Мониторинг ИБ. История одного пакета.

В своих статьях я постоянно говорю о мониторинге событий ИБ. Что он совершенно необходим в любой компании. Что дело это не сложное, больших затрат сил и времени не требует, но требует навыков и знаний, впрочем, доступных любому человеку. Что есть технические средства мониторинга, в том числе бесплатные. Вот я подумал, что полезно привести пример. Расскажу одну реальную историю с применением совершенно бесплатной системы OSSIM (Open Source Security Information Management).

В некоторой компании, небольшой, но имеющей собственную и довольно громоздкую ИТ инфраструктуру, OSSIM применялся в качестве основного средства «отслеживания всего подряд». И вот однажды, человек, отвечающий за мониторинг событий, просматривая журналы событий на консоли OSSIM, увидел «свист от сурикаты» (Suricata — система обнаружения вторжений, один из компонентов OSSIM).

Suricata-net-user

Это сообщение о том. что в трафике передаваемом по http (обычный протокол общения с веб-сервером) содержатся данные выполнения консольной команды Windows «net user». Это, мягко говоря, несколько необычно для нормального веб-сервера.

OSSIM умеет перехватывать пакеты, которые Suricata считает подозрительными. Прямо из окошка с уведомлением о событии можно сохранить пакет в формате pcap и посмотреть его бесплатной утилитой Wireshark.

Вид перехваченного пакета в Wireshark

Вид перехваченного пакета в Wireshark

Да, действительно, фигню мы видим. Совсем не обычное дело. Хуже того, эти коммуникации происходили между компьютером совсем обычного сотрудника, который и слов таких как «net user» не знает, и сервером, который на самом деле никакой не веб-сервер, а сервер служб терминалов.

Интересное кино? Ладно. Расскажем весь сюжет.

Когда-то, никто не помнит зачем, айтишникам захотелось протестировать какую-то приблуду. Почему-то они решили установить ее на терминальный сервер. Приблуда работала с использованием собственного веб-сервера, у которого была еще и собственная консоль управления. Поскольку дело было тестовое, айтишники оставили подключение к консоли без пароля. А сам веб-сервер запускался с полномочиями пользователя «локальная система». Это очень широкие полномочия, практически как у администратора. Потом они забыли про эту штуку.

На компьютер сотрудника компании, используя фишинг (см. «фишинг и трояны«), проник злой хакер, который стал потихоньку изучать, куда он может попасть в сети. Он обнаружил этот забытый веб-сервер и попробовал подключится к его консоли. Опа! Получилось. Дальше хакер поместил на веб-сервер специальный набор скриптов, который позволяет выполнять в веб-браузере команды из «командной строки» Windows. Как раз момент, когда он опробовал работоспособность этих скриптов, и был зафиксирован. Пока человек на мониторинге увидел сигнал на консоли OSSIM, пока айтишники чесали затылок, хакер поместил на сервер широко известную в узких кругах утилиту «мимикаца», которая позволяет (если работает с полномочиями администратора) вычитать из оперативной памяти пароли, с которыми пользователи подключаются к серверу. А поскольку это был сервер служб терминалов, им пользовались многие, хакер успел собрать кучу паролей, включая пароль самого главного администратора в компании. Весь кайф ему обломали, когда он уже пытался установить мимикацу на главном контроллере домена, чтобы собрать пароли вообще всех сотрудников компании.

Вся  эта история, как любая история в нашей жизни, соткана из цепочки ошибок. Как айтишников, так и хакера. Хакер понимал, что в компании используются средства защиты и тщательно старался их обходить. Ему это удавалось. Этот перехваченный сурикатой пакет был первой ошибкой в его действиях, вторую он уже не успел совершить. Когда кругом растяжки, трудно проползти ничего не задев. По времени вся история разворачивалась от начала и до конца примерно столько, сколько идет полнометражный фильм.

Мораль.

Люди ошибаются — это нормально. Мониторинг событий ИБ необходим — это последняя надежда. Мониторинг — это не дорого и не сложно, просто нужно понимать, что ты видишь, и относится к этому серьезно.

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s