Jak v síti detekovat infikovaná Windows

David Strejc

Jak v síti detekovat infikovaná Windows
« kdy: 23. 06. 2010, 10:04:18 »
Potreboval bych poradit (fyozoficky i nastrojove) - jak resite IDS na gateway?
Existuje nejaka cesta, jak detekovat infikovane Windowsy uvnitr site?
Googlil jsem hodne dlouho propojeni snortu s clamav (a zda se mi divne, ze tyhle dva produkty moc nespolupracuji, i kdyz majitel je jedna firma) - nebo neco podobne - potrebuju aspon vzdalene tusit, jestli ti mi spolupracovnici tady maji zavirovane windows (na konkretni viry jsou nmapy {ale jen na nektere}).

Docela by me zajimalo, jestli je to nejak resitelne (nemusi to byt uplne realtime).

Diky za odpoved.
« Poslední změna: 23. 06. 2010, 10:36:44 od Petr Krčmář »


ubuntak

Re: Jak v síti detekovat infikovaná Windows
« Odpověď #1 kdy: 23. 06. 2010, 11:40:36 »
Hm tak se mi zda ze v tomto smeru se bez komercniho reseni nepujde obejit. Bud to nejaky antivirus pracujici /client/server linux/windows a nebo nejake reseni treba od foritnetu.  Jinak by se dalo udelat scripty spoustenen z cronu, ktere by v danem intervalu dumply sit a pak z toho delali log. Ten by se mohl treba davat na web. Ale jak sam pises nejsou vsechny viry zmapovane a nikdy zrejme nebudou.

Re: Jak v síti detekovat infikovaná Windows
« Odpověď #2 kdy: 23. 06. 2010, 12:03:41 »
Vim ze Nod32 dokazal tohle detekovat. To bylo ale pred 9ti lety. Bylo zapotrebi ho nainstalovat na vsechny pocitace v siti a konfigurovat uzivatelske stanice, aby posilali reporty na tvuj adminovskej comp kde je instalovan nod32 pro adminy.
To jsem pak sedel jako admin v internetove kavarne a vedel hned o tom, kdyz treba nekdo dal do cd-romy zavirovane cd, nebo ztahnul zavirovany soubor.

David Strejc

Re: Jak v síti detekovat infikovaná Windows
« Odpověď #3 kdy: 23. 06. 2010, 15:52:23 »
Super diky. Ja to hledam docela dlouho - sedi tu 20 lidi, kteri maji windows a ... "obcas" se jim chovaji podezrele.
Jejich antiviry hlasi nesmyslne veci, nekdo tu tvrdi, ze antivir nepotrebuje, protoze na "nebezpecny obsah" nechodi, ze mu staci windows defence a tak dale.
Nechci to tu mit jako v HVB Bank nebo tak, ale jen monitorovat podezrely traffic.
Takze pravdepodobne udelam to, ze budu z packet filteru tahat traffic jednotlivych IP adres a kdyz to prekroci "rozumnou" mez, tak je budu sledovat vic.
Nevim.
Mel jsem tu snort, ale ten mi prisel podivny - ma sice sety pravidel, ale abych pravdu rekl vypadal dost slozite a "podezrely" traffic mi detekoval dost casto.
Diky.

Fantomas

Re: Jak v síti detekovat infikovaná Windows
« Odpověď #4 kdy: 23. 06. 2010, 16:03:22 »
Kazdy av s centralni spravou umi generovat reporty, nekdy se to hodi. Pokud to nemas, pak sleduj trafic na gatewayi nebo zakaz vsechny porty a povol jen ty nutne k chodu firmy. I kdyz valna vetsina dat se stejne vali pres 80. Tem co tvrdi ze zadny av nepotrebuji (a jedou pres windows), v zadnem pripade never. To jsou chytraci, kteri maji plno kecu a zaroven jim z kompu odchazi tisice spamu pres smtp, aniž by to tušili, grrrrrrr!!!


David Strejc

Re: Jak v síti detekovat infikovaná Windows
« Odpověď #5 kdy: 23. 06. 2010, 16:13:44 »
Neverim nikomu ;o))
Trochu verim tem BSD strojum (tam rekl bych viry nebudou - podle muninu je sleduju uz delsi dobu a nerekl bych, ze se chovaji nestandardne).
Jak jsem rikal - muzu jim to tu pozakazovat, ale za chvili budou behat, at pustim radio, at pustim ICQ, at pustim WoW, at pustim kdo vi co.
To jsem nejak moc nechtel.
Traffic in mam zakazany komplet.
Traffic out je naopak cely povoleny, protoze tu hrajou ruzne hry, poslouchaji radia a tak dale.
Muzu je "omezit", ale je to asi jako kdyz jsem pustil mod_security2 ... Jak to ze mi nejde nahravat soubor pres skvely php webovy nahravadlo? Jak to, ze ...
Musel bych pravidla neustale orezavat a orezavat a nakonec by to stejne dopadlo tak, ze bych mel deravou ohnivou zed.
Pokud skutecne neexistuje nic, co umi analyzovat traffic a podle nejakych updatovanych patternu hledat mozne ohrozeni, tak nic jineho nez obycejny monitoring IP adres nezbyva.
Dik.

faha

Re: Jak v síti detekovat infikovaná Windows
« Odpověď #6 kdy: 23. 06. 2010, 21:45:44 »
Mrknete na tohle
http://en.wikipedia.org/wiki/Honeypot_(computing)

Dole je seznam projektu

Projects
The Honeynet Project
Mwcollect Project
Nepenthes Project
Honeywall Project
PenTBox Project (includes a Honeypot)
Developments of the Honeyd Virtual Honeypot
Open source client honeypot
Open source low interaction client honeypot
Canadian Honeynet Project | Canadian Honeypot Security Research
Incident Analysis of OpenBSD Honeypot
European Network of Affined Honeypots
Mexican Honeynet Project
Honeypots Information (Shadowserver Foundation)

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re: Jak v síti detekovat infikovaná Windows
« Odpověď #7 kdy: 24. 06. 2010, 19:46:44 »
Jen tak mimochodem Wireshark umi vygenerovat statistiky provozu podle zdrojove a cilove ip. Zjistite pak treba, ze stroj XY odeslal za nekolik hodin nepochopitelnych 10GB na ip patrici nejakemu serveru veteranu polske armady a dalsi 4GB nekam do Ruska, coz je podezrele, protoze proc by tam kdo lezl dobrovolne a proc tolik dat? Cili na obcasne nahodne loveni podezrelych aktivit se to da celkem jednoduse pouzit. Mel by tam snad jit i naimportovat vystup z tcpdump, ktery si zase celkem snadno nainstalujete vsude, i kdyz tam neni WM a prez treba ssh a screen si to spustite kdy chcete.

David Strejc

Re: Jak v síti detekovat infikovaná Windows
« Odpověď #8 kdy: 25. 06. 2010, 09:54:21 »
Ja to mel porad pred nosem a nez mi to nekdo neukazal, tak jsem to nevidel ;o)
Jednoduse je spravne.
Proste a jednoduse tcpdump a pak nejaky analyzator.
Super.
S temahle znalostma uz budu schopen nejak nasmrdlat "protekcni system" pro sit windowsaku ;o)

Diky.

bull

Re: Jak v síti detekovat infikovaná Windows
« Odpověď #9 kdy: 25. 06. 2010, 09:55:17 »
my máme v síti viroměr:
cituji:
"Jak viroměr funguje?
Viroměr má dvě sledovací části:
1. V síti existují virtuální počítače (návnady) a viroměr sleduje, kdo se návnadu pokusí kontaktovat a zavirovat. No a pokud jste na tomto seznamu, tak to znamená, že Váš počítač jeví o návnady zájem. Za běžné situace počítač o návnadách vůbec neví - ke kontaktu dojde až ve chvíli, když zavirovaný počátač náhodně útočí na prostor kolem sebe a trefí adresní rozsah návnad.
2. [cenzurováno] sledují kolik pošty se přes ně snažíte odeslat, respektive kolik poštovních serverů kontatujete. Běžně Vás počítač kontaktuje pouze jeden poštovní server (případně několik málo, používáte-li více poštovních účtů). Viry obvykle odesílají velké množství mailů (spamu). Kontaktují přitom přímo mailservery adresátů, aby obešli kontrolu na mailserveru sítě, a podle toho se jejich přítomnost dá snadno poznat.

Pokud viroměr zaznamená neobvyklou aktivitu počítače, pošle ... atd."

snad jsem nevyzradil nic tajného  ;)

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re: Jak v síti detekovat infikovaná Windows
« Odpověď #10 kdy: 25. 06. 2010, 13:55:44 »
my máme v síti viroměr:


A kde ten Viromer roste?

faha

Re: Jak v síti detekovat infikovaná Windows
« Odpověď #11 kdy: 25. 06. 2010, 16:51:07 »
viromer maji v pilsfree, asi to nebude free kdyztak se ptejte na muki-ho, muki.cz

Re: Jak v síti detekovat infikovaná Windows
« Odpověď #12 kdy: 26. 06. 2010, 11:52:01 »
Co se týče zakazování odchozího provozu – je celkem na nic. Porty 80/443 stejně nezakážeš a většina malwaru se bude dorozumívat právě přes ně – protože vědí, že ostatní porty se často zakazují. Pamatuji si i případ trojského koně, který byl řízen přes zprávy na Twitteru - z pohledu správce sítě to vypadá, že si uživatel jen čte Twitter a přitom má zavšivený počítač.

Jedinou výjimkou je zákaz portu 25 (SMTP). Je to sice ošklivé, ale jeho zákaz dokážu pochopit. Hodně lidí ho nepotřebuje (lamy používají webmaily) a těm, kdo ho potřebují, ho na požádání povolíš (ale těch bude málo, protože často se používá SMTPS).

A s tím tcpdumpem taky opatrně – pozor na telekomunikační tajemství.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re: Jak v síti detekovat infikovaná Windows
« Odpověď #13 kdy: 26. 06. 2010, 17:23:13 »
A s tím tcpdumpem taky opatrně – pozor na telekomunikační tajemství.

Zneni zakona neznam, ale kdyz budu sledovat objemy a koncove body provozu, tak se snad jeste nejedna o telekomunikacni tajemstvi. To snad az tehdy, kdyz zacnu cist cizi liebesbrify a podobne. Pokud to tak neni, tak se dnes snad uz site nedaji spravovat a zabezpecovat, protoze kazdy monitoring by byl proti zakonu. Pokud zakon zni v tomto smyslu, tak ho snad protlacilo loby spameru a tvurcu viru a trojskych koni.

Re: Jak v síti detekovat infikovaná Windows
« Odpověď #14 kdy: 27. 06. 2010, 09:45:16 »
Odkud, kam a kolik se sledovat dá. Ale zachytávání přenášených dat a jejich ukládání na disk je dost na hraně nebo spíš za hranou – a rozhodně by se mi to jako uživateli nelíbilo. Jak chceš dokázat, že ten soubor někam neunikl, nebo že si v tom Wiresharku nekoukal dovnitř přenášených dat? IMHO tohle není nezbytně nutné pro provoz sítě a bral bych to jako šmírování, ne jako oprávněnou snahu správce sítě.