В 1999 году появился еще один червь, троянская программа под названием RingZero. Первый шаблон трафика, связанного с действиями этого червя, был выявлен системой Shadow и заключался в обнаружении сканирования различных хостов по TCP-порту получателя 3128 (порт, используемый Squid-сервером). Ниже представлен фрагмент трафика, выявленного системой Shadow.

12:29:48.230000 4.3.2.1.1049 > 172.16.54.171.3128: S 9779697:9779697(0)

'Ъ win 8192 Bcmss 1460> (DF) (ttl 19, id 9072)

12:29:58.070000 4.3.2.1.1049 > 172.16.54.171.3128: S 9779697:9779697(0)

Ь win 8192 Bcmss 1460> (DF) (ttl 19, id 29552)

12:30:10.960000 4.3.2.1.1049 > 172.16.54.171.3128: S 9779697:9779697(0) win 8192 Bcmss 1460> (DF) (ttl 19, id 39792)

12:44:54.9600001.2.3.4.3243 > 172.16.187.212.3128: S 356330349:356330349(0) win B8192 <mss 1460> (DF) (ttl 242, id 962)

12:44:57.930000 1.2.3.4.3243 > 172.16.187.212.3128: S 356330349:356330349(0)

^ win B8192 cmss 1460> (DF) (ttl 242, id 11714)

12:45:03.930000 1.2.3.4.3243 > 172.16.187.212.3128: S 356330349:356330349(0) win B8192 cmss 1460> (DF) (ttl 242, id 22466)

12:45:15.930000 1.2.3.4.3243 > 172.16.187.212.3128: S 356330349:356330349(0) win B8192 cmss 1460> (DF) (ttl 242, id 33218)

12:46:13.070000 1.1.1.1.2262 > 172.16.99.110.3128: S 20315949:20315949(0)

'Ь win B8192 cmss 1460, nop, nop, sackOK> (DF) (ttl 116, id 35676)

12:46:16.080000 1.1.1.1.2262 > 172.16.99.110.3128: S 20315949:20315949(0)

'Ъ win B8192 cmss 1460,nop, nop, sackOK> (DF) (ttl 116, id 46428)

12:46:22.070000 1.1.1.1.2262 > 172.16.99.110.3128: S 20315949:20315949(0)

win B8192 <mss 1460,nop, nop, sackOK> (DF) (ttl 116, id 57180)

12:46:34.080000 1.1.1.1.2262 > 172.16.99.110.3128: S 20315949:20315949(0)

'Ь win B8192 <mss 1460,nop,nop,sackOK> (DF) (ttl 116, id 2397)

Три атакующих хоста (1.1.1.1, 1.2.3.4и4.3.2.1) сканируют различные хосты сети 172 .16 (порт получателя 3128). При дальнейшем исследовании было выявлено, что сканирующие хосты также пытались установить соединения с портами 80 (HTTP) и 8080 (альтернативный порт HTTP). Фильтры системы Shadow не отслеживали трафик, предназначенный этим портам, так как это бы вызвало массу ложных тревог. На многих узлах были выявлены подобные попытки, сканирование проводилось многими хостами-отправителями из разных регионов планеты с интенсивностью около шести сканирований в час. Большинство пакетов сканирования были отправлены по адресам несуществующих хостов, т.е. никакой предварительной разведки проведено не было, или она была проведена очень плохо.

Появилось предположение, что сканирование выполняется с одного хоста с помощью подмены IP-адресов. Приведенный выше отчет TCPdump был получен благодаря использованию параметра командной строки -w (это позволяет вывести информацию в скобках) и предоставляет сведения о значении поля TTL и идентификатора (id). Если бы применялась подмена IP-адресов, то значения поля TTL оставались бы примерно одинаковыми (если только не подменялись еще и значения этого поля).

С помощью traceroute мы проверили число переходов до многих IP-адресов отправителей. Проверка показала, что указанные в пакетах значения поля TTL заслуживают доверия. Предположив, какое начальное значение TTL установлено на хосте-отправителе, и вычислив разность между этим значением и значением этого поля в полученном пакете, получим приблизительное число переходов между отправителем и получателем. Вся сложность заключается в определении начального значения поля TTL. Решить эту проблему поможет таблица начальных значений поля TTL, доступная по адресу www.honeynet.org/papers/finger/traces.txt.

Сходились не только значения количества переходов, но и все IP-адреса отправителей принадлежали работающим хостам, что практически нереально при случайном выборе подменяемых IP-адресов. Наконец, было обнаружено, что в последней попытке сканирования (осуществляемой хостом 1.1.1.1) использовался отличный от других попыток набор TCP-параметров (пор, пор, sackOK). Значит, намного вероятнее использование различных компьютеров, чем специальное создание хакером подобных различий.

Мы обратились к SANS за помощью в определении причин этих попыток сканирования. В университете Вандербильта работал очень проницательный администратор сетей Рон Маркум. Он обнаружил в своих сетях компьютер, осуществляющий сканирования по портам 80, 8080 и 3128. Виновником оказалась троянская программа RingZero. Она собирала сведения о компьютерах с открытыми портами ргоху-серверов (80, 8080 и 3128) и передавала эти сведения на FTP-сайт. Для хакеров очень полезна информация об адресах открытых ргоху-серверов. Это позволяет им избежать обнаружения действительных IP-адресов своих компьютеров, используя вместо них адреса ргоху-серверов. Относительно RingZero остается еще ряд нерешенных вопросов. Например, неизвестно, каким образом происходит заражение отдельного хоста, а также, какие IP-адреса сканируются после установки этой троянской программы.

Резюме

Хакеры тратят невероятные усилия на сканирование чужих хостов по Internet. Очень важно заблокировать на своем узле входящие эхо-запросы ICMP. К разведывательным действиям хакеров нужно относиться очень серьезно. Если злоумышленникам удастся узнать IP-адреса работающих хостов, то им не потребуется много времени, чтобы выяснить, какие службы запущены на этих хостах. В противном случае злоумышленникам приходится действовать наугад. Прекрасным средством защиты является использование частного адресного пространства вместо общедоступных IP-адресов. При использовании общеизвестного адресного пространства и отсутствии деления на зоны DNS хакеры могут получить искомую информацию о работающих хостах с помощью запросов к DNS-серверу. Отличным средством защиты также является служба NAT. Я рекомендую применять несколько уровней защиты NAT. И, наконец, заблокируйте на периметре локальной сети прохождение исходящих ICMP-сообщений о недостижимости.

С появлением нового класса вирусов и червей могут возникнуть внутренние угрозы даже в хорошо защищенной локальной сети. Это пример естественной эволюции методов сбора информации, так как во многих сетях стали умело пресекаться очевидные попытки проведения разведывательных действий извне.

Ервь pretty park | Обнаружение нарушений безопасности в сетях


Обнаружение нарушений безопасности в сетях



Новости за месяц

  • Октябрь
    2021
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс