Отправляет email-рассылки с помощью сервиса Sendsay

Безопасность компьютерных сетей и защита информации

Подписаться Бесплатная новостная рассылка Подписчиков 9.083 RSS
  Август 2001  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31


За последние 60 дней ни разу не выходила


Сайт рассылки: http://www.itnews.ru
Открыта: 23-02-2001

Автор
Сергей

Статистика

9.083 подписчиков
0 за неделю
  Все выпуски  

Новости безопасноcти компьютерных сетей


Служба Рассылок Subscribe.Ru проекта Citycat.Ru
"Безопасность - это процесс"

 
Выпуск 19

Уважаемые подписчики мы рады приветствовать Вас !


       Компания «Rainbow Technologies» сообщает, что до окончания маркетинговой акции - «Аппаратный брандмауэр за разумные деньги» осталось всего две недели. 
       Вам предоставляется возможность за оставшееся время приобрести аппаратный межсетевой экран WatchGuard FireBox всего за 3995 у.е. (включая все налоги) на неограниченное количество пользователей.
      Вы получите современный брандмауэр со всем необходимым программным обеспечением, включающем в себя средства настройки, диагностики, мониторинга, построения VPN-туннелей, подготовки и генерации отчетов, а также бесплатную подписку на услугу WatchGuard LiveSecurity на один год. 

      По всем вопросам просьба обращаться по адресу электронной почты – kiy@rainbow.msk.ru или тлф. (095) 797-8994. 

    В новом номере рассылки мы в основном уделим внимание методу обнаружения сканирования портов на основе анализа записей журнала регистрации событий (log-файла) межсетевого экрана.

    Помимо основных функций по защите корпоративной сети от проникновения из вне, каждый межсетевой экран должен поддерживать функцию ведения log-файла, в котором содержатся записи о тех или иных событиях в функционировании брандмауэр. На данный момент наиболее распространенными средствами автоматического сканирования портов являются такие приложения как nmap и firewalk. Основная задача, решаемая при их использовании заключается в нахождении незаблокированных портов предоставляющих доступ к каким-либо сетевым сервисам. Ниже приведен фрагмент реального log-файла межсетевого экрана WatchGuard Firebox, осуществившего временное блокирование доступа с IP адреса выполнявшего автоматическое сканирование портов.
 
Jul 7 16:27:05 gateway kernel: Temporarily blocking host 148.206.74.18

Jul 7 16:27:05 gateway firewalld[85]: deny in eth0 60 tcp 20 46 148.206.74.18 206.165.206.209 2583 111 syn (blocked port)

Jul 7 16:27:05 gateway firewalld[85]: deny in eth0 60 tcp 20 47 148.206.74.18 206.165.206.215 2589 111 syn (blocked site)

Jul 7 16:27:05 gateway firewalld[85]: deny in eth0 60 tcp 20 43 148.206.74.18 206.165.206.213 2587 111 syn (blocked site)

(В качестве средства ведения log-файла использовалась стандартная Unix-утилита syslog, хотя WatchGuard FireBox обладает встроенной системой ведения и анализа log-файла).

    Первая запись содержит сообщение, что все соединения с IP адресом 148.206.74.18 были автоматически заблокированы. Далее идут еще 17 сообщений о причинах, поясняющих почему этот IP попал в список временно заблокированных сайтов. Давайте уделим немного больше времени анализу содержимого записей Log-файла.
    Каждая запись начинается с поля содержащего запись о времени и дате наступления события, затем следует поле с информацией от какого межсетевого экрана поступило это сообщение (в нашем случае - gateway), наименование процесса выполнившего процедуру временного блокирования. Так как блокирование инициировать может только процесс низкого уровня, то первая запись о блокировании сгенерирована ядром системы.
    Затем следую стандартные сообщения о попытках подключения к запрещенных службам. Записи можно расшифровать следующим образом. Сообщение сгенерировано демоном межсетевого экрана, процессом с порядковым номером 85. Входящий пакет был отклонен (deny) внешним интерфейсом межсетевого экрана (eth0). Отклоненный пакет имел стандартную длину 60 байт и был послан по протоколу TCP, заголовок пакета - 20 байт, параметр TTL (time-to-live) - 46. По записи можно сказать, что заголовок пакета имеет стандартную длину без IP option. Сравнение записей показывает, что они отличаются значениями полей адреса назначения и порта отправки пакета. Данный факт явно указывает на использование автоматического сканера.
    Проанализируем откуда все-таки была произведена атака, для этого воспользуемся стандартным средством TCP/IP стека, nslookup:
 

C:>nslookup 148.206.74.18
Server: bear.spirit.com
Address: 0.0.0.0
Name:    bismark.uam.mx
Address:  148.206.74.18

    Префикc "mx" указывает на страну происхождения атаки - Мексику. Последняя часть записи log-файла содержит информацию о порте назначения пакета. В нашем примере это 111 порт, используемый в Unix и Linux системах для функционирования службы portmapper, которая направляет запросы RPC портам которые они запрашивают (это может дать злоумышленнику информацию какие сервиса на данный момент активны).

    Ответ на вопрос, зачем кому-то из Мексики пытаться осуществить соединение по 111 порту с системой вполне очевиден. С его помощью можно получить управление над удаленной системой. Если обратиться к статистике на сайте incidents.org , то 111 порт принадлежит к числу наиболее часто сканируемых. Другим наиболее часто подверженным атакам являются 21, 53, 80, 515 и 2049 порты, используемые службами FTP, DNS, Web, сетевой печати и NFS).
 
 
 

Вирусы

    За поcледнее время новых опасных вирусов в диком виде не обнаружено. Однако хотелось бы рассказать о двух новых вирусах. Первый из них ICMPBOMB. Данный вирус принадлежит к классу троянов и позволяет злоумышленнику приводить инфицированную систему к краху DoS атакой, путем отправки ICMP запросов не стандартного вида. В принципе вирус в диком виде не обнаружен.

    Второй имеет наименование PEACHYPDF. Он интересен тем, что в качестве транспорта использует PDF файлы, хотя сам по себе вирус выполнен в виде обычного VBS скрипта. При открытии пользователем вложенного в инфицированное письмо файла активируется скрипт PEACH.VBS, который записывает в каталог TEMP файл с расширением .JPG. Затем пользователю предлагается поиграть в незатейливую игру. В фоновом режиме происходит изменение ключа реестра
 

HKEY_LOCAL_MACHINE\Software\OUTLOOK.PDFWorm “Version 1.0. By Zulu”

    После этого вирус осуществляет поиcк адресной книги Microsoft Outlook. После этого осуществляется поиск транспортного PDF файла, имеющего размер 168,230 - 168,250 байтов. Вирус рассылается только первым ста пользователям, чьи адреса были обнаружены в книге. Отличительными четами инфицированных писем являются:

  • поле Subject, оно может принимать значение
     
    “Fw: You have one minute to find the peach”
    “Fw: Find the peach”
    "Fw: Find”
    "Fw: Peach”
    “Fw: Joke”
  • поле Message Body, может содержать следующие строки
     
    :“Try Finding the peach”
    :“Try this”
    :“Interesting search”
    :“I don’t usually send this things, but…”
  • в качестве вложения используются следующие файлы
     
    :FIND.PDF
    :PEACH.PDF
    :FIND THE PEACH.PDF
    :FIND_THE_PEACH.PDF
    :JOKE.PDF
    SEARCH.PDF
    Вирус имеет ряд ограничительный условий, для его успешного распространения необходимо наличие на инфицируемой машине одновременно Adobe Acrobat, Microsoft Outlook.

Приводим список десяти наиболее часто встречающихся в диком виде вирусов:
 

  1. TROJ_SIRCAM.A
  2. PE_FUNLOVE.4099
  3. PE_MAGISTR.A
  4. PE_CIH
  5. VBS_HAPTIME.A
  6. PE_MTX.A
  7. JS_KAKWORM.A
  8. W97M_THUS
  9. W97M_THUS
  10. PE_MAGISTR.DAM
  11. XM_GENERIC
Дополнительную информацию можно получить, направив запрос автору рассылки

С уважением, Игорь Камолов.
 


 
http://subscribe.ru/
E-mail: ask@subscribe.ru 		Отписаться Рейтингуется SpyLog
В избранное