Les scanners de vulnérabilité automatisent l'audit de la sécurité et peuvent jouer un rôle important dans votre sécurité informatique, la numérisation de votre réseau et des sites Web pour différents risques de sécurité. Ces scanners peuvent également générer une liste de priorités de ceux dont vous avez besoin pour corriger, ainsi que décrire la vulnérabilité et fournir des mesures pour les éliminer. Il est également possible que certains d'entre eux puissent automatiser le processus d'élimination des vulnérabilités.
10 meilleurs outils pour estimer les vulnérabilités

• Comodo Hackerproof
• Openvas.
• Nexposer la communauté.
• Nikto.
• TripWire IP360.
• Wireshark.
• Aircrack
• Nessus Professional
• Retina CS Community.
• Analyseur de sécurité de base Microsoft (MBSA)

1. Comodo Hackerproof
   Comodo HackerProw est considéré comme un outil révolutionnaire pour la numérisation des vulnérabilités, ce qui vous permet de surmonter les problèmes de sécurité. Vous trouverez ci-dessous quelques avantages de base que vous pouvez obtenir de HackerProw:

• Numérisation quotidienne des vulnérabilités
• Outils de balayage PCI inclus
• Empêcher l'attaque d'entraînement

2. Openvas.
Ceci est un outil ouvert. code sourceCe qui sert de service central offrant des outils de vulnérabilité pour la numérisation des vulnérabilités et des vulnérabilités.

• OpenVas prend en charge divers systèmes d'exploitation
• Le mécanisme de numérisation OpenVas est constamment mis à jour à l'aide des tests de vulnérabilité du réseau.
• OpenVas Scanner est un outil de vulnérabilité complet qui définit des problèmes de sécurité sur des serveurs et d'autres périphériques réseau.
• Les services OpenVas sont gratuits et généralement agréés sous la licence GNU Général License (GPL)

3. Nexposer la communauté.
Scanner de vulnérabilité Nexose Développé par Rapid7 est un outil open source utilisé pour analyser les vulnérabilités et effectuer une large gamme de contrôles réseau.

• Nexose peut être intégrée à la structure métastrophie
• Il prend en compte l'âge de la vulnérabilité, par exemple, quel kit malveillant y est utilisé, quels avantages il utilisent, etc. D. et corrige le problème en fonction de sa priorité
• Il est capable de détecter et d'analyser automatiquement de nouveaux périphériques et d'évaluer la vulnérabilité lors de l'accès au réseau.
• Il contrôle la vulnérabilité en temps réel, se familiarisant avec les derniers dangers avec de nouvelles données.
• La plupart des scanners de vulnérabilité classent généralement des risques en utilisant moyen ou élevé ou à faible échelle

4. NIKTO.
Nikto est un scanner Web open source très populaire utilisé pour évaluer des problèmes et des vulnérabilités probables.

• Il est également utilisé pour vérifier les versions obsolètes du serveur, ainsi que pour vérifier tout problème particulier qui affecte l'opération de serveur.
• NikTo est utilisé pour effectuer divers tests sur des serveurs Web pour numériser divers éléments, tels que plusieurs fichiers dangereux.
• Il n'est pas considéré comme un outil "silencieux" et est utilisé pour tester le serveur Web au minimum
• Il est utilisé pour analyser divers protocoles, tels que HTTPS, HTTP, etc. Cet outil vous permet de numériser plusieurs ports d'un serveur spécifique.

5. TripWire IP360
TripWire IP360, développé par TripWire Inc, est considéré comme la meilleure solution pour évaluer la vulnérabilité, utilisée par diverses entreprises pour gérer leurs risques de sécurité.

• Il utilise une présentation à grande échelle de réseaux pour identifier toutes les vulnérabilités, configurations, applications, hôtes réseau, etc.
• Il utilise des normes ouvertes pour intégrer la gestion des risques et la vulnérabilité dans plusieurs processus métier.

6. Wireshark.
Wireshark - Analyseur largement utilisé protocoles réseauqui est considéré comme les outils d'outils les plus puissants pour les spécialistes de la sécurité.

• WireShark est utilisé dans divers ruisseaux, tels que les agences gouvernementales, les entreprises, les établissements d'enseignement, etc., pour regarder le réseau à un niveau bas
• Il enregistre des problèmes sur Internet et effectue une analyse hors ligne.
• Il fonctionne sur différentes plateformes, telles que Linux, Masos, Windows, Solaris, etc.

7. AirCrack
Aircrack, également appelé Aircrack-NG, est un ensemble d'outils utilisés pour évaluer la sécurité du réseau WiFi.

• Les outils sont utilisés dans l'audit réseau
• Il prend en charge plusieurs OS, tels que Linux, OS X, Solaris, Netbsd, Windows, etc.
• Il se concentre sur diverses zones de sécurité WiFi, telles que la surveillance des packages et des données, des conducteurs de test et des cartes, des attaques répétées, un piratage, etc.
• Avec aircrack, vous pouvez obtenir des clés perdues, capturer des paquets de données

8. Nessus Professional
L'outil Nessus est un scanner de vulnérabilité breveté et breveté créé par une sécurité réseau tenable.

• Cela empêche la pénétration du réseau des pirates en évaluant les vulnérabilités dans un proche avenir
• Il peut analyser les vulnérabilités qui vous permettent de pirater des données confidentielles à distance du système.
• Il prend en charge une large gamme de systèmes d'exploitation, DBS, applications et plusieurs autres dispositifs parmi les infrastructures cloud, les réseaux virtuels et physiques.
• Il a été installé et utilisé par des millions d'utilisateurs du monde entier pour évaluer la vulnérabilité, les problèmes de configuration, etc.

9. Rétina CS Community
Retina CS est une console open source et une webbel qui a permis de simplifier et de centraliser la gestion des vulnérabilités.

• En raison de ses capacités, telles que rapporter la configuration, la correction et la conformité de la configuration, Retina CS fournit une estimation de la vulnérabilité inter-plateforme.
• Il comprend une évaluation automatique de la vulnérabilité pour la base de données, des applications Web, des postes de travail et des serveurs
• Retina CS est une application open source qui fournit un support complet. média virtuel, telle que vCenter Integration, numérisation des applications virtuelles, etc.

10. Analyseur de sécurité de base Microsoft (MBSA)
MBSA est un outil Microsoft gratuit, idéal pour la sécurité. ordinateur Basé sur des spécifications ou des recommandations établies par Microsoft.

• MBSA vous permet d'augmenter le niveau de sécurité, explorant un groupe d'ordinateurs pour tout configuration incorrecte, Mises à jour manquantes et tous correctifs de sécurité, etc.
• Il ne peut numériser que les mises à jour du système de sécurité, les packages de mise à jour et les packages de stockage, laissant des mises à jour critiques et avancées.
• Il est utilisé par des organisations de taille moyenne et petite pour gérer la sécurité de ses réseaux
• Après la numérisation, le système MBSA présentera plusieurs solutions ou propositions liées à l'élimination des vulnérabilités

Scanner de sécurité: détection des vulnérabilités sur le réseau, gestion des mises à jour et patch, correction automatique des problèmes, audit du logiciel et du matériel. Gfi. Sécurité du réseau "\u003e Sécurité du réseau 2080

Scanner de sécurité réseau et gestion centralisée de mise à jour

GFI Languard travaille comme consultant en sécurité virtuelle:

- Gère les mises à jour de Windows ®, Mac OS ® et Linux ®

- détecte les vulnérabilités sur les ordinateurs et appareils mobiles

- effectue une vérification des périphériques et des logiciels de réseau

GFI Languard - Scanner Security pour réseaux de toute échelle: ports de scanner réseau et vulnérabilités, scanner de sécurité, trouve automatiquement des trous de trou

GFI Languard - Scanner Security pour réseaux de toute échelle: ports de scanner réseau et vulnérabilités, scanner de sécurité, trouve automatiquement des trous de trou

Qu'est-ce que gfi langanard

Plus que des vulnérabilités Scanner!

GFI LANGUARD est un scanner de sécurité: détection, définition et correction des vulnérabilités sur le réseau. Numérisation complète des ports, disponibilité des mises à jour logicielles nécessaires pour protéger le réseau, ainsi que l'audit du logiciel et du matériel - tout cela est possible à partir d'un seul panneau de commande.

Scanner de port

Les profils de numérisation récoltés et récoltés vous permettent de réaliser à la fois la balayage complète de tous les ports et ne vérifiez rapidement que ceux qui sont généralement utilisés des logiciels indésirables et malveillants. GFI LANGUARD scanne plusieurs nœuds simultanément simultanément, réduisant ainsi le temps requis, puis compare la situation trouvée sur ports occupés avec attendu.

Mises à jour et patchs

Avant d'installer les dernières mises à jour, vos nœuds ne sont pas complètement protégés, car il s'agit des dernières vulnérabilités qui ferment les patchs et les mises à jour topiques sont utilisées par des pirates pour pénétrer dans votre réseau. Contrairement aux outils intégrés, GFI LANGUARD Vérifie non seulement l'OS lui-même, mais également des logiciels populaires, dont les vulnérabilités sont généralement utilisées pour le piratage: Adobe Acrobat / Reader, Lecteur Flash., Skype, Outlook, navigateurs, messagers.

Nœuds d'audit

GFI LANGANARD préparera à vous une liste détaillée du logiciel installé et du matériel sur chacun des ordinateurs détectera interdite ou programmes manquants, ainsi que des appareils connectés inutiles. Les résultats de la numérisation multiple peuvent être comparés pour identifier les modifications du logiciel et du matériel de matériel.

Les dernières données de la menace

Chaque analyse est effectuée après la mise à jour des données sur les vulnérabilités, dont le numéro de la GFI Languard a déjà dépassé 50 000. Les fournisseurs d'informations sur la menace sont les fournisseurs de logiciels eux-mêmes, ainsi que les listes éprouvées de Sans et ovale - vous êtes toujours protégé des dernières menaces, notamment des coquillages, clandestins, shellshock, caniche, sandworm et autres.

Correction automatique

Après avoir obtenu un compte détaillé des résultats de numérisation avec la description de chaque vulnérabilité et des liens vers une littérature supplémentaire, vous pouvez corriger la plupart des menaces au bouton "Remediate": Les ports seront fermés, les clés de registre sont fixes, des correctifs sont installés, Les programmes mis à jour et interdits supprimés et les programmes manquants seront installés.

En règle générale, le test de pénétration commence par la numérisation des vulnérabilités. Un bon scanner contient toujours une base pertinente de vulnérabilités célèbres et, la numérisation de votre réseau, rapporte l'une ou l'autre. Notre autre travail consiste à vérifier si chacune des vulnérabilités trouvées est vraiment soumise à l'opération, car Les scanners de vulnérabilité donnent souvent de fausses réponses.

L'une des vulnérabilités les plus populaires sur le marché est le scanner de la vulnérabilité Nessus. Il est devenu une sorte de standard pour les scanners de vulnérapation. Initialement, il a commencé comme un projet avec open source. Ensuite, il a été acquis par une tenable et il s'agit désormais d'un produit commercial (version professionnelle). Malgré cela, Nessus Scanner a toujours une version "Home", qui est distribuée gratuitement, mais a une limite de 16 adresses IP. C'est cette version que nous examinerons dans cette instruction d'utilisation.

Être un "pirate informatique", après la numérisation, nous obtenons liste complète Vulnérabilités pour lesquelles vous n'avez besoin que de trouver des exploits. Malheureusement, les scanners de vulnérabilité sont très «bruyants» et des administrateurs vigilants peuvent détecter leur travail. Néanmoins, toutes les organisations n'ont pas de tels administrateurs.

N'oubliez pas les points importants concernant les scanners de vulnération. Ils ne peuvent pas détecter des vulnérabilités de 0 jour. Comme les produits logiciels antivirus, leurs bases de données doivent être mises à jour chaque jour pour être efficaces.

Tout pentererster auto-respect doit être familiarisé avec le scanner Nessus. Beaucoup d'organisations assez grandes du monde entier l'utilisent dans le complexe. sécurité de l'information.

Récemment, même le gouvernement américain a commencé à l'utiliser pour analyser les vulnérabilités. Presque tous les bureaux fédéraux et la base militaire américaine dans le monde appliquent désormais Nessus.

Regardons quel est ce programme dans le travail!

Étape 1. Télécharger gratuitement Nessus Scanner

Trouver une version gratuite de la maison de la maison Nessus sur le site Web Tenable n'est pas facile. Par conséquent, nous avons préparé pour vous un lien direct.

L'inscription nécessite une version gratuite, vous devrez donc spécifier votre adresse e-mail pour obtenir le code d'activation.

Étape 2. Exécuter Nessus

Une fois l'installation terminée, le navigateur par défaut s'ouvrira avec le message comme indiqué ci-dessous. Nessus est construit sur l'architecture client-serveur. Vous avez installé le serveur sur localhost et le navigateur agit en tant que client.

Vous recevrez probablement un message dans lequel vous dites: «Votre connexion n'est pas sécurisée». Cliquez sur "Avancé".

Ajoutez ensuite des exceptions pour connecter le Nessus à 8834 Port.

Étape 3. Configuration de Nessus Home

Presque tout est prêt à rechercher des vulnérabilités!

Vous devez créer un compte. C'est elle qui devra être indiquée pour entrer dans le Nessus.

Après avoir entré votre identifiant et votre mot de passe, vous devez activer le produit. Nous trouvons une lettre avec un code d'activation dans votre courrier et l'entrez dans le champ approprié de la page de votre Nessus.

Lorsqu'il est fait, Nessus commencera à télécharger toutes les mises à jour et plugins en cours nécessaires à la recherche de vulnérabilités sur votre réseau. Le processus peut prendre un certain temps.

Étape 4. Exécution des vulnérabilités de numérisation

Lorsque le Nessus est terminé par la mise à jour, vous recevrez cet écran, comme indiqué ci-dessous. Cliquez sur "Nouvelle analyse".

Cela ouvrira une nouvelle page où vous pouvez sélectionner le type de numérisation. Faites attention, il y a toujours les modèles de menace les plus pertinents aujourd'hui.

Soyons sur "Basic Network Scan".

Une page est ouverte, comme ce qui suit que vous serez invitée à spécifier le nom de votre analyse (vous pouvez spécifier tout clair pour vous, par exemple, première numérisation). Vous devrez également spécifier les nœuds que nous allons numériser. Vous pouvez spécifier l'ensemble du sous-réseau des adresses IP 192.168.1.0/24. Cliquez sur "Enregistrer".

Cliquez maintenant sur le bouton "Lancement" pour commencer à numériser les vulnérabilités.

Étape 5. Afficher les résultats de l'analyse

Selon les résultats de la numérisation, nous recevons une liste avec des adresses IP et des risques connexes. Les risques ont un codage de couleur.

Cliquez sur "Vulnérabilités" dans le menu supérieur pour afficher toutes les vulnérabilités détectées sur le réseau.

Si vous cliquez sur une vulnérabilité spécifique, nous obtiendrons plus des informations détaillées. Vous trouverez ci-dessous un exemple de vulnérabilité "codemeter".

Il est important de noter qu'en plus de la description de la vulnérabilité, le rapport a également un moyen de la corriger et de la fermeture (section de la solution).

Conclusion

Nessus Vulnérabilité Scanner de Tenable Même dans une version à la maison gratuite est assez facile à utiliser, mais à la fois un puissant scanner de vulnérabilité. Son principal avantage est que vous pouvez toujours trouver des modèles de menace actuels, la possibilité de fonctionner correctement et qualitativement de votre réseau.

N'oubliez pas que le succès de la sécurité de l'information de haute qualité est un audit régulier!

Mais n'oubliez pas que la numérisation des réseaux d'autres personnes peut avoir des conséquences sous la forme de problèmes avec la loi!

J'ai introduit en détail avec divers types de vulnérabilités, mais il est maintenant temps de se familiariser avec les scanners de ces vulnérabilités.

Les scanners de vulnérabilité sont des logiciels ou du matériel qui servent à diagnostiquer et à surveiller ordinateurs de réseauVous permettant de numériser des réseaux, des ordinateurs et des applications de détection problèmes possibles Dans le système de sécurité, évaluez et résolvez les vulnérabilités.

Les scanners de vulnérabilité vous permettent de vérifier diverses applications Dans le système de présence de «trous» que les attaquants peuvent en tirer parti. Des moyens de faible niveau peuvent également être utilisés, tels que des scanners de port, pour identifier et analyser les applications et les protocoles possibles dans le système.

Ainsi, les scanners visent à résoudre les tâches suivantes:

• identification et analyse des vulnérabilités;
• inventaire des ressources telles que le système d'exploitation, le logiciel et le périphérique réseau;
• formation de rapports contenant une description des vulnérabilités et des options d'élimination.

Comment ça fonctionne?

Les scanners de vulnérabilité avec leur travail utilisent deux mécanismes principaux.
D'abord - Son sondage n'est pas trop rapide, mais précis. Il s'agit d'un mécanisme d'analyse actif qui lance des attaques d'imitation, vérifiant ainsi la vulnérabilité. Au cours de la sonde, les méthodes de mise en œuvre d'attaques qui aident à confirmer la présence de vulnérabilité et détecter les "défaillances" précédemment non identifiées sont appliquées.

Deuxième Mécanisme - Numérisation - plus rapide, mais donne des résultats moins précis. Il s'agit d'une analyse passive dans laquelle le scanner recherche une vulnérabilité sans confirmer sa présence en utilisant des signes indirects. Utiliser la numérisation sont déterminés ports ouverts et des titres connexes collectés. Ils sont en outre comparés à la table des règles pour définir des périphériques réseau, un système d'exploitation et des "trous" possibles. Après comparaison, le scanner de sécurité rapporte sur la présence ou l'absence de vulnérabilité.

La plupart des scanners de sécurité de réseau modernes fonctionnent sur des principes:

• collection d'informations réseau, identification de tous les appareils et services actifs qui y sont exécutés;
• détection des vulnérabilités potentielles;
• confirmation des vulnérabilités sélectionnées, pour lesquelles des méthodes spécifiques sont utilisées et que les attaques sont simulées;
• signaler;
• Élimination automatique des vulnérabilités. Cette étape n'est pas toujours mise en œuvre dans les scanners de sécurité du réseau, mais se produit souvent dans les scanners du système.

Les meilleurs scanners des vulnérabilités

Analysions maintenant les scanners les plus pertinents en direction des évaluations d'experts.

Nessus.

Le projet a été lancé en 1998 et, en 2003, le développeur de la sécurité du réseau tenable a rendu un scanner de sécurité réseau commercial. Une base de vulnérabilités régulièrement mise à jour, de simplicité dans l'installation et de l'utilisation, un niveau de précision élevé est ses avantages par rapport aux concurrents. Une caractéristique clé est l'utilisation de plugins. C'est-à-dire que tout test de pénétration n'est pas cousu étroitement à l'intérieur du programme, mais est établi sous la forme d'un plug-in plug-in. Les addons sont distribués sur 42 de différents types: Pour effectuer une plumetage, vous pouvez activer à la fois des plugins distincts et tous les plugins définis - par exemple, pour effectuer toutes les vérifications locales du système Ubuntu. Un point intéressant - les utilisateurs seront en mesure d'écrire leurs propres tests en utilisant une langue de script spéciale.

Nessus est un excellent scanner de vulnérabilité. Mais il a deux inconvénients. Le premier - lorsque l'option "Safe Checks" est désactivée, certains tests de vulnérabilités peuvent entraîner des troubles dans le fonctionnement des systèmes numérisés. La seconde est le prix. La licence annuelle peut coûter 114 000 roubles.

Vérification de la sécurité Symantec.

Scanner du fabricant gratuit du même nom. Les principales fonctions sont la détection de virus et de chevaux de Troie, des vers Internet, programmes malveillants, rechercher des vulnérabilités dans réseau local. Ceci est un produit en ligne composé de deux parties: Numérisation de la sécurité.qui vérifie le système de sécurité et Détection de virus.effectuer une vérification complète de virus de l'ordinateur. Il est installé rapidement et facilement, fonctionne par le navigateur. Selon les derniers avis, ce scanner de réseau est préférable à utiliser pour une vérification supplémentaire.

XSpider.

Le programme XSpider, qui, selon la demande du développeur, peut identifier un tiers de la vulnérabilité de demain. La principale caractéristique de ce scanner est la capacité de détecter nombre maximum "Troupes" sur le réseau avant même de voir des pirates informatiques. Dans ce cas, le scanner fonctionne à distance sans nécessiter de logiciel supplémentaire. Ayant travaillé, le scanner envoie un rapport complet et des conseils sur l'élimination des «trous». Le coût de licence pour ce scanner commence à partir de 11 000 roubles pour quatre hôtes par an.

Grave

Scanner multifonctionnel des vulnérabilités. Il fournit de nombreux rapports qui incluent:

• évaluation du niveau de criticité des vulnérabilités;
• estimation du temps nécessaire pour les éliminer;
• vérifier le degré d'impact sur les affaires;
• analyse des tendances de la sécurité.

La plate-forme de nuage QualysGuard et l'ensemble intégré d'applications permettent aux entreprises de simplifier le processus de sécurité et de réduire le coût de conformité à diverses exigences, tout en donnant une information important À propos de la sécurité et automatisez l'ensemble du spectre des tâches d'audit, de contrôle complexe et de protection des systèmes informatiques et des applications Web. Utilisation de ce logiciel, vous pouvez numériser des sites Web d'entreprise et recevoir des alertes automatisées et des rapports pour la détection et l'élimination en temps voulu des menaces.

Rapid 7 Nexpose

Rapid 7 est l'une des entreprises à la croissance la plus rapide spécialisée dans la sécurité de l'information au monde. C'est elle qui a récemment acquis le cadre du cadre de métasploit du projet et c'était sa main que le projet Nexpose. Le coût de "login" pour une utilisation version commerciale Composez sans petite consommation de 3 000 $, mais pour les passionnés, une version communautaire est de possibilités légèrement coupées. Cette version gratuite est facilement intégrée à Metasploit. Le schéma de travail est assez délicat: Nexose démarre en premier, puis la console métasploite (MSFConsole), après laquelle vous pouvez exécuter le processus de numérisation et l'ajuster avec un certain nombre de commandes (Nexpose_connect, Nexpose_scan, Nexpose_Discover, Nexpose_dos et d'autres personnes). Vous pouvez combiner la fonctionnalité de Nexpose et d'autres modules métasployants.

X-scan.

Extérieurement, la numérisation X est plus rappelée par une auto-fabriquée à l'automobile comme une personne pour ses propres besoins et poussé dans un public sur la natation libre. Il n'aurait peut-être pas reçu une telle popularité si elle ne supporte pas les scripts Nessus activés à l'aide du module de scripts d'attaque Nessus. D'autre part, cela vaut la peine de numériser, et tous les doutes sur l'utilité du scanner sont partis à l'arrière-plan. Il ne sera pas publié selon l'une des normes officielles de l'IB, mais en dira certainement beaucoup sur le réseau.

Épidémie de problème worms de réseau pertinent pour tout réseau local. Tôt ou tard, la situation peut survenir lorsqu'un réseau de réseau ou postal pénètre dans LAN, qui n'est pas détecté par un antivirus utilisé. Le virus du réseau s'applique aux ordinateurs de réception non fermés au moment de l'infection de la vulnérabilité du système d'exploitation ou d'une ressource partagée accessible disponible. Virus postal, comme suit le nom, s'applique par courrier électronique à condition qu'il ne soit pas bloqué par l'antivirus client et l'antivirus sur serveur de courrier. De plus, l'épidémie du réseau local peut être organisée à partir de l'intérieur à la suite d'un initié. Dans cet article, nous envisagerons des méthodes pratiques d'analyse opérationnelle des ordinateurs LAN utilisant divers fonds, en particulier avec l'aide de l'utilitaire de l'auteur AVZ.

Formulation du problème

En cas de détection épidémique ou de certaines activités d'instance dans le réseau, l'administrateur doit rapidement résoudre le minimum de trois tâches:

• détecter les ordinateurs infectés sur le réseau;
• trouver des échantillons d'un programme malveillant à envoyer au laboratoire antivirus et à développer une stratégie de contre-mesures;
• prenez des mesures pour bloquer la propagation du virus dans le réseau local et sa destruction sur des ordinateurs infectés.

Dans le cas d'une activité d'initié, les principales étapes de l'analyse sont identiques et les plus souvent réduites à la nécessité de détecter un initié de logiciel étranger établi sur les ordinateurs LAN. À titre d'exemple, ce logiciel peut être appelé utilitaires administration distante, espions de clavier Et divers signets de chevaux de Troie.

Considérez la solution de chacune des tâches définies.

Recherche de PC infectés

Pour rechercher des ordinateurs infectés dans le réseau, vous pouvez utiliser au moins trois techniques:

• analyse automatique à distance du PC - Recevoir des informations sur les processus d'exécution, les bibliothèques téléchargées et les pilotes, rechercher des caractéristiques - par exemple, processus ou fichiers avec des noms spécifiés;
• recherche de trafic PC utilisant Sniffer - cette méthode Il est très efficace pour la capture des robots des robots, des vers postaux et du réseau, toutefois, la principale complexité de l'utilisation d'un renifleur est liée au fait que le réseau local moderne est basé sur la base de données des commutateurs et, par conséquent, l'administrateur ne peut pas surveiller l'ensemble du trafic réseau. Le problème est résolu de deux manières: exécuter un sniffer sur le routeur (qui vous permet de surveiller l'échange de données des données PC avec Internet) et l'utilisation de fonctions de surveillance des commutateurs (de nombreux commutateurs modernes vous permettent d'attribuer un port de surveillance. auquel le trafic d'un ou plusieurs ports de commutation spécifiés par les doublons administrateurs;
• chargement sur le réseau - dans ce cas, il est très pratique d'utiliser des commutateurs intelligents qui permettent non seulement d'évaluer la charge, mais également de désactiver à distance les ports spécifiés par l'administrateur. Cette opération est significativement simplifiée si l'administrateur de la carte réseau comporte des données sur les ordinateurs connectés aux ports de commutation correspondants et où ils se trouvent;
• l'utilisation de pièges (Honeypot) - sur le réseau local Il est fortement recommandé de créer plusieurs pièges qui permettront à l'administrateur de détecter l'épidémie de manière en temps utile.

Analyse automatique du PC sur le réseau

L'analyse automatique de PC peut être réduite à trois étapes principales:

• réalisation d'une étude complète de PC - Processus en cours d'exécution, des bibliothèques téléchargées et des pilotes, Autorun;
• effectuer une enquête opérationnelle - par exemple, une recherche de processus ou de fichiers caractéristiques;
• objets de quarantaine selon certains critères.

Toutes les tâches énumérées peuvent être résolues à l'aide de l'utilitaire AVZ Author's, qui est conçu pour fonctionner à partir du dossier réseau sur le serveur et prend en charge la langue de script pour l'examen automatique de PC. Pour démarrer AVZ sur les ordinateurs utilisateur dont vous avez besoin:

1. Placez AVZ à Ouvrir pour lire un dossier réseau sur le serveur.
2. Créez des sous-répertoires de journal et de Qurantine dans ce dossier et permet aux utilisateurs de les enregistrer.
3. Exécutez AVZ sur des ordinateurs LAN à l'aide de l'utilitaire REXEC ou du script de connexion.

Le lancement AVZ à l'étape 3 doit être effectué avec de tels paramètres:

\\\\ my_server \\ avz \\ avz.exe Priority \u003d -1 nw \u003d y nq \u003d y hiddenmode \u003d 2 script \u003d \\\\ my_server \\ avz \\ my_script.txt

Dans ce cas, le paramètre prioritaire \u003d -1 abaisse la priorité avzer, NW \u003d Y et NQ \u003d Y PARAMETERS Commitez la mise en quarantaine en mode "Démarrage réseau" (dans ce cas, un sous-répertoire est créé dans le dossier de quarantaine pour chaque ordinateur, dont le nom coïncide avec le nom du réseau PC), HiddenMode \u003d 2 prescrit pour interdire l'accès à l'utilisateur à l'interface graphique et à la gestion de l'AVZ, et enfin, le script de paramètre le plus important définit le nom complet du script avec des commandes AVZ exécutera sur l'ordinateur de l'utilisateur. Le langage de script AVZ est assez simple à utiliser et se concentre uniquement sur la résolution des tâches de l'enquête sur ordinateur et son traitement. Pour simplifier le processus d'écriture de script, vous pouvez utiliser un éditeur de script spécialisé, qui contient une embout opérationnelle, un assistant de création de scripts typiques et de moyens de vérification du script écrit écrit sans le démarrer (Fig. 1).

Figure. 1. Éditeur de script AVZ

Considérez trois scripts typiques pouvant être utiles pendant la lutte contre l'épidémie. Premièrement, nous aurons besoin d'un script pour l'étude PC. La tâche du script est d'étudier le système et de créer un protocole avec des résultats dans une donnée donnée. dossier de réseau. Le script a le formulaire suivant:

ActivateWatchDog (60 * 10);

// Démarrer l'analyse et l'analyse

// étude système

Exécuteyscheck (GetavzDirectory +

'\\ Journal \\' + getcomputerername + '_ log.htm');

// Achèvement d'AVZ

Lors de l'exécution de ce script dans le dossier de journal (il est supposé qu'il est créé dans le répertoire AVZ sur le serveur et est disponible pour les utilisateurs des utilisateurs) sera créé par des fichiers HTML avec les résultats de la recherche sur ordinateur réseau et pour vous assurer que Unicité du nom du protocole, le nom de l'ordinateur à l'étude est activé. Au début du script, il y a une commande pour allumer la minuterie de garde, qui forcera le PCCC AVZ en 10 minutes si le script survient lors de l'exécution du script.

Le protocole AVZ est pratique pour étudier manuellement, cependant, il est petit pour une analyse automatisée. De plus, l'administrateur est souvent connu du nom du fichier de programme malveillant et ne vérifie que la présence ou l'absence. ce fichier, si vous avez - mettre en quarantaine pour analyse. Dans ce cas, vous pouvez appliquer le script pour le type suivant:

// en tournant la minuterie de surveillance pendant 10 minutes

ActivateWatchDog (60 * 10);

// Recherche de programme malveillant nommé

Quarantainefile ('% windir% \\ smss.exe', "soupçon sur ldpinch.gen");

Quarantainefile ('% windir% \\ csrs.exe', "suspicion de ldpinch.gen");

// Achèvement d'AVZ

Ce script est activé par la fonction de quarantaineFile, qui tente de la quarantaine de ces fichiers. L'administrateur reste seulement pour analyser le contenu de la quarantaine (folder de quarantaine \\ Network_word \\ date_carachina \\) pour la présence de fichiers placés en quarantaine. Il convient de noter que la fonction de quarantaineFile bloque automatiquement la salle des fichiers de quarantaine identifiés par la base de données AVZ sécurisée ou sur la base de Microsoft EDS. Pour application pratique Ce script peut être amélioré - d'organiser le téléchargement des noms de fichier à partir d'un fichier texte externe, cochez les fichiers trouvés des bases AVZ et former un protocole de texte avec les résultats du travail:

// recherche de fichier avec nom spécifié

fonction CheckbyName (FNAME: String): Boolean;

Résultat: \u003d FileExists (FNAME);

si le résultat commence alors

checkfile de cas (FNAME) de

1: S: \u003d ', l'accès au fichier est bloqué';

1: S: \u003d ', identifié comme malware (' + getlastchecktxt + ')';

2: S: \u003d ', suspecté par un scanner de fichiers (' + getlastchecktxt + ')';

3: sortie; // Les fichiers sûrs ignorent

Addtolog ('fichier' + normalfilename (fname) + 'a un nom suspect' + s);

// Une addition fichier spécifié en quarantaine

Quarantainefile (fname, "fichier suspect" + s);

Suspendus: Tstringlist; // Liste des noms de fichiers suspects

// Vérifiez les fichiers sur la base de données mise à jour

si FileExists (Getavzdirectory + 'Files.db'), commencez

Innomes: \u003d Tstringlist.create;

Suspendus.loadfomfile ("fichiers.db");

Addtolog ('Nom Base Téléchargements - Nombre d'enregistrements \u003d' + inttostr (suspendus.count));

// cycle de recherche

pour i: \u003d 0 à suspendre.Compte - 1 faire

CheckbyName (suspendu [I]);

Addtolog ('' Error Télécharger la liste des noms de fichiers ');

Savelog (getavzdirectory + '\\ journal \\' +

Getcomputerername + '_ files.txt');

Pour travailler ce script, vous devez créer dans le dossier AVZ disponible pour les utilisateurs pour enregistrer des répertoires de quarantaine et de journal, ainsi que fichier texte Files.DB - Chaque ligne de ce fichier contiendra le nom d'un fichier suspect. Les noms de fichier peuvent inclure des macros, le plus utile dont% Windir% (chemin vers le dossier Windows) et% Systemroot% (chemin vers le dossier System32). Une autre direction d'analyse peut être une étude automatique de la liste des processus exécutant sur les ordinateurs des utilisateurs. Les informations sur les processus d'exécution se situent dans le protocole de recherche système, mais pour une analyse automatique, il est plus pratique d'appliquer le fragment de script suivant:

procédure ScanProcess;

S: \u003d ''; S1: \u003d '';

// Mettez à jour la liste des processus

RefreshProcessList;

Addtolog ('Nombre de processus \u003d' + inttostr (getProcesscount);

// Cycle d'analyse de la liste reçue

pour i: \u003d 0 à getProcesscount - 1 commencez

S1: \u003d S1 + ',' + ExtractName (i);

// Recherche de processus par nom

si POS ('Trojan.exe', minuscule (GetProcessName (I)))\u003e 0 ALORS

S: \u003d s + getprocessname (i) + ',';

si S.<> '' Puis.

Addlinetotexfile (getavzdirectory + '\\ journal _Alarm.txt', DateTimeostr (maintenant) + '+ getComputername +': '+ s);

Addlineotextfile (getavzdirectory + '\\ journal _all_process.txt', DateTimeostr (maintenant) + '' + getComputername + ':' + s1);

L'étude des processus de ce script est faite sous la forme d'une procédure de scanprocess distincte, elle est donc facile à placer dans votre propre script. La procédure ScanProcess crée deux listes de processus: une liste complète des processus (pour une analyse ultérieure) et une liste de processus qui, du point de vue de l'administrateur, sont considérés comme dangereux. Dans ce cas, le processus nommé «Trojan.exe» est considéré comme démontré comme dangereux. Les informations sur les processus dangereux sont ajoutées au fichier texte _Alarm.txt, les données sur tous les processus se situent au fichier _all_process.txt. Il est facile de noter que vous pouvez compliquer le script, en ajoutant, par exemple, en vérifiant les processus en fonction de la base de données de fichiers sécurisés ou de vérifier les noms des fichiers exécutables des processus à la base externe. Cette procédure est utilisée dans les scripts AVZ utilisés dans Smolenskenergo: l'administrateur étudie périodiquement les informations collectées et modifie le script, en ajoutant les processus des processus interdits par les stratégies de sécurité du programme, telles que ICQ et mailru.Agent, ce qui vous permet de vérifier rapidement le Présence de logiciels interdits sur le PC étudié. Une autre application de la liste des processus est une recherche sur PC, qui n'a pas de processus obligatoire, par exemple, antivirus.

En conclusion, envisagez le dernier des scripts d'analyse utiles - le script de la quarantaine automatique de tous les fichiers qui ne sont pas comptabilisés sur la base d'AVZ sécurisée et sur la base de EDS de Microsoft:

// effectuant une autocarentine

ExecuteAutoquarantine;

La mise en quarantaine automatique est examinée par des processus d'exécution et des bibliothèques, des services et des pilotes téléchargés, d'environ 45 façons des modules d'extension Autorun, de l'expansion du navigateur, des manutentionnaires SPI / LSP, des tâches de planification, des gestionnaires de système d'impression et similaires. Une particularité de quarantaine est que les fichiers sont ajoutés à la commande de répétition, la fonction Autocartine peut donc être appelée à plusieurs reprises.

L'avantage de la quarantaine automatique est qu'avec son aide, l'administrateur peut collecter rapidement des fichiers potentiellement suspects de tous les ordinateurs de réseau pour les étudier. La forme la plus simple (mais très efficace) La forme d'étude de fichiers peut être le test de la quarantaine résultante par plusieurs antivirus populaires dans le mode heuristique maximal. Il convient de noter que le lancement simultané de l'autocartine sur plusieurs centaines d'ordinateurs peut créer une charge élevée sur le réseau et sur le serveur de fichiers.

Étude de la circulation

L'étude du trafic peut être effectuée de trois manières:

• manuellement avec l'aide de renifler;
• en mode semi-automatique - dans ce cas, le renifleur recueille des informations, puis ses protocoles sont traités manuellement ou certains logiciels;
• utilisation automatique des systèmes de détection d'intrusion (IDS) de type Snort (http://www.snort.org/) ou de leurs analogues logiciels ou matériels. Dans le cas le plus simple, les identifiants consistent en un renifleur et le système analysant les informations recueillies par le sagouilleur.

Le système de détection d'intrusion est le moyen optimal, car il vous permet de créer des ensembles de règles pour détecter une anomalie dans l'activité réseau. Le deuxième avantage est le suivant: La plupart des ID modernes vous permettent de placer des agents de surveillance du trafic sur plusieurs nœuds des agents du réseau - collectez des informations et de la transmettre. Dans le cas de l'utilisation du renifleur, il est très pratique d'utiliser la console Unix-Sniffer Tcpdump. Par exemple, surveiller l'activité par Port 25 (protocole SMTP), il suffit de lancer un renifleur avec ligne de commande Vues:

tCPDump -i EM0 -L Port TCP 25\u003e SMTP_LOG.TXT

Dans ce cas, les packages sont capturés via l'interface EM0; Les informations sur les packages capturés seront enregistrées dans le fichier SMTP_LOG.TXT. Le protocole est relativement simple à analyser manuellement, dans cet exemple L'analyse de l'activité dans le port 25 vous permet de calculer un PC avec des robots de spam actifs.

Application Honeypot

En tant que piège (Honeypot), vous pouvez utiliser un ordinateur obsolète, dont la performance ne lui permet pas d'être utilisée pour résoudre les tâches de production. Par exemple, dans le réseau de l'auteur, Pentium Pro C 64 Mo de RAM est utilisé avec succès comme piège. Pour ce PC, vous devez installer le système d'exploitation le plus courant dans le réseau local et sélectionner l'une des stratégies:

• Installez le système d'exploitation sans paqueters de mise à jour - il s'agira d'un indicateur de l'apparition d'un ver de réseau actif dans le réseau de fonctionnement des vulnérabilités connues pour ce système d'exploitation;
• installez le système d'exploitation avec des mises à jour installées sur un autre réseau PC - Honeypot sera analogue à l'une des postes de travail.

Chacune des stratégies a à la fois ses avantages et ses inconvénients; L'auteur applique essentiellement l'option sans mises à jour. Après avoir créé un Honeypot, vous devez créer une image de disque pour restaurer rapidement le système après avoir endommagé des programmes malveillants. Alternativement, une image de disque peut être utilisée pour faire rouler les changements d'ombre et ses analogues. Buing Honeypot, il convient de noter qu'un certain nombre de vers de réseau recherchent des ordinateurs infectés en balayant une plage IP, comptée de l'adresse IP d'un PC infecté (stratégies typiques communes - XXX *, XXX + 1. *, XXX-1 *) - Par conséquent, idéalement, le Honeypot devrait être dans chacun des sous-réseaux. En tant qu'éléments de préparation supplémentaires, il est nécessaire d'ouvrir un accès à plusieurs dossiers sur le système Honeypot et plusieurs fichiers échantillons doivent être placés dans ces dossiers. format divers, Set minimum - EXE, JPG, MP3.

Naturellement, en créant un honeypot, l'administrateur doit suivre son travail et répondre à toutes les anomalies découvertes sur cet ordinateur. En tant que moyen d'enregistrement des modifications, les auditeurs peuvent être appliqués, un renifleur peut être utilisé pour enregistrer l'activité du réseau. Un point important C'est que la plupart des renifleurs ont la possibilité de configurer l'envoi de l'alerte de l'administrateur en cas de détection d'une activité de réseau donnée. Par exemple, dans le Sniffer de la communication, la règle implique les instructions de «formule», qui décrit le package réseau ou la tâche de critères quantitatifs (en envoyant un nombre plus spécifié de paquets ou d'octets par seconde, envoyant des paquets à des adresses IP ou MAC non identifiées. ) - Figure. 2.

Figure. 2. Créer et configurer l'avertissement d'activité de réseau

En tant qu'enversement, il est plus pratique d'utiliser des courriels envoyés dans la boîte aux lettres de l'administrateur - dans ce cas, vous pouvez obtenir des alertes opérationnelles à partir de tous les pièges sur le réseau. De plus, si le renifleur vous permet de créer plusieurs avertissements, il est logique de différencier activité du réseauAyant mis en évidence le travail avec Email, FTP / HTTP, TFTP, Telnet, MS Net, une circulation accrue de plus de 20 à 30 paquets par seconde sur tout protocole (Fig. 3).

Figure. 3. Notification lettre envoyée
En cas de détection des paquets correspondant aux critères spécifiés

Lors de l'organisation d'un piège, il n'est pas mauvais pour placer plusieurs services réseau vulnérables sur le réseau ou établir leur émulateur. Le plus simple (et gratuit) est la paternité de l'utilitaire APS, qui n'est pas installée. Le principe de APS est réduit à l'écoute de l'ensemble des ports TCP et UDP décrites dans sa base de données et en délivrant une réponse prédéterminée ou générée de manière aléatoire (Fig. 4) au moment de la connexion.

Figure. 4. Utilitaires principales de la fenêtre APS

La figure montre la capture d'écran de la capture d'écran lors de la réelle réponse des APS dans le LAN "Smolenskenergo". Comme on peut le voir sur la figure, une tentative de connexion de l'un des ordinateurs clients par le port 21 est enregistrée. Une analyse des protocoles a montré que les tentatives sont périodiques, fixées par plusieurs pièges sur le réseau, ce qui permet de conclure un Numérisation réseau Pour rechercher et pirater les serveurs FTP en sélectionnant des mots de passe. APS effectue des protocoles et peut envoyer des administrateurs de messages avec des rapports sur des connexions enregistrées aux ports contrôlés, qui convient à la détection de balayage de réseau opérationnel.

Lors de la création de Honeypot, il est également utile de lire des ressources en ligne sur ce sujet, notamment avec le site http://www.honeynet.org/. Dans la section Outils de ce site Web (http://www.honeynet.org/tools/index.html), vous pouvez trouver un certain nombre d'outils pour enregistrer et analyser les attaques.

Suppression à distance des programmes malveillants

Idéalement, après avoir détecté des échantillons de logiciels malveillants, l'administrateur les envoie au laboratoire antivirus, où ils sont rapidement étudiés par des analystes et les signatures correspondantes sont appliquées à la base antivirus. Ces signatures via des mises à jour automatiques tombent sur les PC des utilisateurs et l'antivirus effectue une suppression automatique des programmes malveillants sans intervention de l'administrateur. Cependant, cette chaîne ne fonctionne pas toujours car elle devrait être notamment les causes de défaillance suivantes:

• pour un certain nombre de personnes indépendantes de l'administrateur, les causes de l'image peuvent ne pas atteindre le laboratoire anti-virus;
• efficacité insuffisante du laboratoire anti-virus - idéalement pour l'étude des échantillons et leur introduction à la base ne dépasse pas 1 à 2 heures, c'est-à-dire au cours de la journée de travail, vous pouvez obtenir des bases de données de signature à jour. Cependant, tous les laboratoires antivirus ne fonctionnent pas si rapidement et les mises à jour peuvent être attendues plusieurs jours (dans des cas rares - des semaines même);
• haute performance d'Antivirus - Un certain nombre de programmes malveillants après activation détruisent des antivirus ou violent leur travail de toutes les tâches possibles. Exemples classiques - Introduction à fichier hôte Les enregistrements bloquent le fonctionnement normal du système de mise à jour automatique anti-virus, de suppression de processus, de services et de conducteurs d'antivirus, de dommages à leurs paramètres, etc.

Par conséquent, dans les situations énumérées devra se battre pour des programmes malveillants manuellement. Dans la plupart des cas, il est facile, car les PC contaminés sont connus des résultats de l'étude des ordinateurs, ainsi que des noms complets des fichiers malveillants. Il reste seulement de produire leur élimination de la distance. Si un programme malveillant n'est pas protégé de la suppression, il est possible de le détruire avec le script AVZ suivant:

// Supprimer le fichier.

Deletefile ("nom de fichier");

Exécutesclean;

Ce script supprime un fichier spécifié (ou plusieurs fichiers, car les commandes DELETEFILE dans le script peuvent être un numéro illimité), puis nettoyez automatiquement le registre. Dans un cas plus contesté, le programme malveillant peut être protégé contre la suppression (par exemple, re-étiré ses fichiers et ses clés de registre) ou déguisés par la technologie Rootkit. Dans ce cas, le script est compliqué et aura le formulaire suivant:

// Anti-Court

SearchRotkit (vrai, vrai);

// bureau avzguard

SettavzguardStatus (True);

// Supprimer le fichier.

Deletefile ("nom de fichier");

// Activation de la journalisation bootcleaner

Bc_logfile (getavzdirectory + 'boot_clr.log');

// Importation dans la liste des fichiers BottCleaner Liste des fichiers Script distant

Bc_importdelettedList;

// activation bootcleaner

// Système de nettoyage heuristique

Exécutesclean;

Rebootwindows (vrai);

Ce script comprend activement contre Roottam, l'utilisation du système AVZGuard (il s'agit d'un bloc d'activité de programme malveillant) et du système bootcleaner. Bootcleaner est un pilote qui supprime les objets spécifiés de KernelMode lors d'un redémarrage, à une étape de chargement rapide du système. La pratique montre qu'un script similaire est capable de détruire la majorité écrasante des programmes malveillants existants. L'exception est un logiciel malveillant, modifiant les noms de leurs fichiers exécutables avec chaque redémarrage, - dans ce cas, les fichiers détectés au cours de l'étude peuvent être renommés. Dans ce cas, l'ordinateur est nécessaire pour la création manuelle ou la création de vos propres signatures malveillants (un exemple d'un script de recherche de signal existant est décrit dans AVZ Aide).

Conclusion

Dans cet article, nous avons considéré certaines méthodes pratiques de lutte contre l'épidémie LAN manuellement, sans utiliser de produits antivirus. La plupart des techniques décrites peuvent également être utilisées pour rechercher des PC et des chevaux de Troie étrangers sur les ordinateurs des utilisateurs. Si vous rencontrez des difficultés à trouver un logiciel malveillant ou de créer des scripts de traitement, l'administrateur peut utiliser la section "Aide" du forum http://virusinfo.info ou la section "Fighting Warming" du forum http://forum.kaspersky.com /index.php?showforum\u003d dix-huit ans. L'étude des protocoles et de l'aide au traitement est effectuée sur les deux forums gratuitement, l'analyse PC est effectuée selon les protocoles AVZ et, dans la plupart des cas, le traitement est réduit au PC infecté par le script AVZ, compilé par des spécialistes de données de forum expérimentés.