Gli scanner di vulnerabilità automatizzano l'audit di sicurezza e possono svolgere un ruolo importante nella sicurezza IT, eseguire la scansione della rete e dei siti Web per diversi rischi di sicurezza. Questi scanner possono anche generare un elenco di priorità di coloro che è necessario correggere, oltre che descrivere la vulnerabilità e fornire misure per eliminarle. È anche possibile che alcuni di loro possano automatizzare il processo di eliminazione delle vulnerabilità.
10 migliori strumenti per stimare le vulnerabilità
- Comodo Hackerproof
- OpenVas.
- Comunità Nesspose.
- Nikto.
- Tripwire IP360.
- Wireshark.
- Aircrack.
- Nessus Professional.
- Community della retina CS.
- Microsoft Baseline Security Analyzer (MBSA)
- Comodo Hackerproof
Comodo Hackerproof è considerato uno strumento rivoluzionario per la scansione delle vulnerabilità, che consente di superare i problemi di sicurezza. Di seguito sono riportati alcuni vantaggi di base che puoi ottenere da hackerproof:
- Scansione giornaliera delle vulnerabilità
- Strumenti di scansione PCI inclusi
- Prevenire l'attacco drive-by
Questo è uno strumento aperto. codice sorgenteche funge da servizio centrale che fornisce strumenti di vulnerabilità per la scansione vulnerabilità e vulnerabilità.
- OpenVas supporta vari sistemi operativi
- Il meccanismo di scansione OpenVas viene costantemente aggiornato utilizzando i test di vulnerabilità della rete.
- OpenVas Scanner è uno strumento completo di vulnerabilità che definisce i problemi di sicurezza sui server e altri dispositivi di rete.
- I servizi di OpenVas sono gratuiti e solitamente autorizzati con la licenza GNU General Public License (GPL)
Nexpose Vulnerability Scanner sviluppato da Rapid7 è uno strumento open source utilizzato per eseguire la scansione delle vulnerabilità e condurre una vasta gamma di controlli di rete.
- Nesspose può essere costruito nella struttura metaspoilt
- Tiene in considerazione l'età della vulnerabilità, ad esempio, quale kit dannoso viene utilizzato in esso, quali vantaggi utilizza, ecc. D. e corregge il problema in base alla sua priorità
- È in grado di rilevare e scansionare automaticamente nuovi dispositivi e valutare la vulnerabilità quando si accede alla rete.
- Controlla la vulnerabilità in tempo reale, familiarizzare con gli ultimi rischi con nuovi dati.
- La maggior parte degli scanner di vulnerabilità classifica in genere i rischi usando una scala media o alta o bassa
Nikto è uno scanner web open source molto popolare utilizzato per valutare probabili problemi e vulnerabilità.
- Viene anche utilizzato per verificare le versioni obsolete del server, nonché per verificare qualsiasi problema particolare che influisce sull'operazione del server.
- Nikto viene utilizzato per eseguire vari test sui server Web per scansionare vari elementi, come diversi file pericolosi.
- Non è considerato uno strumento "silenzioso" e viene utilizzato per testare il server Web nel tempo minimo
- Viene utilizzato per eseguire la scansione di vari protocolli, come HTTPS, HTTP, ecc. Questo strumento consente di eseguire la scansione di più porte di un server specifico.
Tripwire IP360, sviluppato da Tripwire Inc, è considerato la soluzione migliore per valutare la vulnerabilità, che viene utilizzata da varie imprese per gestire i loro rischi di sicurezza.
- Utilizza una presentazione su larga scala di reti per identificare tutte le vulnerabilità, le configurazioni, le applicazioni, gli host di rete, ecc.
- Utilizza gli standard aperti per aiutare a integrare la gestione del rischio e la vulnerabilità in diversi processi aziendali.
Wireshark - Analizzatore ampiamente utilizzato protocolli di reteche è considerato gli strumenti utensili più potenti per gli specialisti di sicurezza.
- Wireshark è utilizzato in vari flussi, come agenzie governative, imprese, istituzioni educative, ecc., Per guardare nella rete a un livello basso
- Registra i problemi su Internet ed esegue un'analisi offline
- Funziona su piattaforme diverse, come Linux, Masos, Windows, Solaris, ecc.
Aircrack, noto anche come Aircrack-NG, è un set di strumenti utilizzati per valutare la sicurezza della rete WiFi.
- Gli strumenti sono utilizzati nell'audit di rete
- Supporta diversi os, come Linux, OS X, Solaris, NetBSD, Windows, ecc.
- Si concentra su varie aree di sicurezza WiFi, come i pacchetti di monitoraggio e i dati, i test driver e le carte, attacchi ripetuti, hacking, ecc.
- Con Aircrack puoi perseguire le chiavi, catturare i pacchetti di dati
Lo strumento Nessus è uno scanner di vulnerabilità brevettato e brevettato creato da una sicurezza di rete sostenibile.
- Ciò impedisce la penetrazione della rete dagli hacker valutando le vulnerabilità nel futuro molto vicino
- Può eseguire la scansione delle vulnerabilità che ti consentono di incidere in remoto i dati riservati dal sistema
- Supporta una vasta gamma di OS, DBS, applicazioni e diversi altri dispositivi tra infrastrutture cloud, reti virtuali e fisiche.
- È stato installato e utilizzato da milioni di utenti in tutto il mondo per valutare la vulnerabilità, i problemi di configurazione, ecc.
Retina CS è una console open source e un Webbel che ha aiutato a semplificare e centralizzare la gestione delle vulnerabilità.
- A causa delle sue capacità, come la segnalazione sulla configurazione, la correzione e la conformità della configurazione, Retina CS fornisce una stima della vulnerabilità inter-piattaforma.
- Include la valutazione automatica della vulnerabilità per il database, le applicazioni Web, le workstation e i server
- Retina CS è un'applicazione open source che fornisce il pieno supporto. media virtuale, come l'integrazione vCenter, la scansione delle applicazioni virtuali, ecc.
MBSA è uno strumento Microsoft gratuito, ideale per la sicurezza. computer Windows Basato su specifiche o raccomandazioni stabilite da Microsoft.
- MBSA ti consente di aumentare il livello di sicurezza, esplorando un gruppo di computer per qualsiasi configurazione errata, aggiornamenti mancanti e qualsiasi patch di sicurezza, ecc.
- Può eseguire la scansione solo aggiornamenti per il sistema di sicurezza, aggiornare i pacchetti e i pacchetti di archiviazione, lasciando da parte gli aggiornamenti critici e avanzati.
- È utilizzato da organizzazioni di medie e piccole dimensioni per gestire la sicurezza delle sue reti
- Dopo la scansione del sistema MBSA presenterà diverse soluzioni o proposte relative all'eliminazione delle vulnerabilità
Scanner di sicurezza: rilevamento delle vulnerabilità sulla rete, gestione degli aggiornamenti e della patch, correzione automatica dei problemi, dell'audit di software e hardware. GFI. Security di rete "\u003e Sicurezza della rete 2080
Scanner di sicurezza della rete e gestione degli aggiornamenti centralizzati
GFI LANGUARD funziona come consulente di sicurezza virtuale:
- Gestisce gli aggiornamenti per Windows ®, Mac OS ® e Linux ®
- rileva le vulnerabilità sui computer e dispositivi mobili
- conduce un audit di dispositivi e software di rete
GFI LANGUARD - Scanner di sicurezza per reti di qualsiasi scala: porte dello scanner di rete e vulnerabilità, scanner di sicurezza, trova automaticamente i fori del foro
GFI LANGUARD - Scanner di sicurezza per reti di qualsiasi scala: porte dello scanner di rete e vulnerabilità, scanner di sicurezza, trova automaticamente i fori del foroCos'è GFI Languard
Più che scanner di vulnerabilità!
GFI LANGUARD è uno scanner di sicurezza: rilevamento, definizione e correzione delle vulnerabilità sulla rete. Scansione completa della porta, disponibilità degli aggiornamenti software necessari per proteggere la rete, nonché l'audit del software e dell'hardware - tutto questo è possibile da un singolo pannello di controllo.
Scanner portuale.
I profili di scansione severamente raccolti consentono di eseguire sia la scansione completa di tutte le porte e controllare rapidamente solo quelli che di solito vengono utilizzati software indesiderati e dannosi. GFI LANGUARD esegue la scansione di diversi nodi contemporaneamente contemporaneamente, riducendo il tempo richiesto, e quindi confronta il trovato porti occupati con previsto.
Aggiornamenti e patch
Prima di installare gli ultimi aggiornamenti, i nodi non sono completamente protetti, poiché sono le ultime vulnerabilità che chiudono le patch e gli aggiornamenti topici sono utilizzati dagli hacker per penetrare la rete. A differenza degli utensili integrati, GFI Languard controllerà non solo il sistema operativo stesso, ma anche il software popolare, le cui vulnerabilità sono solitamente utilizzate per hacking: Adobe Acrobat / Reader, Flash Player., Skype, Outlook, Browser, Messenger.
Nodi di controllo
GFI LANGUARD preparerà per te un elenco dettagliato di software installato e hardware su ciascuno dei computer rilevate proibiti o programmi mancanti, così come dispositivi connessi inutili. I risultati della scansione multipla possono essere confrontati per identificare le modifiche nel set di software e hardware.
I dati più recenti di minacce
Ogni scansione viene eseguita dopo aver aggiornato i dati sulle vulnerabilità, il numero di cui nella GFI Languard ha già superato i 50.000. I fornitori di informazioni sulle minacce sono i fornitori di software stessi, così come gli elenchi collaudati di SAN e OVAL - sei sempre protetto dalle ultime minacce, tra cui cuore, clandestino, conchiglia, barboncino, sandido e altri.
Correzione automatica
Dopo aver ottenuto un resoconto dettagliato dei risultati della scansione con la descrizione di ciascuna vulnerabilità e collegamenti a letteratura aggiuntiva, è possibile correggere la maggior parte delle minacce al pulsante "Remedia": le porte verranno chiuse, le chiavi del registro sono fisse, le patch sono installate, Aggiornato, programmi proibiti eliminati e verranno installati i programmi mancanti.
Di norma, il test di penetrazione inizia con le vulnerabilità della scansione. Un buon scanner contiene sempre una base rilevante di famose vulnerabilità e, scansionando la tua rete, riporta quella o l'altra. Il nostro ulteriore lavoro è verificare se ciascuna delle vulnerabilità trovate è davvero soggetta a operazione, perché Gli scanner di vulnerabilità forniscono spesso false risposte.
Una delle vulnerabilità più popolari del mercato è Nessus Vulnerability Scanner. È diventato un tipo di standard per gli scanner di vulnerabilità. Inizialmente, ha iniziato come un progetto con open source.. Successivamente, è stato acquisito da TENABLE, e ora è un prodotto commerciale (versione professionale). Nonostante ciò, Nessus Scanner ha ancora una versione "Home", distribuita gratuitamente, ma ha un limite in 16 indirizzi IP. È questa versione che considereremo in questa istruzione per l'uso.
Essere un "hacker", dopo la scansione ottenendo lista completa vulnerabilità per le quali devi solo trovare exploit. Sfortunatamente, gli scanner di vulnerabilità sono molto "rumorosi" e gli amministratori vigili possono rilevare il loro lavoro. Tuttavia, non tutte le organizzazioni hanno tali amministratori.
Non dimenticare i punti importanti per quanto riguarda gli scanner di vulnerabilità. Non possono rilevare vulnerabilità di 0 giorni. Come i prodotti software antivirus, i loro database dovrebbero essere aggiornati ogni giorno per essere efficace.
Qualsiasi Penterster confortante deve avere familiarità con lo scanner Nessus. Molte delle organizzazioni piuttosto grandi in tutto il mondo lo usano nel complesso. informazioni di sicurezza.
Recentemente, anche il governo degli Stati Uniti ha iniziato a usarlo per scansionare le vulnerabilità. Quasi ogni ufficio federale e la base militare statunitense in tutto il mondo ora applica Nessus.
Diamo un'occhiata a qual è questo programma nel lavoro!
Passaggio 1. Scarica Nessus Scanner GRATIS
Trova una versione domestica gratuita della casa Nessus sul sito Web del Teninable non è facile. Pertanto, abbiamo preparato per te un collegamento diretto.
La registrazione richiede una versione gratuita, quindi è necessario specificare il tuo indirizzo email per ottenere il codice di attivazione.
Passaggio 2. Esegui Nessus
Dopo aver completato l'installazione, il browser predefinito si aprirà con il messaggio come mostrato di seguito. Nessus è costruito sull'architettura del client-server. Hai installato il server su localhost e il browser funge da client.
Molto probabilmente avrai un messaggio in cui dici: "La tua connessione non è sicura". Fai clic su "Avanzato".
Quindi aggiungere eccezioni per collegare la porta Nessus a 8834.
Passaggio 3. Impostazione di Nessus Home
Quasi tutto è pronto per cercare vulnerabilità!
È necessario creare un account. È lei che dovrà essere indicata per entrare nel Nessus.
Dopo aver inserito il login e la password, è necessario attivare il prodotto. Troviamo una lettera con un codice di attivazione nella tua posta e entriamo nel campo appropriato sulla pagina del tuo Nessus.
Quando è finito, Nessus inizierà a scaricare tutti gli aggiornamenti e i plug-in necessari per cercare vulnerabilità sulla rete. Il processo potrebbe richiedere del tempo.
Passaggio 4. Esecuzione delle vulnerabilità della scansione
Quando il Nessus è completato dall'aggiornamento, ti verrà fornita questa schermata, come mostrato di seguito. Fai clic su "Nuova scansione".
Questo aprirà una nuova pagina in cui è possibile selezionare il tipo di scansione. Prestare attenzione, ci sono sempre i modelli di minacce più rilevanti oggi.
Facciamo clic su "Basic Network Scan".
Una pagina è aperta, come il seguente ti verrà chiesto di specificare il nome della scansione (è possibile specificare qualsiasi chiaro per te, ad esempio, prima scansione). Dovrai anche specificare i nodi che analizzeremo. È possibile specificare l'intera sottorete di indirizzi IP 192.168.1.0/24. Fai clic su "Salva".
Ora fai clic sul pulsante "Avvia" per avviare la scansione delle vulnerabilità.
Passaggio 5. Visualizza i risultati della scansione
Secondo i risultati della scansione, riceviamo un elenco con indirizzi IP e rischi correlati. I rischi hanno una codifica del colore.
Fai clic su "Vulnerabilità" nel menu in alto per visualizzare tutte le vulnerabilità rilevate sulla rete.
Se fai clic su una vulnerabilità specifica, allora otterremo di più informazioni dettagliate. Di seguito è riportato un esempio della vulnerabilità "Codemeter".
È importante notare che oltre alla descrizione della vulnerabilità, il rapporto ha anche un modo per correggerlo e chiusura (sezione della soluzione).
Conclusione
Nessus Vulnerability Scanner da Tenerable Anche in una versione domestica gratuita è abbastanza facile da usare, ma allo stesso tempo uno scanner di vulnerabilità potente. Il suo principale vantaggio è che in esso è sempre possibile trovare modelli di minacce correnti, la possibilità di operare che controlla rapidamente e qualitativamente controlla la tua rete.
Ricorda che il successo della sicurezza delle informazioni di alta qualità è un audit regolare!
Ma non dimenticare che la scansione delle reti di altre persone potrebbe avere conseguenze sotto forma di problemi con la legge!
Ho introdotto in dettaglio con vari tipi di vulnerabilità, ma ora è il momento di conoscere gli scanner di queste vulnerabilità.
Gli scanner di vulnerabilità sono software o hardware che servono a diagnosticare e monitorare computer di retePermettendoti di eseguire la scansione di reti, computer e applicazioni per il rilevamento possibili problemi Nel sistema di sicurezza, valutare e risolvere le vulnerabilità.
Gli scanner di vulnerabilità consentono di controllare varie applicazioni Nel sistema per la presenza di "fori" che gli attaccanti possono sfruttare. È inoltre possibile utilizzare mezzi di basso livello, come gli scanner della porta, per identificare e analizzare possibili applicazioni e protocolli in esecuzione nel sistema.
Pertanto, gli scanner sono finalizzati a risolvere i seguenti compiti:
- identificazione e analisi delle vulnerabilità;
- inventario delle risorse come sistema operativo, software e dispositivo di rete;
- formazione di report contenenti una descrizione delle vulnerabilità e delle opzioni di eliminazione.
Come funziona?
Gli scanner di vulnerabilità con il loro lavoro utilizzano due meccanismi principali.
Primo - Il suono non è troppo pronto, ma accurato. Questo è un meccanismo di analisi attiva che lancia attacchi di imitazione, controllando così la vulnerabilità. Durante la sonda, i metodi di attuazione degli attacchi che aiutano a confermare la presenza di vulnerabilità e rilevare precedentemente non identificati "guasti".
Secondo Meccanismo - Scansione - Più veloce, ma dà risultati meno accurati. Questa è un'analisi passiva in cui lo scanner sta cercando una vulnerabilità senza confermare la sua presenza utilizzando segni indiretti. L'uso della scansione è determinata porte aperte e ha raccolto titoli correlati. Sono inoltre confrontati con la tabella delle regole per la definizione di dispositivi di rete, sistema operativo e possibili "fori". Dopo il confronto, lo scanner di sicurezza riporta sulla presenza o sull'assenza di vulnerabilità.
La maggior parte degli scanner di sicurezza della rete moderna lavorano sui principi:
- raccolta di informazioni sulla rete, identificazione di tutti i dispositivi attivi e i servizi in esecuzione su di essi;
- rilevamento di potenziali vulnerabilità;
- conferma di vulnerabilità selezionate, per i quali vengono utilizzati metodi specifici e gli attacchi sono simulati;
- segnalazione;
- eliminazione automatica delle vulnerabilità. Questa fase non è sempre implementata negli scanner di sicurezza della rete, ma spesso si verifica negli scanner di sistema.
I migliori scanner di vulnerabilità
Ora analizziamo gli scanner più rilevanti che titolano le valutazioni degli esperti.
Nessus.
Il progetto è stato lanciato nel 1998, e nel 2003 lo sviluppatore della sicurezza della rete sostenibile ha reso uno scanner di sicurezza della rete. Una base di vulnerabilità regolarmente aggiornata, semplicità nell'installazione e dell'uso, un alto livello di precisione è i suoi vantaggi sui concorrenti. Una funzione chiave è l'uso dei plugin. Cioè, qualsiasi test di penetrazione non è cucito saldamente all'interno del programma, ma è redatto sotto forma di un plug-in plug-in. IDons sono distribuiti su 42 di vari tipi: Per condurre un pennello, è possibile attivare sia i plugin separati e tutti i plugin definiti, ad esempio, per eseguire tutti i controlli locali sul sistema Ubuntu. Un punto interessante - gli utenti saranno in grado di scrivere i propri test utilizzando un linguaggio speciale di scripting.
Nessus è uno scanner di vulnerabilità eccellente. Ma lui ha due inconvenienti. Il primo - Quando l'opzione "Assegni Safe" è disabilitata, alcuni test di vulnerabilità possono portare a disturbi nel funzionamento dei sistemi scansionati. Il secondo è il prezzo. La licenza annuale può costare 114 mila rubli.
Controllo sicurezza Symantec.
Scanner del produttore gratuito con lo stesso nome. Le funzioni principali sono il rilevamento di virus e trojan, worm Internet, programmi dannosi, cerca le vulnerabilità in rete locale. Questo è un prodotto online costituito da due parti: Scansione di sicurezza.che controlla il sistema di sicurezza e Rilevamento dei virus.Esecuzione di un controllo completo del computer per i virus. È installato rapidamente e facilmente, funziona attraverso il browser. Secondo le ultime recensioni, questo scanner di rete è meglio utilizzare per un controllo aggiuntivo.
Xspider.
Il programma XSpider, che, secondo la domanda dello sviluppatore, può identificare un terzo della vulnerabilità di domani. La caratteristica chiave di questo scanner è la capacità di rilevare numero massimo "Dips" sulla rete anche prima di vedere gli hacker. In questo caso, lo scanner funziona da remoto senza richiedere un software aggiuntivo. Avendo lavorato, lo scanner invia un rapporto completo e suggerimenti sull'eliminazione dei "fori". Il costo della licenza per questo scanner inizia da 11 mila rubli per quattro host all'anno.
Qualliyguard.
Scanner multifunzione di vulnerabilità. Fornisce relazioni ampie che includono:
- valutazione del livello di criticità delle vulnerabilità;
- stimare il tempo necessario per eliminarli;
- controllando il grado del loro impatto sul business;
- analisi delle tendenze di sicurezza.
La piattaforma Cloud QualySguard e il set di applicazioni incorporato consente alle imprese di semplificare il processo di sicurezza e ridurre il costo di conformità con vari requisiti, mentre si danno informazioni importanti Informazioni sulla sicurezza e automatizzare l'intero spettro di compiti di audit, controllo complesso e protezione dei sistemi IT e applicazioni Web. Utilizzando questo software, è possibile eseguire la scansione di siti Web aziendali e ricevere avviso automatico e report per il rilevamento tempestivo e l'eliminazione delle minacce.
Rapid 7 Nexpose.
Rapid 7 è una delle società in più rapida crescita specializzata nella sicurezza delle informazioni al mondo. È stata lei che ha acquisito di recente il progetto Metasploit Framework ed è stata la sua mano che il progetto Nexpose. Il costo del "login" per l'uso versione commerciale Compensa senza un piccolo $ 3000, ma per gli appassionati c'è una versione comunitaria con una possibilità leggermente rifinita. Questa versione gratuita è facilmente integrata con metasploit. Lo schema di lavoro è piuttosto complicato: Nexpose inizia in primo luogo, quindi Metasploit Console (MSFConsole), dopo il quale è possibile eseguire il processo di scansione e regolarlo con un numero di comandi (NexSe_Connect, Nexpose_scan, Nexpose_Discover, Nexpose_Dos e altri). È possibile combinare la funzionalità di Nesspose e altri moduli Metasploit.
X-Scan.
Esternamente, X-Scan è più ricordata da un'autoadesata da sé come qualcuno per i propri bisogni e spinto in un pubblico sul nuoto gratuito. Potrebbe non aver ricevuto tale popolarità se non supporta gli script Nessus attivati \u200b\u200butilizzando il modulo DEssus-Attack-Scripts. D'altra parte, vale una relazione di scansione, e tutti i dubbi sull'utilità dello scanner sono partiti in background. Non sarà rilasciato secondo uno degli standard ufficiali di Ib, ma racconterà sicuramente molto sulla rete.
Problema epidemia. worm di rete rilevante per qualsiasi rete locale. Prima o poi, la situazione può verificarsi quando una rete o un verme postale penetra in LAN, che non viene rilevata da un antivirus usato. Il virus della rete si applica alle LAN attraverso non chiuso al momento dell'infezione della vulnerabilità del sistema operativo o tramite risorse condivise accessibili disponibili. Virus postale, come segue dal nome, si applica via e-mail a condizione che non sia bloccato dal client antivirus e antivirus server email. Inoltre, l'epidemia nella LAN può essere organizzata dall'interno come risultato di un insider. In questo articolo, considereremo metodi pratici dell'analisi operativa dei computer LAN utilizzando vari fondi, in particolare con l'aiuto dell'utilità dell'autore AVZ.
Formulazione del problema
In caso di rilevamento epidemico o di una determinata attività di inserto nella rete, l'amministratore deve risolvere rapidamente il minimo di tre attività:
- rilevare PC infetti sulla rete;
- trova campioni di un programma dannoso da inviare al laboratorio anti-virus e sviluppare una strategia di contromissione;
- adottare misure per bloccare la diffusione del virus nella LAN e la sua distruzione sui computer infetti.
Nel caso di un'attività privilegiata, i principali passaggi dell'analisi sono identici e più spesso ridotti alla necessità di rilevare un interno stabilito di software straniero sui computer LAN. Ad esempio, questo software può essere chiamato utilità amministrazione remota, spie della tastiera. E vari segnalibri di Trojans.
Considera la soluzione di ciascuna delle attività impostata.
Cerca PC infetti
Per cercare PC infetti nella rete è possibile utilizzare almeno tre tecniche:
- analisi remota automatica del PC - Ricezione di informazioni sui processi di esecuzione, librerie e driver scaricati, ricerca di caratteristiche - ad esempio processi o file con nomi specificati;
- ricerca del traffico PC con sniffer - questo metodo È molto efficace per il cattura di spambots, vermi postali e di rete, tuttavia, la principale complessità nell'uso di un sniffer è correlato al fatto che la moderna LAN si basa sul database degli interruttori e, di conseguenza, l'amministratore non può monitorare l'intero traffico di rete. Il problema è risolto in due modi: eseguire un sniffer sul router (che consente di monitorare lo scambio di dati dei dati PC con Internet) e l'uso di funzioni di monitoraggio degli switch (molti interruttori moderni consentono di assegnare una porta di monitoraggio a cui il traffico di una o più porte di switch specificate dai duplicatori dell'amministratore;
- caricamento sulla rete - In questo caso, è molto comodo utilizzare interruttori intelligenti che consentono di non solo di valutare il carico, ma anche di disabilitare in remoto le porte specificate dall'amministratore. Questa operazione è significativamente semplificata se l'amministratore della scheda di rete ha dati su cui i PC sono collegati alle porte dello switcher corrispondenti e dove si trovano;
- l'uso di trappole (honeypot) - sulla rete locale si consiglia vivamente di creare diverse trappole che consentiranno all'amministratore di rilevare l'epidemia in modo tempestivo.
Analisi automatica del PC sulla rete
L'analisi automatica del PC può essere ridotta a tre fasi principali:
- condurre un studio completo di PC - processi in esecuzione, librerie e driver scaricati, autorun;
- condurre un sondaggio operativo - ad esempio, una ricerca di processi o file caratteristici;
- oggetti di quarantena secondo determinati criteri.
Tutte le attività elencate possono essere risolte utilizzando l'utilità dell'autore AVZ, progettato per eseguire dalla cartella di rete sul server e supporta il linguaggio di scripting per l'esame automatico del PC. Per avviare AVZ sui computer utente di cui hai bisogno:
- Posiziona AVZ in Apri per leggere una cartella di rete sul server.
- Creare le sottodirectory di registro e Qurantine in questa cartella e consentire agli utenti di registrare in essi.
- Esegui AVZ sui computer LAN utilizzando l'utilità Rexec o lo script di accesso.
Il lancio AVZ nel passaggio 3 dovrebbe essere fatto con tali parametri:
\\\\ my_server \\ avz \\ avz.exe priorità \u003d -1 nw \u003d y nq \u003d y hiddenmode \u003d 2 script \u003d \\\\ my_server \\ avz \\ my_script.txt
In questo caso, il parametro prioritario \u003d -1 abbassa la priorità processo AVZ, NW \u003d Y e NQ \u003d Y Parametri cambiano la modalità Quarantena in modalità "Rete Start" (in questo caso, una sottodirectory viene creata nella cartella Quarantena per ciascun computer, il che coincide con il nome della rete PC), HiddenMode \u003d 2 Prescrive a proibire l'accesso all'utente alla GUI e alla gestione AVZ e, infine, lo script dei parametri più importante imposta il nome completo dello script con i comandi che AVZ verrà eseguito sul computer dell'utente. Il linguaggio di scripting AVZ è abbastanza semplice da usare ed è focalizzato esclusivamente sulla risoluzione dei compiti del sondaggio del computer e del suo trattamento. Per semplificare il processo di scrittura script, è possibile utilizzare un editor di script specializzato, che contiene una punta operativa, una procedura guidata di creazione di script tipici e mezzi di verifica dello script scritto scritti senza avviarlo (Fig. 1).
Fico. 1. Editor di script AVZ
Considera tre script tipici che possono essere utili durante la lotta contro l'epidemia. Innanzitutto, avremo bisogno di uno script per lo studio del PC. Il compito dello script è quello di studiare il sistema e creare un protocollo con i risultati in un dato cartella di rete. Lo script ha il seguente modulo:
AttivaWatchDog (60 * 10);
// Avvia scansione e analisi
// studio del sistema
ExecutesSheck (GetavzDirectory +
'\\ Log \\' + getComputerName + '_ log.htm');
// completamento di AVZ
Durante l'esecuzione di questo script nella cartella del registro (si presume che venga creato nella directory AVZ sul server ed è disponibile per gli utenti dell'utente) verrà creato dai file HTML con i risultati della ricerca sui computer di rete e per garantire Unicità Nel nome del protocollo, il nome del computer in studio è attivato. All'inizio dello script, c'è un comando per attivare il timer di guardia, che costringerà il PCCC AVZ in 10 minuti se lo script si verifica durante l'esecuzione dello script.
Il protocollo AVZ è conveniente per lo studio manualmente, tuttavia, è piccolo per l'analisi automatizzata. Inoltre, l'amministratore è spesso noto il nome del file di programma dannoso e controlla solo la presenza o l'assenza questa vita, se hai - metti in quarantena per l'analisi. In questo caso, è possibile applicare lo script per il tipo seguente:
// Accensione del timer del watchdog per 10 minuti
AttivaWatchDog (60 * 10);
// cerca il programma dannoso denominato
Quarantinafile ('% windir% \\ smss.exe', 'sospetto su ldpinch.gen');
Quarantinafile ('% windir% \\ csrsss.exe', 'sospetto su ldpinch.gen');
// completamento di AVZ
Questo script è attivato dalla funzione QuarantinaFile, che fa un tentativo di quarantena di questi file. L'amministratore rimane solo per analizzare il contenuto della quarantena (quarantena \\ network_word folder \\ date_carachina \\) per la presenza di file collocati in quarantena. Va notato che la funzione quarantinaefile blocca automaticamente la stanza nei file di quarantena identificati dal database AVZ sicuro o in base a Microsoft EDS. Per applicazione pratica Questo script può essere migliorato - per organizzare il download dei nomi dei file da un file di testo esterno, controllare i file trovati dalle basi AVZ e formano un protocollo di testo con i risultati del lavoro:
// Ricerca file con nome specificato
funzione CheckbyByName (FNAME: String): Boolean;
Risultato: \u003d fileexists (fname);
se il risultato è quindi inizia
caso checkfile (fname) di
1: S: \u003d ', l'accesso al file è bloccato';
1: S: \u003d ', identificato come malware (' + getlastchecktxt + ')';
2: S: \u003d ', sospettato da uno scanner di file (' + getlastchecktxt + ')';
3: uscita; // file sicuri Ignora
AddTtolog ('File' + NormalFileName (FNAME) + 'ha un nome sospetto' + s);
// aggiunta file specificato in quarantena
Quarantinafile (fname, "file sospettoso '+ s);
Sosponi: tstringlist; // Elenco dei nomi dei file sospetti
// Controlla i file nel database aggiornato
se i fileexists (getavzdirectory + 'files.db') quindi inizia
Sospensione: \u003d tstringlist.create;
Sosponi.loadfromfile ('files.db');
AddTTOLG ('Nome Base Downloads - Numero di records \u003d' + INTOSTR (sosnam originale.Count));
// Ciclo di ricerca
per i: \u003d 0 a sosponi.Count - 1 Do
Checkbyname (sosponi [i]);
AddTtolog ('' Errore durante il download Elenco dei nomi file ');
Savelog (getavzdirectory + '\\ log \\' +
GetComputName + '_ Files.txt');
Per lavorare su questo script, è necessario creare nella cartella AVZ disponibile per gli utenti per registrare la quarantena e le directory di registri, nonché file di testo Files.db - Ogni riga di questo file conterrà il nome di un file sospetto. I nomi dei file possono includere macro, il più utile dei quali è% windir% (percorso alla cartella di Windows) e% systemroot% (percorso alla cartella System32). Un'altra direzione di analisi può essere uno studio automatico dell'elenco dei processi in esecuzione sui computer degli utenti. Le informazioni sui processi in esecuzione si trovano nel protocollo di ricerca del sistema, ma per l'analisi automatica è più conveniente applicare il seguente frammento di script:
procedura ScanProcess;
S: \u003d ''; S1: \u003d '';
// Aggiorna l'elenco dei processi
Refreshprocesslist;
AddTtolog ('numero di processi \u003d' + inttostr (getprocesscount));
// Ciclo di analisi dell'elenco ricevuto
per i: \u003d 0 a GetProcessCount - 1 Inizia
S1: \u003d S1 + ',' + ExtractName (I);
// Processo Ricerca per nome
se POS ('Trojan.exe', minuscolo (GetProcessName (I)))\u003e 0 allora
S: \u003d s + getprocessname (i) + ',';
se S.<> '' Poi.
Addlinetotxtfile (getavzdirectory + '\\ log _alarm.txt', datetimetostr (ora) + '' + getComputerName + ':' + s);
Addlinetotxtfile (getavzdirectory + '\\ log _all_process.txt', datetimetostr (ora) + '' + getComputerName + ':' + S1);
Lo studio dei processi in questo script è fatto sotto forma di una procedura di scansione separata, quindi è facile da posizionare nel proprio script. La procedura ScanProcess crea due elenchi di processi: un elenco completo dei processi (per analisi successiva) e un elenco di processi che, dal punto di vista dell'amministratore, sono considerati pericolosi. In questo caso, il processo denominato 'Trojan.exe' è considerato per dimostrare come un pericoloso. Le informazioni sui processi pericolosi vengono aggiunti al file di testo _Alarm.txt, i dati su tutti i processi è il file _all_process.txt. È facile notare che è possibile complicare lo script, aggiungendo ad esempio, ad esempio, controllando i processi in base al database di file sicuri o controllare i nomi dei file eseguibili dei processi nella base esterna. Questa procedura viene utilizzata negli script AVZ utilizzati in Smolenskenergo: l'amministratore studia periodicamente le informazioni raccolte e modifica lo script, aggiungendo i processi dei processi proibiti dalle politiche di sicurezza del programma, come ICQ e Mailru.Agent, che consente di controllare rapidamente il Presenza di software proibito sul PC studiato. Un'altra applicazione dell'elenco dei processi è una ricerca PC, che non ha un processo obbligatorio, ad esempio, antivirus.
In conclusione, considera l'ultimo degli script di analisi utili - lo script della quarantena automatica di tutti i file non riconosciuti in base alla base di AVZ sicuri e sulla base di Microsoft's EDS:
// esecuzione di autocarene.
ExeseautoQuarantine;
La quarantena automatica viene esaminata eseguendo processi e librerie, servizi e driver scaricati, circa 45 modi di Autorun, moduli di espansione del browser e conduttori di conduttori, gestori SPI / LSP, attività di pianificazione, gestori di sistema di stampa e simili. Una peculiarità della quarantena è che i file vengono aggiunti al controllo ripetizione, quindi la funzione AutoCartino può essere chiamata ripetutamente.
Il vantaggio della quarantena automatica è che con il suo aiuto, l'amministratore può raccogliere tempestivamente file potenzialmente sospetti da tutti i computer di rete per studiarli. Il più semplice (ma molto efficace nella pratica) la forma di studio dei file potrebbe essere il test della quarantena risultante da diversi antivirus popolari nella modalità Heuristica massima. Va notato che il lancio simultaneo di Autocartine su diverse centinaia di computer può creare un carico elevato sulla rete e sul file server.
Studio del traffico
Lo studio del traffico può essere effettuato in tre modi:
- manualmente con l'aiuto di annusso;
- in modalità semi-automatica - in questo caso, Sniffer raccoglie informazioni, quindi i suoi protocolli vengono elaborati manualmente o alcuni software;
- utilizzando automaticamente i sistemi di rilevamento delle intrusioni (IDS) tipo snort (http://www.snort.org/) o il loro software o analoghi hardware. Nel caso più semplice, gli IDS sono costituiti da un sniffer e al sistema che analizza le informazioni raccolte dal Snuffer.
Il sistema di rilevamento delle intrusioni è il mezzo ottimale, in quanto consente di creare set di regole per rilevare un'anomalia nell'attività di rete. Il secondo vantaggio è il seguente: la maggior parte degli ID moderni consentono di posizionare gli agenti di monitoraggio del traffico su diversi nodi della rete - gli agenti raccolgono informazioni e trasmetterlo. Nel caso dell'uso del Sniffer, è molto conveniente utilizzare la console UNIX-Sniffer TCPDump. Ad esempio, per monitorare l'attività da Port 25 (Protocollo SMTP), è sufficiente lanciare un sniffer con riga di comando Visualizzazioni:
tCPDump -i EM0 -L TCP Port 25\u003e smtp_log.txt
In questo caso, i pacchetti vengono catturati attraverso l'interfaccia EM0; Le informazioni sui pacchetti catturati verranno salvate nel file smtp_log.txt. Il protocollo è relativamente semplice da analizzare manualmente, in questo esempio L'analisi dell'attività nella porta 25 consente di calcolare un PC con robot spam attivi.
Applicazione honeypot.
Come trap (honeypot), è possibile utilizzare un computer obsoleto, le cui prestazioni non consentono di essere utilizzate per risolvere le attività di produzione. Ad esempio, nella rete dell'autore, Pentium Pro C 64 MB di RAM viene utilizzata con successo come una trappola. A questo PC, è necessario installare il sistema operativo più comune nella LAN e selezionare una delle strategie:
- Installare il sistema operativo senza pacchetti di aggiornamento - sarà un indicatore dell'aspetto di un worm di rete attivo nella rete che opera una delle vulnerabilità note per questo sistema operativo;
- installare il sistema operativo con gli aggiornamenti installati su un'altra rete PC - Honeypot sarà analogo a qualsiasi workstation.
Ciascuna delle strategie ha sia i suoi vantaggi che gli svantaggi; L'autore applica fondamentalmente l'opzione senza aggiornamenti. Dopo aver creato un honeypot, è necessario creare un'immagine del disco per ripristinare rapidamente il sistema dopo danni ai programmi dannosi. In alternativa, un'immagine del disco può essere utilizzata per ritornare i cambiamenti dell'ombra e i suoi analoghi. BUEG HONEYPOT, va notato che un numero di vermi di rete cerca computer infetti scannando un intervallo IP, contato dall'indirizzo IP di un PC infetto (strategie tipiche comuni - XXX *, XXX + 1. *, XXX-1 *) - Di conseguenza, idealmente, Honeypot dovrebbe essere in ciascuna delle sottoreti. Come ulteriori elementi di preparazione, è necessario aprire l'accesso a diverse cartelle sul sistema Honeypot e diversi file di esempio devono essere inseriti in queste cartelle. vari formato, set minimo - EXE, JPG, MP3.
Naturalmente, creando un honeypot, l'amministratore deve rintracciare il suo lavoro e rispondere a qualsiasi anomalia scoperta questo computer. Come mezzo di registrazione delle modifiche, è possibile applicare i revisori, un sniffer può essere utilizzato per registrare l'attività di rete. Un punto importante È che la maggior parte degli Sniffers ha la possibilità di configurare l'invio dell'avviso dell'amministratore in caso di rilevamento di una determinata attività di rete. Ad esempio, nel Sniffer CommView, la regola implica le istruzioni "Formula", che descrive il pacchetto di rete o il compito dei criteri quantitativi (invio di un numero più specificato di pacchetti o byte al secondo, invio di pacchetti a indirizzi IP o MAC non identificati ) - Fig. 2.
Fico. 2. Creazione e configurazione dell'attività di rete AVVERTENZA
Come avviso, è più conveniente utilizzare i messaggi di posta elettronica inviati alla cassetta postale dell'amministratore - in questo caso, è possibile ottenere avvisi operativi da tutte le trappole sulla rete. Inoltre, se il Sniffer ti consente di creare diversi avvertimenti, ha senso differenziare attività di rete, Dopo aver evidenziato il lavoro con e-mail, FTP / HTTP, TFTP, Telnet, MS Net, ha aumentato il traffico superiore a 20-30 pacchetti al secondo su qualsiasi protocollo (Fig. 3).
Fico. 3. Notifica lettera inviata
In caso di rilevamento di pacchetti corrispondenti ai criteri specificati
Quando si organizza una trappola non è male per posizionare diversi servizi di rete vulnerabili sulla rete o stabilire il loro emulatore. Il più semplice (e gratuito) è la paternità dell'utilità APS, che non è installata. Il principio di APS è ridotto all'ascolto del set di porte TCP e UDP descritta nel suo database e emettendo una risposta predeterminata o generata a caso (Fig. 4) al momento della connessione.
Fico. 4. Utilità di finestre principali APS
La figura mostra lo scatto dello screenshot durante la vera risposta dell'APS nella LAN "Smolenskergo". Come si può vedere nella figura, viene registrato un tentativo di collegare uno dei computer client dalla porta 21. Un'analisi dei protocolli ha dimostrato che i tentativi sono periodici, fissati da diverse trappole sulla rete, il che consente di concludere a Scansione di rete per cercare e hackerare i server FTP selezionando le password. APS conduce i protocolli e può inviare amministratori di messaggi con report sui collegamenti registrati a porte controllate, che è conveniente per il rilevamento della scansione della rete operativa.
Durante la creazione di honeypot, è anche utile leggere le risorse online su questo argomento, in particolare con il sito http://www.honeynet.org/. Nella sezione Strumenti di questo sito Web (http://www.honeynet.org/tools/index.html), è possibile trovare una serie di strumenti per la registrazione e l'analisi degli attacchi.
Rimozione remota dei programmi dannosi
Idealmente, dopo aver rilevato campioni di malware, l'amministratore li invia al laboratorio anti-virus, dove sono prontamente studiati dagli analisti e le corrispondenti firme vengono applicate alla base antivirus. Queste firme attraverso gli aggiornamenti automatici rientrano su PC utente e l'antivirus rende la rimozione automatica dei programmi dannosi senza l'intervento dell'amministratore. Tuttavia, questa catena non funziona sempre come dovrebbe essere, in particolare, sono possibili le seguenti cause di fallimento:
- per un numero di persone indipendenti dall'amministratore, le cause dell'immagine potrebbero non raggiungere il laboratorio anti-virus;
- efficienza insufficiente del laboratorio anti-virus - idealmente per lo studio dei campioni e la loro introduzione alla base non va più di 1-2 ore, cioè all'interno del giorno lavorativo, è possibile ottenere database di firma aggiornati. Tuttavia, non tutti i laboratori antivirus funzionano così rapidamente, e gli aggiornamenti possono essere attesi per diversi giorni (in rari casi, anche settimane);
- alte prestazioni dell'Antivirus - un certo numero di programmi dannosi dopo l'attivazione distruggere gli antivirus o violare il loro lavoro in ogni modo possibile. Esempi classici - Introduzione a host File. Records Bloccando il normale funzionamento del sistema di aggiornamento automatico antivirus, elimina processi, servizi e driver di antivirus, danni alle loro impostazioni, ecc.
Di conseguenza, nelle situazioni elencate dovranno combattere manualmente per programmi dannosi. Nella maggior parte dei casi, è facile, dal momento che i PC contaminati sono noti dai risultati dello studio dei computer, nonché i nomi completi dei file di malware. Rimane solo per produrre la loro rimozione della distanza. Se un programma dannoso non è protetto dalla rimozione, è possibile distruggerlo con il seguente script AVZ:
// Cancella il file.
DeleteFile ('nome file');
ExeseSessclean;
Questo script rimuove un file specificato (o più file, dal momento che i comandi DELETEFILE nello script potrebbero essere un numero illimitato) e quindi pulire automaticamente il registro. In un caso più sfidato, il programma dannoso può essere protetto dalla cancellazione (ad esempio, re-spalmare i suoi file e le chiavi del registro) o mascherato dalla tecnologia Rootkit. In questo caso, lo script è complicato e avrà il seguente modulo:
// anti-corte
Searchrotkit (vero, vero);
// ufficio avzguard.
Setavzguardstatus (true);
// Cancella il file.
DeleteFile ('nome file');
// abilitando la registrazione del bootcleaner
BC_LOGFILE (GetavzDirectory + 'boot_clr.log');
// Importa al lavoro BootCleaner Elenco di file Script remoto
Bc_importdeletedlist;
// attivazione bootcleaner.
// Sistema di pulizia euristica
ExeseSessclean;
Riavvio (vero);
Questo script include il contrappozione attivamente Robottam, l'uso del sistema AVZGUARD (questo è un blocco di attività del programma dannoso) e il sistema di bootcleaner. BootCleaner è un conducente che rimuove gli oggetti specificati da Kernelmode durante un riavvio, in una fase di caricamento del sistema precoce. La pratica mostra che uno script simile è in grado di distruggere la travolgente maggioranza dei programmi dannosi esistenti. L'eccezione è malware, cambiando i nomi dei loro file eseguibili con ciascun riavvio, - In questo caso, i file rilevati durante lo studio possono essere rinominati. In questo caso, il computer è necessario per manualmente o creare le tue firme di malware (un esempio di uno script di ricerca del segnale esistente è descritto nell'aiuto AVZ).
Conclusione
In questo articolo, abbiamo considerato alcuni metodi pratici di combattere manualmente l'epidemia della LAN, senza utilizzare prodotti antivirus. La maggior parte delle tecniche descritte può essere utilizzata anche per cercare PC stranieri e trojan sui computer degli utenti. Se si dispone di difficoltà a trovare un malware o creare script di trattamento, l'amministratore può utilizzare la sezione "Guida" del forum http://virusinfo.info o la sezione "calore di combattimento" del forum http://forum.kaspersky.com /index.php?showforum\u003d diciotto. Lo studio dei protocolli e dell'assistenza del trattamento viene effettuato in entrambi i forum gratuitamente, l'analisi del PC è condotta secondo i protocolli AVZ, e nella maggior parte dei casi il trattamento è ridotto allo script AVZ infetto PC, compilato da specialisti esperti di dati del forum.
