Запобігання та виявлення вторгнень - це найважливіші елементи процесу забезпечення безпеки комп'ютера і комп'ютерних мереж.
У разі злому комп'ютера або мережевого пристрою необхідно негайно вжити заходів для:
• запобігання подальшому поширенню загрози (ізоляція скомпрометованого пристрої, очищення, повне відновлення системи з довіреної резервної копії і т.д.);
• виявлення способів проникнення / зараження і усунення їх (дослідження ексідента, установка оновлень безпеки, відмова від використання уразливого ПО і мережевого устаткування, застосування систем запобігання та виявлення вторгнення, установка антивірусного ПО, зміна політики інформаційної безпеки організації і т.д.);
• оцінки та усунення наслідків злому (визначення потрапила в результаті злому в руки зловмисників інформації, зміна облікових даних, відновлення CDN, попередження користувачів про необхідність зміни паролів і т.д.).
Ознаками, що свідчать, що комп'ютер був скомпрометований (Indicators of Compromise), тобто зламаний, можуть бути:
• аномальна активність на дискових пристроях і підвищене споживання ресурсів системи (через пошуку по дискам, шифрування файлів, використання ресурсів комп'ютера в цілях зловмисника для виконання обчислень або зберігання і поширення даних і т.д.)
• та інші ознаки, як видимі «на око», так і вимагають використання спеціалізованого ПЗ для виявлення.
Інструкція з використання Loki
У цій замітці буде розказано про Loki - простому сканері для виявлення ознак злому. У Loki відкритий вихідний код, програма безкоштовна, є кроссплатформенной, включає в себе можливості ряду безкоштовних інструментів і відкритих баз даних по шкідливих файлів. На даний момент програма активно розвивається і постійно поповнюється новими сигнатурами.
Ви можете перевірити свій комп'ютер або сервер як на Linux, так і на Windows.
Loki - це сканер для виявлення ознак злому.
Виявлення злому засноване на чотирьох методах виявлення:
• Імена файлів (відповідність регулярному виразу повного шляху файлу);
• Перевірка правилами Yara (пошук на відповідність сигнатурам Yara у вмісті файлів і пам'яті процесів);
• Перевірка хешів (порівняння просканованих файлів з хешамі (MD5, SHA1, SHA256) відомих шкідливих файлів);
• Перевірка зворотного зв'язку C2 (порівнює кінцеві точки технологічного з'єднання з C2 IOC).
• Перевірка файлової системи Regin (через -reginfs)
• Перевірка аномалії процесу
• Сканування розпакованих SWF
• Перевірка дампа SAM
• Перевірка DoublePulsar - намагається виявити бекдор DoublePulsar oна порту 445 / tcp і 3389 / tcp
Установка Loki в Windows
Скачайте останній випуск програми з офіційної сторінки релізів. Розпакуйте архів. Програма не вимагає установки, досить розпакувати архів, що скачав. Для запуску відкрийте командний рядок: натисніть Win + x і виберіть «Командний рядок (адміністратор)». Почніть з поновлення програми і сигнатур, для цього перетягніть у вікно командного рядка файл loki-upgrader.exe. натисніть ENTER і дочекайтеся завершення процесу.
Після цього перетягніть в командний рядок файл loki.exe і натисніть ENTER - почнеться сканування всього комп'ютера.
Якщо ви не довіряєте виконуваним файлам, то на сторінці програми описано, як самостійно скомпілювати її з вихідного коду.
Установка в Kali Linux
Повинна бути встановлена YARA, яка за замовчуванням вже є в Kali Linux.
YARA - це інструмент спрямований (але не обмежується цим) на допомогою дослідникам шкідливого програмного забезпечення для ідентифікації та класифікації зразків шкідливих програм. З YARA ви можете створити опису сімей шкідливих програм (або чого-небудь, що захочете описати) на основі текстових або бінарних зразків. Кожен опис (ще зване «правило») складається з набору рядків і булевих виразів, які визначають його логіку.
Установка в Linux Mint, Ubuntu
Установка в BlackArch
P.S. Loki - це нескладна програма для виявлення ознакою компрометації. Вона допоможе побачити явні ознаки проникнення й зараження комп'ютера. Також вона є хорошим інструментом для вивчення і розуміння своєї операційної системи, що відбуваються в ній процесів.
За матеріалами HackWare.ru