Какие есть неочевидные способы обнаружения вирусов в сети?

Question

[Владимир Камышанов]

Обнаружение и обезвреживание вирусов - общая проблема компаний любого масштаба. Здесь, по моему мнению, нет конкурентов, все мы в одной лодке.

Коллеги, кто использует неочевидные методы (не включаемые в состав IPS или редко включаемые) поиска зараженных машин в своей сети, косвенные, нетривиальные, прошу помочь советом, поделиться своим опытом.

Заранее благодарен.

Answer 1

[Deerenaros]

Возможно, кому-то открою Америку, но.. Мозгами.

Собственно, если нет возможностей использовать *nix'ы, то выход один - сильно повысить граммотность пользователей сетей. Граммотно используемая система не даст ни одного шанса пробратся вирусу в систему, за исключением, офк, огромнейших дыр в безопасности.

То есть, настраиваем групповые политки, только то, что нужно для работы. Остально - или нафиг, или в sandbox'е.

К слову - sandbox'ы интересная штука. Не так давно провёл эксперимент, превзошедший все ожидания: поставил и настроил chromium-based браузер, который всё сохраняет в sandbox'ах. Всё что скачивается попадает, так сказать, в root-овый sandbox. Любой исполняемый файл запускаемый внутри sandbox'а получает свой собственный полностью изолированный sandbox. На чтение - всё в пределах root'а, на запись - только в себя. Единственный способ получить полный доступ к файловой систем - запустить из вне, но это может только админ. Как он превзошёл все ожидания? Да хз, вирусы не измерял, но стало возможным нормально сёрфить прон =)

Ну и ещё - все сервера только *nix'овые, root только с локалки, sudo хочет рутовый пароль, который знает только админ, ssh на отдельные пароли длиной в 8 символов из чего угодно.

Comments

[Владимир Камышанов]

Сеть на windows, пользователей много, эффективно обучить всех не удастся, хотя и работаем, конечно, в этом направлении.
За идею с sandbox'ами спасибо, попробую подобрать какое-нибудь решение опять же для windows.

[Василий]

Защищенность и отсутствие вредоносного кода для Linux/Unix - сильно разрекламированный миф. Дыр и уязвимостей как в ядре, так и в различном прикладном ПО хватает.

[Deerenaros]

Василий: Защищённость ну очень высокая при наличии прямых рук. Если работать под рутом, то никакой антивирус не поможет. Дыры и уязвимости есть везде, но их стоимость для Linux на порядок ниже - открытый код сильно усложняет продажу и провоцирует поделится с сообществом =) Наконец, намного меньшее количество пользователей сильно снижает привлекательность распространения бесполезных вирусов (ботнеты, рекалама и прочий шлак), а сама архитектура linux не позволяет сделать что-либо серьёзное не под рутом.

[Василий]

Защищенность выше при соответствующей подготовке персонала - согласен. В остальном - продолжение мифа о защищенности.
Сейчас хватает ботнетов и командных серверов на взломанных разновидностях Linux/Unix (как серверах, так и персональных устройствах).

[Deerenaros]

Василий: Ага, и там либо рутовый пароль на ssh - qwerty (кто вообще придумал рута добавлять в ssh), либо это дефолтный openwrt на недоразвитом dlink'е. Уязвимости нулевого дня... Ну да, ну да, проснись Нео и беги за кроликом! Поясню - уязвимости есть везде, от них никто не застрахован, одна из задач инженера инфобеза - про такие уязвимости оперативно узнавать и быстро всё латать. Конкретно - приятнейшая уязвимость - но... Контекст текущего процесса, если система адекватно используется - максимум это испоганить /home раздел. Но умный человек давно перетащил все важные документы в облако, а скачанный фильм можно и ещё раз скачать. И да, это unix! А вообще умора, неумение различать *nix, unix и linux - ну это надо отлично придумать.
Детский лепет, вроде ботнетов и командных серверов вообще не должен интересовать меня. Мне интересно, чтобы прон на жёстком не был скомпрометирован, но привык его шифровать TrueCrypt'ом, так что пусть ботнет дальше брутит очередной роутер под openwrt.

[Василий]

Deerenaros: вы, видимо, предполагаете, что в корпоративных/служебных системах пользователи тоже хранят данные в облаках, а самое важное, что можно потерять - видео.
Вирус-шифровальщик не будет подбирать пароль к разделу TrueCrypt, а просто зашифрует его служебные файлы с метаданными и потребует некоторую сумму за обратную операцию.

Answer 2

[morgan]

Можете добавить анализ входящей электронной почты на предмет вложений исполняемых файлов, скриптов, ссылок.
Сначала ручной разбор, если удивитесь найденному то пробуйте mail gateway.

Answer 3

[Василий]

Задача защиты от вредоносного кода (вирусы и прочее) должна решаться комплексно:
- жесткие, но разумные ограничения (Интернет, права пользователей, устанавливаемое ПО, подключаемые устройства и т.д.)
- антивирусная защита в несколько уровней (несколько вендоров, это сложнее поддерживать, но и сложнее обойти)
- политика обновления ПО (ОС, прикладного ПО, прошивок оборудования)
- мониторинг трафика (IDS/IPS, сервисы фильтрации DNS трафика, блокировка неиспользуемых протоколов)

Comments

[Deerenaros]

Ага, давайте поставьте десяток антивирусов. Насоветуете тут. Обойти легче! Антивирусы вообще нет смысла обходить. Это оксюморон - обойти антивирус. Антивирус нужен если УЖЕ было проникновение. Обходят фаерволы! Мониторинг трафика тоже занятная штука. Всегда интересно почитать чужие сообщения в вк. Да и просто узнать, что кто-то использует вк в рабочее время. В остальном - штука совершенно бесполезная, лишь повышает энтропию вселенной.
Да и обновление ПО. Вот тут сразу видно дилетанта - кто вам даст обновлять ПО, от которого зависит десяток легаси проектов? А уж прошивки обновлять, если это не CISCO - лучше сразу застрелится.

[Василий]

Deerenaros:
Обойти несколько антивирусов сложнее, чем один. Спорить об их эффективности - это как спорить о прививках, у каждого свое мнение и аргументы.
Продукты антивирусных компаний давно используют не только сигнатурный анализ, но и множество других технологий (поведенческий анализ, анализ событий событий на всех станциях организации и др.), которые, естественно, не дают 100% защиты.
Продуманная политика обновлений - это не тоже самое, что бездумное автоматическое обновление. Проблемы с обновлениями бывают у всех производителей/разработчиков без исключений, у кого-то чаще, у кого-то реже. Политика для этого и разрабатывается, чтобы регламентировать что/как/когда и планы если вдруг "шеф, всё пропало!".
Сопровождение унаследованных проектов - большая и, порой, далеко не тривиальная задача.

[Василий]

Deerenaros: Далеко не у всех мониторинга трафика ограничивается чтением чужих сообщений.
Чаще - выявление нестандартных пакетов/протоколов, аномальные всплески (характерные для сканиования сетей и туннелей DNS) и т.д.

[Deerenaros]

Василий: Простите, но зачем анализировать трафик, чтобы выявлять "аномальные всплески", хотя я не особо понимаю, что значит "сканирование сетей" (сканирование портов, может быть) и тем более, зачем анализировать трафик, для выявление DNS-туннелирования, покуда можно банально затащить всё под проксю, которая пуская сама разрешает адреса.
Про антивирус уже говорил - их не надо обходить, это антивирусам надо находить и устранять УЖЕ проникшую угрозу. Продукты компаний в инфобезе давно делают не только антивирусы - совсем другой вопрос, но то, что каким-то образом антивирус вдруг стал фаерволом, например... Товарищ, почитайте про информационную безопасность и возвращайтесь администрировать свою сеть из 10 ПК.
Сопровождение унаследованных проектов - это не просто большая, а очень даже насущная задача, которая очень часто невероятно тривиальная - "улыбаемся и машем". Накручиваем виртуалку, ставим нужное окружение и радуемся жизни =) Я просто к тому, что окружение тоже обновлять никак нельзя, иначе полетит к чертям. Какой-нибудь вася решил вместо i++ сделать ++i, ибо хардкорнее выглядет, а в итоге результат не из регистра, а из памяти вытаскивается, которой уже и нет в помине; и всё валится с seg fault.
В общем, я лишь пытался донести такую простейшую вещь, что антивирус - это одно, которое ну никак не нужно в правильно работающей системе, оставьте их домохозяйкам, а фаервол - это другое, штука очень полезная и важная, только для домохозяек сложноватая.
Про несколько антивирусов - вообще чушь. Каскад фаерволов - вещь насущная и повсюду используемая. А вот несколько процессов в режиме ядра постоянно анализирующие друг друга - идея далеко не от большого ума.

[Василий]

Deerenaros: прокси-сервер не раздает адреса (этим, как правило, занимается DHCP) и никак не контролирует DNS-трафик клиентов (который обходит практически любой FW),
сканирование сети не всегда выполняется сканированием портов (порты появляются в TCP/UDP, а сканирование может идти с использованием других техник или протоколов ARP, ICMP),
антивирусы от разных вендоров устанавливаются на разные узлы (узлы сети делят на классы по функциональному назначению или другим критериям)

[Deerenaros]

Василий: О да, вижу полное непонимание принципа работы прокси. Смешно и грустно - сканирование это сугубо прикладная задача, используемая в относительно большом количестве протоколов, и вряд ли какой фаервол от неё защитит. А то, что вы сказали граничит с чушью - ARP, ICMP - это протоколы более низкого уровня и сканировать там технически ничего не надо, вся информация получается пассивно. А вот байки с разными узлами совершенно не понял. Ни что конкретно имеется ввиду, ни каким образом это может помочь.