Информация с сайта: www.winsecurity.ru


Слежение за угрозами (часть 2)


Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.

Если вы хотите прочитать первую статью из данного цикла, пожалуйста, перейдите по ссылке Слежение за угрозами (часть 1).

Введение

В первой статье цикла я объяснил, как проводить слежение за угрозами, и рассказал о некоторых базовых техниках сбора информации о доменах и IP-адресах. В завершение цикла я хочу поговорить о некоторых других способах сбора информации об угрозах и некоторых тактиках эффективного использования Google для нахождения более подробной информации об интересующих нас адресах. И, наконец, я упомяну некоторые техники, которыми вам следует воспользоваться, чтобы ваше исследование не привело к возникновению проблем.

Записи DNS

Зависимость Интернета от DNS – палка о двух концах. Служба DNS – быстрая и гибкая, но ее распределенная сущность и ее опора на тот факт, что некоторые биты информации становятся общедоступными, могут помочь как хакерам, так и защитникам сети. Одним из самых простых способов собрать полезную информацию о потенциально враждебной цели – получить список записей DNS, связанных с ней.

Воспользовавшись той же тактикой, что и раньше, мы не хотим показываться и касаться DNS-сервера, который, предположительно, находится под контролем противника, поэтому нам нужна третья сторона. Мне всегда нравились инструменты network-tools, которые позволяют делать не только простые DNS-запросы. Выбрав опцию DNS record, вы можете задать IP-адрес или доменное имя и получить все связанные с ним записи DNS. Сюда входят записи A, NS, MX и т.д. Таким способом вы можете быстро построить список связей с другими доменами, IP-адресами и сетями. Может оказаться, что IP или домен, с которого вы начинали, не характеризуется ничем подозрительным, но одна из его связей – именно такая. Подход «вина по ассоциации» вполне может оправдать себя.

Рисунок 1: Выполнение DNS-запроса при помощи Network-Tools Рисунок 1: Выполнение DNS-запроса при помощи Network-Tools

Черные списки

Когда IP или домен в некотором смысле нарушает правила работы с электронной почтой, можно предполагать, что он рано или поздно окажется в том или ином черном списке. Службы фильтрации спама полагаются на черные списки, чтобы ваша папка входящих не засорялась. Эти списки могут быть полезными и при оценке потенциально враждебных целей, поскольку они указывают на хосты, которые использовались при генерации спама.

Есть несколько черных списков, на которые часто ссылают различные вендоры, поэтому хорошей идеей было бы использовать вебсайт, который проходит по множеству черных списков, вместо индивидуальной проверки каждого. Эту задачу можно выполнить здесь, но когда я хочу тщательнее разобраться, я пользуюсь этим сайтом, поскольку он проверяет больше списков, кроме того, на нем есть еще несколько инструментов, работающих с электронной почтой.

Важно помнить о том, что попасть в черный список невероятно легко. Даже вполне надежные серверы попадают в такие списки иногда; поэтому, хотя черные списки – неплохие индикаторы, им нельзя доверять полностью, то есть вы не должны полагаться только на один этот источник информации об угрозах.

Рисунок 2: Проверка черных списков с помощью MX Toolbox Рисунок 2: Проверка черных списков с помощью MX Toolbox

Google

Самым мощным средством из имеющихся в вашем распоряжении является возможность осуществлять поиск по имеющейся у вас контекстной информации. В принципе, простое гугление IP или домена может дать положительный результат. Если сам IP или домен не дают достаточно информации, вам стоит расширить свой поиск путем добавления ключевых слов, описывающих происходящее у вас.

К примеру, если вы видите необычное количество зашифрованного трафика через порт 443, вы можете просто вписать 'port 443' в строку поиска. Если вы хотите разобраться с необычными GET-запросы по HTTP конкретного файла, поищите по названию этого файла. Суть в том, чтобы взять доступные вам данные и использовать их для сужения круга поисков, чтобы получить что-нибудь полезное. Возможно, вам и не удастся ничего найти, но всегда есть возможность того, что кто-то другой наблюдал подобный трафик или другие подозрительные проявления, и это может вам помочь в определении, является ли хост опасным.

Кроме простого вбивания слов для поиска, есть пара операторов, которые могут вам помочь. Вот они:

  • Site: Оператор site ограничивает ваш поиск конкретным доменом. Я часто его использую, когда пытаюсь найти потенциально опасные данные в пределах известного надежного домена. В качестве примера можно привести поиск встроенного фрейма, который был установлен на надежном вебсайте. Кроме того, вы можете воспользоваться этим способом, чтобы определить все проиндексированные страницы для определенного домена.
  • Filetype: Этот оператор указывает Google показывать результаты, соответствующие определенному типу файлов. Это очень полезно при выяснении подробностей о PDF-файлах, которые могут содержать встроенный в них вредоносный код. Выполнение поиска с использованием ключевых слов site и filetype может помочь вам составить список всех PDF-файлов, содержащихся на определенном сайте. Затем вы можете поискать найденные вами PDF и посмотреть, не проявляются ли они где-нибудь как опасные. Попробуйте получаемые вами результаты вставить в что-нибудь типа ThreatExpert.
  • Inurl: Этот оператор ищет только по URL сайтов, индексированных Google. Если я вижу странный GET-запрос по HTTP, я вставляю части URI в этот оператор и смотрю, не появляется ли он на каких-нибудь других сайтах как часть чего-то плохого.

В Google полезный поиск можно произвести тысячами способов, используя различные операторы. Причем, их так много, что некоторые люди даже уделили значительное количество своего времени на исследование эти возможностей. Одним из лучших ресурсов по изучению Google – книга Джонни Лонга ( Johnny Long ), Google Hacking for Penetration Testers. Кроме того, вы можете обратиться к специальной базе данных – Google Hacking Database здесь,, которая тоже создана Джонни Лонгом. Используя техники с этих ресурсов, вы можете найти версии ПО, работающего на веб-серверах, списки директорий и даже можете автоматизировать некоторым осмысленным образом свой поиск. Наличие определенного уровня навыков по работе с Google необходимо для любого хорошего аналитика в области компьютерной защиты.

Наличие грамотных друзей

Если ничего не помогает, очень эффективной может оказаться помощь извне. Частично это означает наличие хороших отраслевых контактов вне вашей организации, находящихся в похожей ситуации. С помощью этих людей вы можете построить сеть проверенных коллег, с которыми вы будете делиться информацией относительно потенциальных угроз. По крайней мере, вы сможете отправлять сообщение коллеге с описанием непонятного для вас сетевого трафика, чтобы узнать, не происходило ли у него чего-то подобного. Сложно подсчитать, сколько раз это помогало мне в критических ситуациях.

Кроме отдельных личностей, групп пользователей, блогов, каналов IRC и т.п. в вашем распоряжении есть отличные внешние источники информации. Одним из самых мощных ресурсов в вашем распоряжении – это центр SANS Internet Storm Center (ISC). ISC формируется добровольцами, находящимися на связи круглосуточно. Эти добровольцы, кроме всего прочего, - высококлассные специалисты по обнаружению внедрений. В ISC есть специальная контактная форма, с помощью которой вы передаете интересующий вас трафик, который впоследствии будет проанализирован. Также тут ведется блог в стиле дневника, где обсуждаются тенденции в информационной безопасности и новая информация, связанная с защитой сетей. Более подробно об ISC и его команде можно прочитать тут.

Самозащита

В первой части цикла я упомянул о важности самозащиты: не работайте напрямую с потенциальными хакерами. Есть пара способов убедиться в своей защищенности:

Просмотр кэша

Когда вы поиском проверяете подозрительные сущности, у вас может возникнуть соблазн перейти на связанные с ними сайты, чтобы посмотреть содержимое этих сайтом. Обычно это плохая идея, особенно если ваш компьютер подключен к производственной сети. Возможным подходом тут будет использование кэша Google для просмотра архивной копии сайта, которая не опасна. Если кэшированная версия страницы доступна, вы увидите ссылку 'Cached' в списке результатов, на которую можно щелкнуть мышкой. Помните, что если при просмотре кэшированной страницы вы щелкните на какую-нибудь ссылку на этой странице, вы перейдете на сам хост, куда ведет эта ссылка, а не на кэшированную версию той страницы.

Предварительная загрузки

Предварительная загрузка – функция браузера, позволяющая автоматически загружать веб-содержимое на основании прогноза того, на какие ссылки вы будете щелкать мышью. Эти прогнозы осуществляются на основании кода на вебсайтах. Как вы понимаете, иногда приходится посещать вебсайты, содержимое которых вы не хотите автоматически загружать. Поэтому я всегда отключаю предварительную загрузку вне зависимости от используемого браузера и вам рекомендую делать то же самое при проведении исследования угроз. Настройка отключения предварительной загрузки в различных браузерах осуществляется по-разному, поэтому вам нужно будет самостоятельно выяснить, каким образом сделать это в вашем браузере.

Заключение

Тактики, техники и процедуры, используемые хакерами для проникновения в наши сети непрерывно меняются и будут меняться. При наличии хорошей защиты вполне возможно, что у нас будет достаточно данных для принятия обоснованного решения относительно неизвестных систем, взаимодействующих с нашей сетью. Важнейшее решение, принимаемое защищающейся стороной, - является ли хост опасным или нет. Если вы принимаете правильное решение, кризис можно предотвратить, в противном случае вам, возможно, придется искать новую работу. Надеемся, что советы в этой статье будут вам полезны при проведении исследования угроз и при принятии столь важных решений.

Если вы хотите прочитать первую статью из данного цикла, пожалуйста, перейдите по ссылке Слежение за угрозами (часть 1).





Рейтинг:  
4.3 (голосов 3)  
 1   2   3   4   5    

Автор: Крис Сандерс(Chris Sanders)
  Крис Сандерс -старший консультант по сетевым технологиям в Practical Packet Analysis. Его персональный сайт находящийся по адресу: www.chrissanders.org содержит много статей и руководств по сетевому администрированию, сетевой безопасности, анализу пакетов, и много другой полезной информации.
Эта статья переведена и опубликована с разрешения www.windowsecurity.com

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.




Работает на «Битрикс: Управление сайтом» © MSExchange.ru, ISADocs.ru, 2005