Назад | Перейти на главную страницу

Обнаружение Torpig в локальной сети

Я отвечаю за надзор за локальной сетью в кампусе колледжа. Недавно мы начали попадать в черный список CBL, потому что кто-то в нашей локальной сети заражен Torpig (AKA Anserin). Предложение CBL включает мониторинг подключений к диапазону IP-адресов. Однако мы не видим выхода этого трафика. Похоже, это случается с нами лишь изредка (с момента последнего инцидента прошел месяц). Могу ли я сканировать машины на предмет присутствия Torpig? Кажется, я не могу найти никаких инструментов, которые делают это надежно. Я бы даже был готов сканировать определенные файлы, записи реестра и т. Д.

Вот сообщение CBL, которое мы получаем:

Этот IP-адрес заражен или использует NAT для машины, зараженной Torpig, также известной Symantec как Anserin.

Это было обнаружено, когда этот IP-адрес пытался установить связь с сервером управления и контроля Torpig по адресу 91.20.214.121, с содержимым, уникальным для командных протоколов Torpig C&C.

Torpig - это банковский троян, специализирующийся на краже личной информации (пароли, данные учетной записи и т. Д.) При взаимодействии с банковскими сайтами.

Mebroot обычно сбрасывает Torpig. Mebroot - это руткит, который устанавливается в MBR (Master Boot Record).

С Mebroot или любым другим руткитом, который устанавливается в MBR, вам придется либо использовать «очиститель MBR», либо полностью переформатировать диск - даже если вам удастся удалить Torpig, заражение MBR приведет к повторному заражению диска.

Лучший способ найти ответственную машину - это поискать соединения с сервером Torpig C&C. Это обнаружение было сделано через соединение с 91.20.214.121, но оно периодически меняется. Чтобы найти эти инфекции, мы предлагаем вам искать TCP / IP-соединения в диапазоне 91.19.0.0/16 и 91.20.0.0/16 (другими словами: 91.19.0.0-91.20.255.255) обычно порт назначения 80 или 443, но вы надо искать все порты. Это обнаружение соответствует подключению в 2011-07-21 12:42:02 (GMT - эта временная метка считается с точностью до одной секунды).

Большинство советов по обнаружению вредоносных программ сосредоточено на том, чтобы заставить пользователей запускать проверки безопасности на своих компьютерах ... вы не упоминаете свои точные обстоятельства, но похоже, что у вас какая-то школьная сеть? Что, конечно же, добавляет прекрасный слой хлопка по голове для решения проблемы, так как вызовет всевозможные дополнительные разочарования.

Итак, первый способ попробовать - это обучить пользователей. Плакаты, объявления и т. Д. Конечно, большинство пользователей, вероятно, проигнорируют это, но это может повысить осведомленность. Видя, как Torpig, по всей видимости, отключает антивирусное программное обеспечение, информирует пользователей о последствиях этого вредоносного ПО (кража банковской информации) и дает ссылки на онлайн-сканеры и спонсирует раздачу записанных дисков с загрузочным программным обеспечением для обнаружения вредоносных программ или спонсирует мероприятия по проверке вирусов в кампусе с ИТ-отделом. сходите в общежитие и просканируйте или принесите ноутбуки в место для бесплатной проверки на наличие вредоносных программ. Конечно, с соответствующими отказами от ответственности за последствия удаления вредоносных программ.

Затем я исследовал маршрутизаторы. Достойные маршрутизаторы должны иметь возможность сообщать о сетевом трафике через SNMP, и вы можете проверить их на предмет необычных шаблонов трафика. Вы должны уметь распознавать необычные всплески трафика или проверять наличие аномалий, а некоторые программы могут предупреждать вас о необычной активности. Некоторые боссы могут посчитать это пустой тратой времени, проверяя отчеты и состояние оборудования, которое, похоже, работает нормально. На мой взгляд, знание того, как все работает, никогда не бывает пустой тратой; иногда вы знаете, что у вашей машины будут проблемы, потому что что-то «не кажется правильным» или «звучит совершенно правильно», то же самое происходит с вашей сетью.

Вы проксируете свой трафик? Что вы используете для прокси? Некоторое время у нас был модуль FreeBSD Squid, который обнаруживал заражение вредоносным ПО на компьютере пользователя, потому что я заметил что-то странное в таблицах ARP, исходящих с рабочей станции этого пользователя; его вредоносная программа транслировала всевозможные IP-адреса, пытающиеся поразить другие цели в нашей собственной сети, и это отображалось в моих проверках состояния работоспособности прокси-сервера.

Очевидно, Torpig использует HTTP-команды для подключения к контрольным точкам. Прокси-сервер также может помочь в этом, если он регистрирует активность. Если вы можете найти некоторые из IP-адресов, к которым подключается torpig, вы можете найти в своих журналах подключения с XYZ-машины, чтобы очень быстро заблокировать их. Прокси-серверы, которые фильтруют, также должны иметь возможность автоматически блокировать трафик, не достигающий C&C серверов.

Ознакомление с анализом бота может дать вам некоторые идеи. Видеть http://www.cs.ucsb.edu/~seclab/projects/torpig/torpig.pdf для исследования поведения вредоносного ПО.

Другое дело попробовать; отправьте электронное письмо другим университетам, у которых есть эта проблема, и спросите их, что они делают для обнаружения трафика. Посмотрите, как кто-то рекламирует анализ студенческого трафика, и посмотрите, сможете ли вы связаться с их ИТ-специалистами; они, скорее всего, захотят поделиться подсказками. http://cnc.ucr.edu/security/announcements/2010_03_04_mebroot.html

Приманки ... Я не был бы против размещения этого в вашей сети только потому, что это звучит так, как будто у вас есть студенты и компьютеры, которыми вы не можете управлять. Прикрепите несколько приманок к сети и посмотрите, какие попадания в нее попадут. Я не знаю, будет ли обнаруживаться torpig с его помощью, но вы, вероятно, найдете его полезным для других вредоносных программ; Наклейте на него SNORT или другие IDS и часто проверяйте его (и отправляйте вам уведомления по электронной почте).

Последнее, что вы могли бы подумать, но это полностью зависит от вашей ситуации, - это запускать что-то вроде SAINT или Nessus в вашей сети для проверки компьютеров на уязвимости. Однако это может сильно истощить ваши сетевые ресурсы, и некоторые люди, вероятно, не оценят сканирование своих компьютеров, и у вас могут возникнуть проблемы, если это не указано в политике. Также это зависит от размера вашей сети.

Существуют инструменты, которые могут держать вас в курсе того, что находится в вашей сети, например, инструмент Spice Network и LanSweeper.

Помимо этого, все, что я могу придумать в своей голове, - это провести полный аудит всех серверов, которые вы ДЕЙСТВИТЕЛЬНО контролируете в сети, запустить на них инструменты инфраструктуры уязвимостей для аудита возможных проблем безопасности и ужесточить ваши пограничные маршрутизаторы, чтобы ограничить все исходящие порты, которые не нужны пользователям для исходящего трафика, чтобы вы могли ограничить активность вредоносных программ на необычных портах. Как минимум, вам может понадобиться машина или устройство, которое отслеживает необычную активность из нечетных портов и отправляет вам предупреждения, чтобы вы могли следить за ними и связываться с другими ИТ-отделами в других школах, похожих на вашу, чтобы узнать, как они решают эту проблему.