.

Wyjanienie dziaania furtkiTen wzorzec zachowania wskazuje, e serwer FTP na komputerze 192.168.3.5zawiera w swym kodzie furtk oczekujc na pewn nazw uytkownika i haso.W naszym przypadku widzielimy uytkownika 0M:) i haso azz.

Okazuje si, e na komputerze 192.168.3.5 bya uruchomiona wersja serweraFTP o nazwie vsftpd, ktra zawieraa nieautoryzowan furtk, o czym informowaw lipcu 2011 r. twrca serwera vsftpd Chris Evans (http://scarybeastsecurity.blogspot.com/2011/07/alert-vsftpd-download-backdoored.html). Post na blogu niezawiera adnych szczegw wyjaniajcych, jak furtka zostaa wprowadzona dokodu, ale jak by nie byo efektem kocowym bya dostpno oprogra-mowania, ktre zawierao powan wad z punktu widzenia bezpieczestwa.Uytkownicy, ktrzy wprowadz nazw uytkownika zakoczon umiechnitbuk tak jak :) uzyskaj moliwo poczenia si z furtk na serwerze FTP.Rysunek 10.10 podsumowuje t sytuacj i dodaje specyficzne szczegy dotyczcetego przypadku.

Dlaczego rekordy dotyczce portu TCP 6200 s wywietlane przed zako-czonym sukcesem wykorzystaniem luki w serwerze FTP? Jak widzielimy w pe-nych danych zaprezentowanych przez Tshark, poczenie FTP miao miejsceprzed poczeniem z furtk. Widocznie narzdzia uywane do rejestrowaniadanych alertw i danych sesji nie potrafiy rozrni czasw pocztkowych tychpocze i zarejestroway je w niewaciwym porzdku. Zdarza si to od czasudo czasu przy wykonywaniu operacji NSM. Wystpowanie tego zjawiska jestargumentem na rzecz idei zbierania wielu typw danych NSM. Kiedy co niewyglda cakiem prawidowo, moesz porwna dane rnych typw, eby ustaliz wiksz pewnoci, co si naprawd zdarzyo.

Kup ksik Pole ksik


274 Roz d z i a 1 0

Rysunek 10.10. Atak po stronie serwera z wykorzystaniem luki bezpieczestwaw serwerze vsftpd

Co zrobi wamywacz?Po uzyskaniu potwierdzenia, e miao miejsce zoliwe dziaanie, musimy ocenijego konsekwencje. Scenariusz ten wydaje si przynajmniej incydentem kate-gorii Breach 3, poniewa wamywacz ustanowi kana C2 czcy jego komputerz ofiar. W jaki sposb moemy si dowiedzie, jak le wyglda sytuacja?

Widzielimy alert GPL ATTACK_RESPONSE wskazujcy, e sprawdzenie ID uyt-kownika dao odpowied root (id check returned root). Wiemy te, e portTCP 6200 to kana C2. Moglibymy si dowiedzie, co robi wamywacz, przezwygenerowanie transkryptu tego poczenia, wykorzystujc do tego albo alertGPL ATTACK_RESPONSE, albo dane sesji dotyczce poczenia nawizanego przezhost 203.0.113.10 z portem TCP 6200 na komputerze 192.168.3.5. Moemyzbada szczegowo zawarto tej sesji przez wygenerowanie transkryptu, jakzobaczysz w poniszym podpunkcie. To badanie powinno da nam wiksze poj-cie o tym, co robi wamywacz.

Pocztkowy dostpTranskrypt dotyczcy dziaa w ramach poczenia nawizanego przez kompu-ter 203.0.113.10 z hostem 192.168.3.5, przedstawiony na listingu 10.7, poka-zuje rnego rodzaju zdarzenia. Nie moemy rozstrzygn, czy wamywaczprowadzi interakcj z zaatakowanym systemem na ywo, czy wykonuje zauto-matyzowany atak, chocia tym, co ma znaczenie, s konsekwencje tych dziaa.

Kup ksik Pole ksik



Listing 10.7. Pocztek transkryptu pokazujcego aktywno wystpujc w poczeniu nawizanymprzez komputer 203.0.113.10 z hostem 192.168.3.5

Sensor Name: sovm-eth1-1Timestamp: 2013-03-09 21:38:38Connection ID: .sovm-eth1-1_6012Src IP: 203.0.113.10 (Unknown)Dst IP: 1 92.168.3.5 (Unknown)Src Port: 60155Dst Port: 6200OS Fingerprint: 203.0.113.10:60155 - UNKNOWN [S10:63:1:60:M1460,S,T,N,W4:.:?:?] (up: 1 hrs)OS Fingerprint: -> 192.168.3.5:6200 (link: ethernet/modem)

SRC: idDST: uid=0(root) gid=0(root) SRC: nohup >/dev/null 2>&1SRC: echo T33KwxKuFgj4Uhy7DST: T33KwxKuFgj4Uhy7SRC: whoamiDST: rootSRC: echo 3816568630;echo hJZeerbzDFqlJEwWxlyePwOzBhEhQYbNDST: 3816568630DST: hJZeerbzDFqlJEwWxlyePwOzBhEhQYbNSRC: id -u ;echo idGIIxVuiPbrznIwlhwdADqMpAAyLIljDST: 0DST: idGIIxVuiPbrznIwlhwdADqMpAAyLIlj

Pierwsza cz transkryptu pokazuje warto 203.0.113.10 jako rdowy(SRC) adres IP i warto 192.168.3.5 jako docelowy (DST) adres IP. Wamy-wacz lub kod wykonywany przez wamywacza uruchamia polecenie systemuUnix id w celu ustalenia uprawnie, jakie kana aktualnie zapewnia. Otrzy-many wynik wskazuje, e jest to konto poziomu root . Widzimy prb potwier-dzenia konta uytkownika za pomoc polecenia whoami i odpowiadajcy jejwynik: root . Teraz, uywajc polecenia id z opcj -u , wamywacz poznajeefektywny identyfikator uytkownika rwny 0 , co znowu wie si z dost-pem waciwym dla roota. Wyglda na to, e wamywacz lub jego skrypt uywainstrukcji echo z dugimi cigami znakw w roli argumentw, aby zaznaczypewne miejsca w strumieniu dziaa w systemie.

Zebranie informacji o ofierzeDalszy cig transkryptu zosta pokazany na listingu 10.8. Po wykonaniu kilkupodstawowych polece wamywacz zuywa wicej czasu na poznanie ofiary.

Listing 10.8. Zebranie informacji o ofierze

SRC: /usr/sbin/dmidecode ;echo WqyRBNDvoqzwtPMOWXAZNDHVcqKrjVOADST: # dmidecode 2.9DST: SMBIOS 2.4 present.DST: 364 structures occupying 16040 bytes.

Kup ksik Pole ksik


276 Roz d z i a 1 0

DST: Table at 0x000E0010.. . . wycito . . .DST: Handle 0x016B, DMI type 127, 4 bytesDST: End Of TableDST: WqyRBNDvoqzwtPMOWXAZNDHVcqKrjVOASRC: ls /etc ;echo PZhfAinSgdJcyhYaCgAcFDjvciEFALXsDST: X11DST: adduser.confDST: adjtimeDST: aliasesDST: aliases.db. . . wycito . . .DST: wgetrcDST: wpa_supplicantDST: xinetd.confDST: xinetd.dDST: zsh_command_not_foundDST: PZhfAinSgdJcyhYaCgAcFDjvciEFALXsSRC: uname -a ;echo gSQsJbnmNmNLEqElLTNRfxfLUQNndGaSDST: Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008i686 GNU/LinuxDST: gSQsJbnmNmNLEqElLTNRfxfLUQNndGaSSRC: cat '/etc/issue';echo KoDdtYNGyWHGPIkHITZtMAYrhsyckIICDST: _ _ _ _ _ _ ____DST: _ __ ___ ___| |_ __ _ ___ _ __ | | ___ (_) |_ __ _| |__ | | ___|___ \DST: | '_ ` _ \ / _ \ __/ _` / __| '_ \| |/ _ \| | __/ _` | '_ \| |/ _ \ __) |DST: | | | | | | __/ || (_| \__ \ |_) | | (_) | | || (_| | |_) | | __// __/DST: |_| |_| |_|\___|\__\__,_|___/ .__/|_|\___/|_|\__\__,_|_.__/|_|\___|_____|DST: |_|DST: Warning: Never expose this VM to an untrusted network!DST: Contact: msfdev[at]metasploit.comDST: Login with msfadmin/msfadmin to get startedDST: KoDdtYNGyWHGPIkHITZtMAYrhsyckIICSRC: hostname;echo SBRTSpmkeFZNpuHOMmcQUhMbnPnbNWPQDST: metasploitableDST: SBRTSpmkeFZNpuHOMmcQUhMbnPnbNWPQ

Wamywacz lub jego skrypt zbiera informacje o rnych aspektach systemuofiary. Rozpoczyna od polecenia dmidecode , aby dowiedzie si wicej o samejplatformie. Nastpnie pobiera listing katalogu /etc , w ktrym znajduj sikluczowe pliki konfiguracyjne systemu. Uywajc polecenia uname , odkrywa,jaka wersja jdra pracuje w systemie. Wywietlenie zawartoci pliku issue pokazuje tekst, ktry pojawia si po zalogowaniu si uytkownika . W kocuwamywacz odczytuje nazw hosta ofiary. System operacyjny hosta to dystry-bucja Linuksa o nazwie Metasploitable, bdca narzdziem sucym do naukicyfrowego ataku i obrony, opracowana przez zesp projektu Metasploit firmyRapid7 (http://sourceforge.net/projects/metasploitable/files/Metasploitable2/).Obrocy uywaj systemu Metasploitable do szkolenia si, gdy wykonuj dia-gnozy stanu bezpieczestwa, poniewa Metasploitable zawiera same luki bez-pieczestwa co sprawia, e jest to idealne narzdzie do testowania efektyw-noci systemw wykrywania.

Kup ksik Pole ksik



Widocznie kto, kto pracuje w firmie Vivians Pets, pobra system Metasplo-itable, zainstalowa go w sieci testowej i pozostawi go dostpnym z internetu.Wamywacz o adresie IP 203.0.113.10 znalaz ten komputer, wykorzysta lukbezpieczestwa pracujcego na nim serwera vsftpd i zebra informacje o klu-czowych waciwociach komputera.

Uzyskanie dostpu do danych uwierzytelniajcychW ostatniej czci transkryptu widzimy, e wamywacz kieruje swoj uwag napliki, w ktrych przechowywane s dane uwierzytelniajce uytkownikw, jakpokazano na listingu 10.9.

Listing 10.9. Przegldanie zawartoci plikw /etc/passwd i /etc/shadow

SRC: cat '/etc/passwd';echo nRVObgMSefnPCAljIfCKrtCxyxAFwbXoSRC:DST: root:x:0:0:root:/root:/bin/bashDST: daemon:x:1:1:daemon:/usr/sbin:/bin/shDST: bin:x:2:2:bin:/bin:/bin/shDST: sys:x:3:3:sys:/dev:/bin/shDST: sync:x:4:65534:sync:/bin:/bin/sync. . . wycito . . .DST:DST: nRVObgMSefnPCAljIfCKrtCxyxAFwbXoSRC: cat '/etc/shadow';echo YMIULmTNrfStudFPMoeddbhSAwYHGUKYDST: root:$1$/avpfBJ1$x0z8w5UF9Iv./DR9E9Lid.:14747:0:99999:7::: DST: daemon:*:14684:0:99999:7:::DST: bin:*:14684:0:99999:7:::DST: sys:$1$fUX6BPOt$Miyc3UpOzQJqz4s5wFD9l0:14742:0:99999:7:::DST: sync:*:14684:0:99999:7:::. . . wycito . . .DST:DST: CKNszVzdeRiiApmbrdHsuAolRXRtIFfFSRC: ping -c 1 www.google.comSRC:SRC: pwdSRC:DST: ping: unknown host www.google.comDST:

W kocowej czci transkryptu wamywacz wywietla zawarto dwch kluczo-wych plikw systemu: /etc/passwd i /etc/shadow . Plik /etc/passwd zawierainformacje o uytkownikach, takich jak root , a plik /etc/shadow zaszyfrowanehasa uytkownikw . Transkrypt koczy si, gdy wamywacz lub jego skryptprbuje pingowa adres www.google.com , co koczy si niepowodzeniem .

Niepokojcy jest fakt, e wamywacz listuje pliki /etc/passwd i /etc/shadowzawierajce nazwy uytkownikw systemu i ich zaszyfrowane hasa. Jeli zamiete hasa, bdzie mg uzyska bezporedni dostp do systemu i nie bdzie przytym musia wamywa si do niego przy uyciu eksploitu.

Wiemy teraz cakiem duo o tym przypadku, ale czy to koniec historii?

Kup ksik Pole ksik


278 Roz d z i a 1 0

Co jeszcze zrobi wamywacz?Aby dowiedzie si nieco wicej o tym, co si zdarzyo, musimy przyjrze sidokadniej dwm innym aspektom tego przypadku. Zauwamy, e komputer192.168.3.5 nie by jedynym celem wamywacza kryjcego si za adresem203.0.113.10. Widzimy take dziaania dotyczce portw TCP 21 i 6200 komputera192.168.3.13. Generujemy transkrypt dla portu TCP 21, by zobaczy, co si zda-rzyo w zwizku z komputerem 192.168.3.13. Listing 10.10 pokazuje uzyskanywynik.

Listing 10.10. Transkrypt poczenia FTP nawizanego przez komputer 203.0.113.10 z hostem192.168.3.13

Sensor Name: sovm-eth1Timestamp: 2013-03-09 21:46:37Connection ID: .sovm-eth1_1362865597000002352Src IP: 203.0.113.10 (Unknown)Dst IP: 192.168.3.13 (Unknown)Src Port: 49220Dst Port: 21OS Fingerprint: 203.0.113.10:49220 - UNKNOWN [S10:63:1:60:M1460,S,T,N,W4:.:?:?] (up: 2 hrs)OS Fingerprint: -> 192.168.3.13:21 (link: ethernet/modem)

DST: 220 (vsFTPd 2.3.5) DST:SRC: USER 1dxF:) SRC:DST: 331 Please specify the password.DST:SRC: PASS 0ibjZSRC:DST: 530 Login incorrect.DST:DST: 500 OOPS:DST: vsf_sysutil_recv_peek: no dataDST:

Widzimy, e wamywacz sprbowa tego samego ataku z umiechnit buk przeciw serwerowi FTP ( i ) na hocie 192.168.3.13 , ale w odpowiedziotrzyma nieprzyjemny komunikat o bdzie Login incorrect (logowanie niepra-widowe) . Atak si nie powid. Co wicej, zgodnie z danymi sesji systemuNSM nie zostay ustanowione adne poczenia z portem TCP 6200 na komputerze192.168.3.13, co mwi nam, e host 192.168.3.13 nie ucierpia na skutek tego ataku.

Teraz musimy ustali, co jeszcze mogo si przydarzy komputerowi192.168.3.5. Widzielimy, jak wamywacz poczy si z serwerem FTP i wszedw interakcj z furtk. Czy zrobi co ponadto? Aby odpowiedzie na to pytanie,wykonujemy now kwerend danych sesji, wyszukujc wszystkie sesje dotyczceofiary o adresie 192.168.3.5, jak pokazano na listingu 10.11. Wyniki zostay przed-stawione na rysunku 10.11.

Kup ksik Pole ksik



Listing 10.11. Skadnia klauzuli wyszukujcej dane sesji dotyczce adresu 192.168.3.5

WHERE sancp.start_time > '2013-03-09' AND sancp.src_ip = INET_ATON('192.168.3.5') AND dst_port!=137 AND dst_port!=138

Rysunek 10.11. Dane sesji dotyczce adresu 192.168.3.5

Uruchamiajc t kwerend, dodaem polecenia zignorowania portw 137 i 138,poniewa kiedy po raz pierwszy przegldaem te dane, zobaczyem wiele nie-istotnych rekordw sesji dotyczcych usug systemu Windows wykorzystuj-cych te porty. Poniewa nie s one zwizane z tym incydentem, usunem jez danych wyjciowych pokazanych na rysunku 10.11.

Widzielimy cz tej aktywnoci we wczeniejszych wynikach, ale tym razemw centrum naszej uwagi bdzie host 192.168.3.5, a nie komputer 203.0.113.10.Najbardziej interesujce z nowych rekordw dotycz nowych adresw IP w blokuadresw sieci 203.0.113.0/24, a mianowicie adresw 203.0.113.77 i 203.0.113.4.Te dwa adresy IP pojawiaj si w rekordach sesji, poczwszy od czasu 2013-03-1001:59:43. Najwidoczniej nasz pierwotny wamywacz albo wsppracuje z kole-gami, albo sam steruje tymi systemami!

Zalecam sporzdzenie przynajmniej hipotetycznych diagramw systemw,ktrych dotycz operacje NSM, kiedy prbuje si zrozumie zakres incydentu.Nie zidentyfikujesz caej infrastruktury istniejcej midzy systemami, ktre padyofiar ataku, i zdalnymi napastnikami, ale wizualne ich przedstawienie moepomc w lepszym rozpoznaniu tego, co si dzieje, w przypadkach dotyczcychwiata realnego. Rysunek 10.12 podsumowuje nasze aktualne rozeznanie w kwe-stii wszystkich systemw zwizanych z tym przypadkiem.

Kup ksik Pole ksik


280 Roz d z i a 1 0

Rysunek 10.12. Systemy zaobserwowane w omawianym przypadku

Eksploracja danych sesjiPrzeanalizujmy nowe sesje wydobyte przez kwerend opart na adresie IP ofiaryw celu ustalenia zakresu incydentu, majc w gowie prost regu: jedynymstaym elementem w operacjach NSM jest ofiara. Wamywacze mog prbowazaciemnia swoje dziaania przez zmiany atakujcych systemw, przeskakiwaniez jednej atakujcej platformy na drug; reagujcy na incydent, ktrzy przywizujsi na stae do adresw IP napastnika, przeocz te skoki. Skup si na ofierze, a niezostaniesz oszukany.

Zauwa na rysunku 10.11, e rozpoczynamy analiz od trzech zapyta DNSwysanych przez komputer 192.168.3.5, zaczynajcych si od znacznika czasu2013-03-09 21:40:35. Moglibymy uy konsoli Sguil, by sprbowa wygene-rowa dane wyjciowe programu Wireshark dla kadej sesji w celu obejrzeniazapyta i odpowiedzi, ale zamiast tego odwoamy si do dziennikw DNS z danymiprzechwyconymi przez Bro, przechowywanych w katalogu /nsm/bro/logs/2013-03-09. Jak zobaczysz, dzienniki aplikacji Bro to forma danych transakcji i meta-danych.

Przeszukiwanie dziennikw DNS aplikacji BroIstnieje wiele sposobw przeszukiwania dziennikw DNS aplikacji Bro podktem okrelonych zapisw. Jeden prosty sposb polega na wykorzystaniu wier-sza polece, co pokazano na listingu 10.12.

Kup ksik Pole ksik



Listing 10.12. Rekordy DNS zarejestrowane przez Bro

$ zcat dns.21\:31\:10-22\:00\:00.log.gz | bro-cut -d | grep 192.168.3.5 |grep -v WORKGROUP. . . wycito . . .2013-03-09T21:40:35+0000 k3hPbe4s2H2 192.168.3.5 60307192.168.3.1 53 udp 40264 2.3.168.192.in-addr.arpa 1C_INTERNET 12 PTR - - F F T F0 --2013-03-09T21:47:08+0000 i1zTu4rfvvk 192.168.3.5 36911192.168.3.1 53 udp 62798 www.google.com 1C_INTERNET 1 A - - F F T F0 - -2013-03-09T21:47:18+0000 H5Wjg7kx02d 192.168.3.5 49467192.168.3.1 53 udp 32005 www.google.com.localdomain 1C_INTERNET 1 A - - F F T F0 --

Najpierw uywamy polecenia zcat, poniewa dziennik aplikacji Bro jestskompresowany w formacie gzip. Nastpnie przesyamy wynik (stosujc mecha-nizm zwany potokiem) na wejcie polecenia bro-cut z opcj -d, ktre prze-ksztaca rodzimy dla aplikacji Bro format czasu uniksowego na wersj czytelndla czowieka. Nastpnie wybieramy rekordy zawierajce adres IP ofiary192.168.3.5 za pomoc polecenia grep, po ktrym nastpuje kolejne poleceniegrep powodujce zignorowanie (na skutek uycia opcji -v) wszystkich rekordwzawierajcych sowo WORKGROUP. Dziennik aplikacji Bro zawiera zapytania i odpo-wiedzi DNS, jak rwnie rekordy dotyczce ruchu zwizanego z usug nazwprotokou NetBIOS, ktre zostaj odfiltrowane przez polecenie bro-cut -d.Domylnie ta skadnia pomija nagwki pl tych rekordw.

Jak wida na listingu 10.12, komputer 192.168.3.5 wysa zapytanie doty-czce rekordu PTR dla 2.3.168.192.in-addr.arpa , ktre prawdopodobnie niejest zwizane z wamaniem. Nastpnie, siedem minut pniej, system i wysazapytania dla nazwy domenowej www.google.com i www.google.com.localdomain . Te dwa ostatnie zapytania DNS odpowiadaj podjtej przezwamywacza prbie pingowania adresu www.google.com. Zobaczenie nagwkaw dziennikach Bro moe nam pomc lepiej je zrozumie. Jednym ze sposobwzobaczenia danych nagwka jest uniknicie filtrowania danych wyjciowych przezprogram bro-cut. W zamian ograniczymy ilo danych wyjciowych, uywajcpolecenia head, jak pokazano na listingu 10.13.

Listing 10.13. Pola i typy danych w dzienniku DNS aplikacji Bro

$ zcat dns.21\:31\:10-22\:00\:00.log.gz | head#separator \x09#set_separator ,#empty_field (empty)#unset_field -#path dns#open 2013-03-09-21-31-10

Kup ksik Pole ksik


282 Roz d z i a 1 0

#fields ts uid id.orig_h id.orig_p id.resp_hid.resp_p proto trans_id query qclass qclass_name qtypeqtype_name rcode rcode_name AA TC RD RA Zanswers TTLs

#types time string addr port addr port enum count stringcount string count string count string bool bool bool boolcount vector[string] vector[interval]

Przeszukiwanie dziennikw SSH aplikacji BroPo trzech rekordach DNS rysunek 10.11 pokazuje komputer 203.0.113.77 pin-gujcy adres 192.168.3.5 przy uyciu protokou ICMP reprezentowanego przezkod 0 w nagwku IP. Jest to pocztek ruchu pochodzcego z komputera203.0.113.77.

Nastpny rekord pokazuje ruch z komputera 203.0.113.77 do portu TCP 22na hocie 192.168.3.5. Jest to prawdopodobnie ruch SSH, co moemy potwier-dzi przez zerknicie na pene dane lub sprawdzenie kilku dziennikw aplikacjiBro. Na przykad plik ssh.log znajdujcy si w katalogu 2013-02-10 zawiera pozycjprzedstawion na listingu 10.14. (Zauwa, e jeli chcemy zobaczy nagwkipl, unikamy uycia programu bro-cut, tak jak zrobilimy w przypadku listingu10.13). Listing pokazuje cay dziennik, jako e zawiera on tylko jedn interesu-jc nas pozycj.

Listing 10.14. Poczenie SSH zarejestrowane w dzienniku aplikacji Bro

$ zcat ssh.02\:03\:29-03\:00\:00.log.gz | bro-cut -d2013-03-10T02:01:10+0000 8zAB2nsjjYd 203.0.113.77 65438192.168.3.5 22 success INBOUND SSH-2.0-OpenSSH_5.8p2_hpn13v11FreeBSD-20110503 SSH-2.0-OpenSSH_4.7p1 Debian-8ubuntu1 16678 AU- - - -

Listing 10.14 pokazuje komputer 203.0.113.77 , poczony za pomoc pro-tokou SSH z hostem 192.168.3.5 .

Aby zrozumie znaczenie pozostaych pl, musimy zna nagwki z tego plikudziennika. Listing 10.15 pokazuje nagwki w dzienniku SSH aplikacji Bro poprze-dzajce ten sam rekord SSH dotyczcy komputera 203.0.113.77 czcego siz hostem 192.168.3.5.

Listing 10.15. Poczenie SSH zarejestrowane w dzienniku aplikacji Bro z nagwkami

$ zcat ssh.02\:03\:29-03\:00\:00.log.gz#separator \x09#set_separator ,#empty_field (empty)#unset_field -#path ssh#open 2013-03-10-02-03-29

Kup ksik Pole ksik



#fields ts uid id.orig_h id.orig_p id.resp_hid.resp_p status direction client server resp_sizeremote_location.country_code remote_location.region remote_location.cityremote_location.latitude remote_location.longitude

#types time string addr port addr port string enum stringstring count string string string double double

1362880870.544761 8zAB2nsjjYd 203.0.113.77 65438192.168.3.5 22 success INBOUND SSH-2.0-OpenSSH_5.8p2_hpn13v11FreeBSD-20110503 SSH-2.0-OpenSSH_4.7p1 Debian-8ubuntu1 16678 AU- - - -#close 2013-03-10-03-00-00

Najbardziej interesujce s pola serwera i klienta. Klient zosta opisany jakoSSH-2.0-OpenSSH_5.8p2_hpn13v11 FreeBSD-20110503 , a serwer jako SSH-2.0-OpenSSH_4.7p1 Debian-8ubuntu1 . Podczas gdy moesz atwo zidentyfikowawersj serwera protokou SSH, poniewa jeste wacicielem tego systemu, infor-macja o tym, e klient (wamywacz) uywa systemu FreeBSD, moe by intere-sujca. Znajomo dokadnej wersji oprogramowania OpenSSH zainstalowanejw systemie klienta (czyli znw wamywacza) moe take pomc Ci w przypisaniuataku do sprawcy lub w powizaniu go z innymi danymi dotyczcymi incydentu.

Niestety tre sesji SSH jest zaszyfrowana, co oznacza, e nie moesz jejrozszyfrowa przy uyciu rodkw skoncentrowanych na sieci. Jeli w systemiebyoby zainstalowane narzdzie skoncentrowane na hocie, takie jak OSSEC,mgby mie dane z lokalnego systemu dostpne do inspekcji, ale rekordy sesjipokazuj, e sesja SSH rozpocza si w czasie 2013-03-10 02:01:10 i zakoczyasi w czasie 02:03:24. Czy moemy stwierdzi, co takiego wamywacz zrobiw ramach tej zaszyfrowanej sesji? Kilka ostatnich rekordw sesji pomaga namodpowiedzie na to pytanie.

Przeszukiwanie dziennikw FTP aplikacji BroNa rysunku 10.11 w czasie 2013-03-10 02:02:50 widzimy wychodzc sesjFTP z adresem rdowym 192.168.3.5 i docelowym 203.0.113.4. Jeli jest tonaprawd sesja FTP, powinnimy by w stanie utworzy transkrypt, aby zoba-czy jej zawarto. Moemy take szybko sprawdzi, co zawiera dziennik FTPaplikacji Bro, jak pokazano na listingu 10.16.

Listing 10.16. Dziennik FTP aplikacji Bro

$ zcat ftp.02\:03\:11-03\:00\:00.log.gz#separator \x09#set_separator ,#empty_field (empty)#unset_field -#path ftp#open 2013-03-10-02-03-11#fields ts uid id.orig_h id.orig_p id.resp_h

Kup ksik Pole ksik


284 Roz d z i a 1 0

id.resp_p user password command arg mime_typemime_descfile_size reply_code reply_msg tags extraction_file#types time string addr port addr port string string stringstring string string count count string table[string] file1362880986.113638 FVmgKldpQO5 192.168.3.5 32904203.0.113.4 21 orr STOR ftp://203.0.113.4/./mysql-ssl.tar.gz application/x-gzip gzip compressed data, fromFAT filesystem (MS-DOS, OS/2, NT) - 226 Transfer complete.- -#close 2013-03-10-03-00-00

Widzimy tu, e kto skutecznie dokona transferu pliku o nazwie mysql-ssl.tar.gz za pomoc aplikacji FTP z komputera 192.168.3.5 na komputer203.0.113.4 . Transkrypt zawiera nieco wicej informacji, co pokazano nalistingu 10.17.

Listing 10.17. Transkrypt utworzonego przez wamywacza kanau polece FTPprowadzcego do hosta 203.0.113.4

Sensor Name: sovm-eth1Timestamp: 2013-03-10 02:02:50Connection ID: .sovm-eth1_1362880970000002980Src IP: 192.168.3.5 (Unknown)Dst IP: 203.0.113.4 (Unknown)Src Port: 32904Dst Port: 21OS Fingerprint: 192.168.3.5:32904 - Linux 2.6 (newer, 1) (up: 5 hrs)OS Fingerprint: -> 203.0.113.4:21 (distance 0, link: ethernet/modem)

DST: 220 freebsdvm FTP server (Version 6.00LS) ready.DST:SRC: USER orrSRC:DST: 331 Password required for orr.DST:SRC: PASS bobby

SRC:DST: 230 User orr logged in.DST:SRC: SYSTSRC:DST: 215 UNIX Type: L8 Version: BSD-199506DST:SRC: TYPE ISRC:DST: 200 Type set to I.DST:SRC: PORT 192,168,3,5,128,244SRC:DST: 200 PORT command successful.

Kup ksik Pole ksik



DST:SRC: STOR mysql-ssl.tar.gzSRC:DST: 150 Opening BINARY mode data connection for 'mysql-ssl.tar.gz'.DST:

Lubi tego faceta. Jego haso to bobby , a nazwa uytkownika to orr . Tenserwer FTP jest uruchomiony na platformie, ktra przedstawia si sama jakofreebsdvm , z systemem operacyjnym UNIX Type L8 Version: BSD-199506 .Jak przedtem, moglibymy wykorzysta te informacje, aby ewentualnie skojarzyten przypadek z innymi, jeli byaby taka potrzeba.

Nie wiemy jednak, co zrobi wamywacz, aby zdoby zawarto tego pliku.Czy moemy ustali, co si w nim znajduje?

Dekodowanie kradziey wraliwych danychFaktycznie, moemy odzyska archiwum mysql-ssl.tar.gz dziki zbieraniu pe-nych danych wykonywanemu przez nasz platform NSM. Wydobdziemy danewyodrbnione z penych danych przy uyciu narzdzia Tcpflow (https://github.com/simsong/tcpflow), ktrego Sguil uywa do rekonstrukcji transkryptw. Pierw-sz wersj programu Tcpflow napisa Jeremy Elson, ale w ostatnich latach odpo-wiedzialno za ten projekt przej Simson Garfinkel.

Narzdzie Tcpflow rekonstruuje sesje TCP. Dla przykadu, co pokazano nalistingu 10.18, nakazujemy programowi Tcpflow wykonanie rekonstrukcji wszyst-kich sesji TCP dotyczcych portu 20, tj. portu TCP uywanego do ustanowieniaaktywnego kanau danych protokou FTP pokazanego w rekordach sesji.

Listing 10.18. Rekonstrukcja sesji dotyczcych portu 20 wykonana za pomoc narzdzia Tcpflow

$ tcpflow -r /nsm/sensor_data/sovm-eth1/dailylogs/2013-03-10/snort.log.1362873602 port 20$ ls192.168.003.005.33012-203.000.113.004.00020 203.000.113.004.00020- 192.168.003.005.56377report.xml

$ file *192.168.003.005.33012-203.000.113.004.00020: gzip compressed data, from Unix, last modified: Sun Mar 10 02:02:23 2013203.000.113.004.00020-192.168.003.005.56377: ASCII text, with CRLF line terminatorsreport.xml: XML document text

$ cat 203.000.113.004.00020-192.168.003.005.56377total 1936drwxr-xr-x 2 orr orr 512 Mar 9 21:03 .drwxr-xr-x 4 root wheel 512 Mar 9 20:47 ..-rw-r--r-- 1 orr orr 1016 Mar 9 20:47 .cshrc-rw-r--r-- 1 orr orr 254 Mar 9 20:47 .login-rw-r--r-- 1 orr orr 165 Mar 9 20:47 .login_conf-rw------- 1 orr orr 381 Mar 9 20:47 .mail_aliases

Kup ksik Pole ksik


286 Roz d z i a 1 0

-rw-r--r-- 1 orr orr 338 Mar 9 20:47 .mailrc-rw-r--r-- 1 orr orr 750 Mar 9 20:47 .profile-rw------- 1 orr orr 283 Mar 9 20:47 .rhosts-rw-r--r-- 1 orr orr 980 Mar 9 20:47 .shrc-rw-r--r-- 1 orr orr 915349 Mar 9 21:03 mysql-ssl.tar.gz

Listing 10.18 pokazuje najpierw, jak uruchomi Tcpflow na bazie interesuj-cego ladu z filtrem BPF ograniczajcym rekonstrukcj do ruchu dotyczcegoportu 20 . Potem widzimy dane wyjciowe wykonanej przez Tcpflow rekon-strukcji w formie listingu katalogu . Dane wyjciowe pokazuj dwie strony sesjisieciowej w formie dwch plikw ( i ) oraz plik report.xml opisujcy czyn-noci wykonane przez Tcpflow. Nastpnie uywamy polecenia file , aby poka-za typ kadego z tych plikw.

Wyodrbnianie skradzionego archiwumPlik 192.168.003.005.33012-203.000.113.004.00020 to archiwum gzip prze-sane w trakcie sesji FTP. Plik 203.000.113.004.00020-192.168.003.005.56377 jest tekstowym plikiem ASCII odpowiadajcym listingowi katalogu zwrconemuprzez serwer FTP klientowi 192.168.3.5. Ten listing katalogu zosta przesanypo skopiowaniu przez wamywacza pliku mysql-ssl.tar.gz na serwer. Jest to potwier-dzenie udanego transferu archiwum mysql-ssl.tar.gz , poniewa ten plik zostawylistowany a wic jest przechowywany na serwerze FTP kontrolowa-nym przez wamywacza. To byoby z wiadomoci dla firmy Vivians Pets, jeliten plik to archiwum z wraliw zawartoci.

Dziki przechwytywaniu penych danych my take mamy do dyspozycjikopi pliku mysql-ssl.tar.gz. Archiwum gzip reprezentowane przez plik192.168.003.005.33012-203.000.113.004.00020 jest prawdopodobnie plikiemmysql-ssl.tar.gz skradzionym przez wamywacza. Wyodrbniamy jego zawartoprzy uyciu programu tar, co pokazano na listingu 10.19. Jak widzisz, okazuje si,e archiwum zawiera klucze zwizane z serwerem MySQL.

Listing 10.19. Zawarto archiwum mysql-ssl.tar.gz skradzionego przez wamywacza

$ tar -xzvf 192.168.003.005.33012-203.000.113.004.00020mysql-ssl/mysql-ssl/yassl-1.9.8.zipmysql-ssl/my.cnfmysql-ssl/mysqld.gdbmysql-ssl/mysql-keys/mysql-ssl/mysql-keys/server-cert.pemmysql-ssl/mysql-keys/ca-cert.pemmysql-ssl/mysql-keys/client-req.pemmysql-ssl/mysql-keys/server-key.pemmysql-ssl/mysql-keys/server-req.pemmysql-ssl/mysql-keys/client-key.pemmysql-ssl/mysql-keys/client-cert.pemmysql-ssl/mysql-keys/ca-key.pem

Kup ksik Pole ksik



Majc te dane w swoich rkach, zesp CIRT firmy Vivians Pets musi podsu-mowa to, co si wydarzyo, aby w peni zrozumie wamanie.

RetrospekcjaW tym punkcie procesu NSM zesp CIRT powinien przemyle to, co wie o wa-maniu, zanim przedstawi swoje zalecenia wacicielom biznesu. Wykorzystanieilustracji do przedstawienia tego, co si zdarzyo na kadym etapie, to poyteczneanalityczne posunicie.

Podsumowanie pierwszego etapuRysunek 10.13 zawiera podsumowanie pierwszych kilku faz tego wamania, ktremoemy nazwa pierwszym etapem.

Rysunek 10.13. Pierwszy etap naruszenia bezpieczestwa po stronie serwera

W ramach pierwszego etapu wamywacz o adresie 203.0.113.10 przeprowa-dzi rekonesans dwch komputerw: 192.168.3.5 i 192.168.3.13. Wamywaczodkry, e port TCP 21 nasuchuje na obydwu systemach, wic stara si naruszybezpieczestwo tej usugi na obydwu komputerach stanowicych cel ataku. Udao

Kup ksik Pole ksik

http:/helion.pl/rt/wykreght

Tytuł oryginału: The Practice of Network Security Monitoringpdf.helion.pl/wykreg/wykreg.pdf · 8...

Documents

Transcript of Tytuł oryginału: The Practice of Network Security Monitoringpdf.helion.pl/wykreg/wykreg.pdf · 8...