Wyciągnąć sieć czy moc? (za kontynuowanie zrootowanego serwera)

Gdy serwer zostanie zakorzenione ( np sytuacja jak ta ), jedną z pierwszych rzeczy, które można zdecydować się zrobić, to powstrzymywanie . Niektórzy specjaliści od bezpieczeństwa radzą, aby nie wprowadzać natychmiast środków zaradczych i utrzymywać serwer w trybie online do czasu ukończenia kryminalistyki. Te porady dotyczą zwykle APT . Inaczej jest w przypadku sporadycznych naruszeń skryptu dla dzieci , więc możesz zdecydować o wcześniejszym naprawieniu (naprawie). Jednym z kroków w ramach działań naprawczych jest przechowywanie serwera. Cytując z odpowiedzi Roberta Moira - „odłącz ofiarę od jej rabusiów”.

Serwer można zamknąć, ciągnąc za kabel sieciowy lub kabel zasilający .

Która metoda jest lepsza?

Biorąc pod uwagę potrzebę:

1. Ochrona ofiar przed dalszymi szkodami
2. Przeprowadzanie udanej medycyny sądowej
3. (Prawdopodobnie) Ochrona cennych danych na serwerze

Edycja: 5 założeń

Zarozumiały:

1. Wykryłeś wcześnie: 24 godziny.
2. Chcesz odzyskać wcześnie: 3 dni 1 administratora systemu w pracy (kryminalistyka i odzyskiwanie).
3. Serwer nie jest maszyną wirtualną ani kontenerem zdolnym do wykonania migawki przechwytującej zawartość pamięci serwerów.
4. Postanawiasz nie próbować ścigać.
5. Podejrzewasz, że osoba atakująca może korzystać z jakiejś formy oprogramowania (być może zaawansowanej), a oprogramowanie to nadal działa na serwerze.

Jeśli masz do czynienia z APT, najlepszym rozwiązaniem jest skonfigurowanie honeypot i dokładne monitorowanie całego ruchu, który do niego wpływa i wychodzi, oprócz monitorowania serwera.

Miara przechodzenia przez pamięć jest tak kosztowna pod względem czasu i wysiłku, że zwykle nie jest opłacalna, chyba że wypróbowałeś każdą inną metodę, a jeśli uznasz, że jest to opłacalne, na ogół najlepiej jest skonfigurować plaster miodu, który pozwala łatwo zrzucić pamięć i stan systemu na innym komputerze w locie, dzięki czemu można przeprowadzić analizę z mniejszym ryzykiem wykrycia, gdy maszyna jest uruchomiona.

Miałem jedną sytuację, w której atakujący przechowywał wszystko w pamięci do tego stopnia, że ​​oprócz logów maszyna wyglądała dokładnie tak, jak po wyłączeniu i ponownym włączeniu. Następnie włamali się z powrotem i zaczęli używać go ponownie, ponieważ wciąż istniała luka - nie musieli zostawiać dla siebie żadnych tylnych drzwi. Pomogła w tym ocena pamięci, ale w tym przypadku wystarczyło obserwować ruch, aby szybko zidentyfikować lukę.

W związku z tym:

Jedynym powodem, dla którego należy unikać pobierania mocy i przeprowadzania oceny dysku offline, jest przejście przez proces dokładnej analizy pamięci zagrożenia, gdy jest ono na swoim miejscu i działa. Jeśli dotarłeś do punktu, w którym jest to konieczne, nie ma powodu, aby wyciągać którąkolwiek wtyczkę.

Jeśli nie przeprowadzasz analizy pamięci, najlepszym rozwiązaniem jest wyciągnięcie wtyczki z gniazdka - wyciągnięcie Ethernetu (lub użycie komendy wyłączania) spowoduje jedynie wcześniejsze powiadomienie oprogramowania atakującego - co ma znaczenie.

Więc:

Pociągnij je oba, chyba że wykonujesz analizę pamięci, w takim przypadku nie ciągnij żadnej z nich.

Pomocna może być analiza kryminalistyczna RAM (np. / Dev / shm).

Ale wolę odłączyć kabel zasilający (ale spróbuj się zalogować i rsync / proc tuż przed).

Powody, dla których warto wybrać kabel zasilający, to:

1. Kiedy robisz kryminalistykę w zhakowanym systemie, „kroczysz po całym miejscu zbrodni”
2. Zestaw root nadal działa - nie jest tak trudne, aby szkodliwy mógł coś wykonać (np. Czyszczenie systemu) w przypadku zdarzenia Network Link Down .

Kyle Rankin wygłosił miłe wprowadzenie do rozmowy kryminalistycznej - tam zaleca pociągnięcie za kabel zasilający.

Odłącz sieć. Atakujący nie może pobrać żadnych dodatkowych informacji, jeśli nie ma połączenia sieciowego. Bardzo trudno jest (czytać: niemożliwe) robić kryminalistykę bez władzy.

W dzisiejszych czasach może to być maszyna wirtualna, więc każda z metod jest łatwa, a nawet można ją wykonać zdalnie. (Oczywiście maszyny wirtualne dają również możliwość korzystania z migawek)

Sugerowałbym odłączenie od sieci jako automatyczny pierwszy krok, ponieważ daje to czas na zastanowienie się, jaki powinien być następny krok, niezależnie od tego, czy następnym krokiem jest wyciągnięcie przewodu zasilającego, czy coś innego. Jeśli wiesz, że twoje korporacyjne „procedury reakcji bezpieczeństwa” nie pozwolą ci szczegółowo poświęcić czasu na przeglądanie maszyny, to zachowanie zawartości pamięci RAM może nie być tak ważne.

Sugerowałbym, że „oddzielenie ofiary od jej rabusiów” w jakikolwiek sposób jest ważniejsze niż sposób, więc oba podejścia są ważne. Nie miałbym problemów z ciągnięciem samego przewodu zasilającego, powiedzmy to w ten sposób.

To nie jest sytuacja ani. Zasadniczo chcesz wykonywać obie te czynności - chcesz wykonać pewne czynności kryminalistyczne (zrzut uruchomionych procesów, nasłuchiwanie gniazd, pliki w / tmp itp.) W systemie, który został usunięty z sieci, a następnie przeprowadzić pozostałą diagnostykę z bezpiecznego środowisko (tj. płyta CD na żywo). Są jednak sytuacje, w których żadne z tych podejść nie jest właściwe, i musisz przemyśleć i zrozumieć, jakie mogą być w twojej organizacji.

Zanim cokolwiek zrobisz, dowiedz się, czy musisz zachować dowody na ewentualne ściganie. Obsługa dowodów jest bardzo trudnym tematem, a nie dla słabo wyszkolonych. Po udzieleniu odpowiedzi wyszkolona osoba zajmująca się kryminalistyką komputerową może wziąć to stąd.

Nie ma potrzeby wyłączania serwera. Możesz po prostu wyłączyć łączność z bramą graniczną / routerem. Jedna reguła zapory wystarczy, aby odrzucić każdy wysłany / odebrany pakiet.

Odpowiedź zależy w dużej mierze od tego, co rozumiesz przez „zrootowany”. Ciągnięcie za przewód sieciowy jest zwykle dobrym pomysłem, szczególnie jeśli uważasz, że był to aktywny atakujący człowiek, szukający wrażliwych informacji.

Ciągnięcie mocy jest znacznie trudniejsze do odpowiedzi. Jeśli uważasz, że działa szkodliwy kod, który może zakrywać jego ślady, zrób to. Jeśli jednak uważasz, że w pamięci mogą znajdować się dowody włamania, pozostaw ją uruchomioną.

Ogólnie rzecz biorąc, zależy to od tego, czy masz do czynienia ze złośliwym kodem, niezadowolonym personelem lub kimś, kto ma na myśli konkretny cel.

W przypadku błędu należy zachować ostrożność. Stracisz niewielką ilość potencjalnych dowodów, ale może to uniemożliwić masowe usuwanie innych dowodów za pomocą automatycznego kodu.

- Z drugiej strony, jeśli uważasz, że komputer został przejęty i wiesz, że nie ma na nim wrażliwych danych, jesteś bardzo pewny swojego bezpieczeństwa sieci gdzie indziej i rozumiesz konsekwencje takiego postępowania, być może dostaniesz kryminalistyczną skrzynkę jak najszybciej i sprawdź, czy możesz prześledzić lub zrozumieć atak i stamtąd. Jednak zwykle nie jest to dobry pomysł

Moja odpowiedź była przed edycją, z 5 założeniami.
Moje założenie było takie, że jeśli twój serwer zostanie zrootowany, masz do czynienia z wyrafinowanym, ukierunkowanym atakującym, i że nie masz możliwości dowiedzenia się, kiedy i skąd atak się wziął. (Ponieważ maszyna została zrootowana, oczywiście nie możesz ufać cokolwiek, co ci powie. Jednak możesz mieć pewne niestandardowe informacje, np. IDS ...)
Zakładałem również, że masz interes w radzeniu sobie z napastnikiem, a nie tylko machaniem odleciał jak kłopotliwa mucha. Jeśli domniemanym napastnikiem jest dzieciak skryptowy, byłoby inaczej. Założyłem również, że ponieważ atakujący jest ukierunkowany i wyrafinowany, prawdopodobnie na twoim komputerze działa niestandardowe oprogramowanie, które może reagować na twoje działania na nim ...

Ani.
Sprawdź /security//q/181/33 , w każdym razie to zły pomysł.
To jak dawanie paru bandaid czarnemu rycerzowi ... za mało, za późno, to po prostu niewiele pomoże.

Dla wszystkich, którzy uważają, że ta odpowiedź jest za daleko lub po prostu nie są wystarczająco „świadomi bezpieczeństwa” - musisz zdać sobie sprawę, że jest już za późno .
To już nie jest twój serwer, nawet jeśli go całkowicie rozłączysz. Nawet jeśli wyłączyć, należy uruchomić wszystkie swoje AVS i cokolwiek - nie masz go już, to zrobić.
To rodzaj definicji „zrootowanej”.

Teraz, zakładając, że są jego właścicielami i mogą ukryć przed tobą swoją własność, musisz rozważyć - co spowoduje odłączenie go? Tylko rzeczą będzie acheive - ponieważ będzie ona nadal zakorzenione niezależnie - to niech twój przeciwnik wie, że jesteś na nich. Co po prostu podnosi ich strażników i sprawia, że ​​zaczynają po sobie sprzątać (jeśli jeszcze tego nie zrobili), co po prostu zabije jakąkolwiek nadzieję kryminalistyki. Nadal nie chronisz tego serwera ani żadnych jego danych. Jak długo jest zakorzeniony? Skąd mógłbyś wiedzieć?

Co lepiej robić:

• Pozostaw serwer gotowy do działania ...
• Izoluj go od reszty sieci wewnętrznej, innych serwerów itp. - ale najlepiej podłączyć jakąś symulację, aby wyglądała na połączoną.
• Ciche uruchamianie kryminalistyki w czasie rzeczywistym / sieci, uruchamianie śledzenia itp.
• Spróbuj ustalić rozmiar i długość szkody (oczywiście inaczej, jeśli zdarzy się to 2 godziny temu lub 2 miesiące temu).
• Kontynuuj stamtąd ... Dopiero po zmniejszeniu rzeczywistych obrażeń, idź dalej i oczyść je.
• Oczywiście nie zapomnij zbadać pierwotnych przyczyn i egzekwować wszelkie kontrole, aby upewnić się, że to się nie powtórzy ...

Po przejrzeniu twoich założeń dokonaj obu. Użyj nośnika CD / DVD, aby zrzucić bieżący stan. Przede wszystkim będziesz chciał móc określić, w jaki sposób zostałeś narażony na szwank. Możesz także spróbować odzyskać dane użytkownika spoza obrazów kopii zapasowej. Siema

Następnie odbuduj system z najnowszego niezabrudzonego nośnika kopii zapasowej. Sprawdź to za pomocą sum kontrolnych, jeśli to możliwe. Alternatywnie zainstaluj ponownie oprogramowanie z nośnika instalacyjnego i ponownie skonfiguruj. Ponowna konfiguracja powinna być automatyczna, jeśli używasz Puppet lub cfEngine do skonfigurowania serwera.

Załaduj ponownie dane użytkownika i wyszukaj składniki zestawu root. Sprawdź, czy nie ma programów setuid lub setgid w katalogach danych.

Określ i zamknij metodę dostępu zastosowaną do zainfekowania systemu. Reaktywacja etapowa serwera, dająca czas na sprawdzenie, czy aplikacje działają zgodnie z oczekiwaniami. Uważnie monitoruj nowe próby infekcji.

To wszystko zakłada, że ​​infekcja odbywa się na poziomie root. Infekcje internetowe można wykonać, zmieniając kod uruchamiany przez serwer WWW. Zezwolenie serwerowi na dostęp do zapisu do jego kodu może ułatwić to. Nadal możesz traktować tę sprawę tak, jakby konto root zostało przejęte.

Jeśli włamano się do roota na jednym systemie w jednym systemie, możesz mieć więcej komputerów. Ostrożnie zastanów się, do których systemów można uzyskać dostęp bez hasła z zainfekowanego systemu.