Skanery podatności zautomatyzują audyt bezpieczeństwa i mogą odgrywać ważną rolę w bezpieczeństwie IT, skanując sieć i strony internetowe do różnych zagrożeń bezpieczeństwa. Te skanery mogą również wygenerować listę priorytetów tych, których potrzebujesz, aby poprawić, a także opisać podatność i zapewnić środki do ich wyeliminowania. Możliwe jest również, że niektóre z nich mogą zautomatyzować proces eliminowania luk.
10 najlepszych narzędzi do oszacowania luk
- Comodo Hackerproof.
- Openvas.
- Społeczność Nexpose.
- Nikto.
- Tripwire IP360.
- Wireshark.
- Aircrack.
- Nessus Professional
- Społeczność Retina CS.
- Microsoft Baseline Security Analyzer (MBSA)
- Comodo Hackerproof.
Comodo Hackerof jest uważany za rewolucyjne narzędzie do skanowania luk, co pozwala przezwyciężyć problemy z bezpieczeństwem. Poniżej znajdują się podstawowe korzyści, które można uzyskać z hakerofu:
- Codzienne skanowanie luk
- Dołączone narzędzia do skanowania PCI
- Zapobiegaj atakowi dysku
To jest otwarte narzędzie. kod źródłowyktóry służy jako usługa centralna, która zapewnia narzędzia w zabezpieczeniach do skanowania luk i luk w zabezpieczeniach.
- OpenVAS obsługuje różne systemy operacyjne
- Mechanizm skanowania OpenVAS jest stale aktualizowany przy użyciu testów w zabezpieczeniach sieciowych.
- OpenVAS Scanner to kompleksowe narzędzie luźne, które definiuje problemy z bezpieczeństwem na serwerach i innych urządzeniach sieciowych.
- Usługi OpenVAS są bezpłatne i zazwyczaj licencjonowane na podstawie licencji GNU General Public License (GPL)
Nexposeppose Scanner Scanner w zabezpieczeniach przez Rapid7 jest narzędziem open source używanym do skanowania luk i prowadzenia szerokiej gamy kontroli sieciowych.
- Nexposepose można wbudować w strukturę metaszyny
- Bierze pod uwagę wiek wrażliwości, na przykład, jaki jest w nim używany złośliwy zestaw, jakie korzyści wykorzystuje, itd. D. i koryguje problem na podstawie jego priorytetu
- Jest w stanie automatycznie wykrywać i skanować nowe urządzenia i oceniać wrażliwość podczas uzyskiwania dostępu do sieci.
- Kontroluje podatność w czasie rzeczywistym, zapoznając się z najnowszymi zagrożeniami z nowymi danymi.
- Większość skanerów wrażliwości zazwyczaj klasyfikuje ryzyko przy użyciu nośnika lub wysokiej lub niskiej skali
Nikto to bardzo popularny skaner internetowy Open Source używany do oceny prawdopodobnych problemów i luk.
- Służy również do weryfikacji przestarzałych wersji serwera, a także sprawdzić określony problem, który wpływa na działanie serwera.
- Nikto służy do przeprowadzenia różnych testów na serwerach internetowych, aby skanować różne elementy, takie jak kilka niebezpiecznych plików.
- Nie jest uważany za "cichy" narzędzie i jest używany do przetestowania serwera WWW w minimalnym czasie
- Służy do skanowania różnych protokołów, takich jak HTTPS, HTTP itp. To narzędzie umożliwia skanowanie wielu portów określonego serwera.
Tripwire IP360, opracowany przez Tripwire Inc, jest uważany za najlepsze rozwiązanie do oceny luki, która jest używana przez różne przedsiębiorstwa do zarządzania ryzykiem bezpieczeństwa.
- Wykorzystuje na dużą skalę prezentacji sieci do identyfikacji wszystkich luk, konfiguracji, aplikacji, gospodarzy sieciowych itp.
- Wykorzystuje otwarte standardy, aby pomóc w integracji zarządzania ryzykiem i podatności w kilku procesach biznesowych.
Wireshark - szeroko stosowany analizator protokoły sieciowe.który jest uważany za najpotężniejsze narzędzia narzędzi dla specjalistów bezpieczeństwa.
- Wireshark jest używany w różnych strumieniach, takich jak agencje rządowe, przedsiębiorstwa, instytucje edukacyjne itp., Aby spojrzeć w sieć na niskim poziomie
- Zapisuje problemy z Internetem i wykonuje offline analizy
- Działa na różnych platformach, takich jak Linux, Masos, Windows, Solaris itp.
AirCrack, znany również jako AirCrack-NG, jest zestawem narzędzi używanych do oceny bezpieczeństwa sieci WIFI.
- Narzędzia są używane w audycie sieciowej
- Obsługuje kilka systemów operacyjnych, takich jak Linux, OS X, Solaris, NetBSD, Windows itp.
- Koncentruje się na różnych obszarach bezpieczeństwa WiFi, takich jak pakiety monitorujące i dane, sterowniki testowe i karty, powtarzające się ataki, hakowanie itp.
- Z AirCrack można uzyskać utracone klucze, przechwytujące pakiety danych
Narzędzie Nessus jest opatentowany i opatentowany skaner wrażliwy w zabezpieczeniach na terenie.
- Zapobiega to penetracji sieci z hakerów, oceniając lukę w najbliższej przyszłości
- Może skanować luki, które umożliwiają zdalnie włamać poufne dane z systemu
- Obsługuje szeroką gamę systemu operacyjnego, DBS, aplikacji i kilku innych urządzeń wśród infrastruktury chmur, wirtualnych i fizycznych sieci.
- Został zainstalowany i używany przez miliony użytkowników na całym świecie w celu oceny luki, problemy z konfiguracją itp.
Retina CS to konsola open source i webbel, który pomógł uprościć i scentralizować zarządzanie lukami.
- Ze względu na swoje możliwości, takie jak raportowanie w sprawie konfiguracji, korekcji i zgodności z konfiguracją, Retina CS zapewnia oszacowanie luki między platformą.
- Obejmuje automatyczną oceną podatności na bazę danych, aplikacji internetowych, stacji roboczych i serwerów
- Retina CS jest aplikacją open source, która zapewnia pełne wsparcie. wirtualne media, takie jak integracja VCenter, skanowanie aplikacji wirtualnych itp.
MBSA to darmowe narzędzie Microsoft, która jest idealna dla bezpieczeństwa. komputer z systemem Windows. Na podstawie specyfikacji lub zaleceń ustanowionych przez Microsoft.
- MBSA pozwala zwiększyć poziom bezpieczeństwa, odkrywając grupę komputerów dla każdego nieprawidłowa konfiguracja, brakujące aktualizacje i wszelkie poprawki bezpieczeństwa itp.
- Może skanować tylko aktualizacje dla systemu zabezpieczeń, aktualizacji pakietów i pakietów przechowywania, odrzucając aktualizacje krytyczne i zaawansowane.
- Jest używany przez organizacje średniego i małego rozmiaru, aby zarządzać bezpieczeństwem jego sieci
- Po skanowaniu systemu MBSA przedstawi kilka rozwiązań lub propozycji związanych z eliminacją luk
Skaner bezpieczeństwa: Wykrywanie luk w sieci, zarządzanie aktualizacjami i poprawką, automatyczną korektę problemów, audyt oprogramowania i sprzętu. GFI. Bezpieczeństwo sieci "\u003e Bezpieczeństwo sieci 2080
Skaner bezpieczeństwa sieciowy i scentralizowane zarządzanie aktualizacją
GFI LANGARD działa jako wirtualny konsultant bezpieczeństwa:
- Zarządza aktualizacje dla systemu Windows ®, Mac OS ® i Linux ®
- wykrywa luki na komputerach i urządzenia mobilne
- prowadzi audyt urządzeń sieciowych i oprogramowania
GFI LANGARD - Skaner bezpieczeństwa dla sieci dowolnej skali: Porty skanera sieciowe i luki, skaner bezpieczeństwa, automatycznie znajdują się otwory
GFI LANGARD - Skaner bezpieczeństwa dla sieci dowolnej skali: Porty skanera sieciowe i luki, skaner bezpieczeństwa, automatycznie znajdują się otworyCo to jest GFI Langard
Więcej niż skaner luk!
GFI LANGARD jest skaner bezpieczeństwa: wykrywanie, definicja i korekta luk w sieci. Pełne skanowanie portowe, dostępność niezbędnych aktualizacji oprogramowania do ochrony sieci, a także audyt oprogramowania i sprzętu - wszystko to możliwe z pojedynczego panelu sterowania.
Skaner portu.
Surowo zebrane profile skanowania umożliwiają przeprowadzenie zarówno pełnego skanowania wszystkich portów, jak i szybko sprawdzić tylko te, które są zwykle używane niepożądane i złośliwe oprogramowanie. GFI LANGARD skanuje kilka węzłów jednocześnie, zmniejszając wymagany czas, a następnie porównuje znalezione ruchliwe porty z oczekiwaniami.
Aktualizacje i łatki
Przed zainstalowaniem najnowszych aktualizacji węzły są całkowicie chronione, ponieważ są to najnowsze luki, które zamykają lokale tematyczne i aktualizacje są używane przez hakerów, aby przeniknąć do sieci. W przeciwieństwie do wbudowanych narzędzi, GFI Languard sprawdzi nie tylko sam OS, ale także popularne oprogramowanie, których luki są zwykle używane do hakowania: Adobe Acrobat / Reader, Odtwarzacz Flash., Skype, Outlook, przeglądarki, posłańcy.
Węzły audytu.
GFI LANGARD przygotuje się do Państwa szczegółowej listy zainstalowanych oprogramowania i sprzętu na każdym z komputerów wykryje zabronione lub brakujące programy, a także niepotrzebne podłączone urządzenia. Wyniki wielu skanowania można porównać do identyfikacji zmian w zestawie oprogramowania i sprzętu.
Najnowsze dane zagrożenia
Każde skanowanie jest przeprowadzane po aktualizacji danych na luki, których liczba w GFI Languard już przekroczyła 50 000. Dostawcy informacji o zagrożeniom są dostawcami samych oprogramowania, a także sprawdzone listy SANS i Oval - zawsze są chronione przed najnowszymi zagrożeniami, w tym serii serca, tarów, shellshock, pudel, sandworm i innych.
Automatyczna korekta
Po uzyskaniu szczegółowego opisu skanowania wyników z opisem każdej luki i linków do dodatkowej literaturze można naprawić większość zagrożeń na przycisk "naprawczy": Porty zostaną zamknięte, klawisze rejestru są stałe, instalowane są poprawki, Zaktualizowane, zabronione programy usunięte, a brakujące programy zostaną zainstalowane.
Z reguły test penetracji rozpoczyna się od luki skanowania. Dobry skaner zawiera zawsze odpowiednia baza znanych luk i skanowania sieci, informuje, że jeden lub inny. Naszą dalszą pracą jest sprawdzenie, czy każda z znalezionych luk jest naprawdę podlega operacji, ponieważ Skanery wrażliwości często dają fałszywe odpowiedzi.
Jedną z najpopularniejszych luk na rynku jest skaner podatności w Nessus. Stało się rodzajem standardu dla skanerów w zabezpieczeniach. Początkowo zaczął jako projekt otwarte źródło. Następnie został nabyty przez tendencję, a teraz jest to produkt komercyjny (wersja profesjonalna). Mimo to, Nessus Scanner nadal ma wersję "domową", która jest rozprowadzana bezpłatnie, ale ma limit na 16 adresach IP. Jest to ta wersja, którą rozważymy w tej instrukcji użytkowania.
Będąc "hakerem", po skanowaniu pełna lista Luki, dla których trzeba tylko znaleźć exploity. Niestety, skanery wrażliwości są bardzo "hałaśliwe" i czujni administratorzy mogą wykryć swoją pracę. Niemniej jednak nie wszystkie organizacje mają takich administratorów.
Nie zapomnij o ważnych punktach dotyczących skanerów w zabezpieczeniach. Nie mogą wykryć 0 dniowych luk. Podobnie jak produkty oprogramowania antywirusowego, ich bazy danych powinny być aktualizowane codziennie, aby być skutecznym.
Wszelkie szante penterytorskie musi znać skaner Nessus. Wiele dość dużych organizacji na całym świecie wykorzystuje go w kompleksie. bezpieczeństwo informacji.
Ostatnio nawet rząd USA zaczął go używać do skanowania luk. Prawie każde biuro federalne i amerykańska baza wojskowa na całym świecie stosuje Nessusa.
Spójrzmy na to, co jest ten program w pracy!
Krok 1. Pobierz skaner Nessus za darmo
Znajdź darmową wersję domową Nessus Home na stole, nie jest łatwe. Dlatego przygotowaliśmy dla Ciebie bezpośrednią link.
Rejestracja wymaga darmowej wersji, więc musisz określić swój adres e-mail, aby uzyskać kod aktywacyjny.
Krok 2. Uruchom Nessus
Po zakończeniu instalacji domyślna przeglądarka zostanie otwarta z komunikatem, jak pokazano poniżej. Nessus jest zbudowany na architekturze klient-serwer. Zainstalowałeś serwer na Localhost, a przeglądarka działa jako klient.
Najprawdopodobniej otrzymasz wiadomość, w której mówisz: "Twoje połączenie nie jest bezpieczne". Kliknij "Zaawansowany".
Następnie dodaj wyjątki, aby podłączyć Nessus do 8834 portu.
Krok 3. Konfigurowanie domu Nessus
Prawie wszystko jest gotowe do wyszukiwania luk!
Musisz utworzyć konto. To jej, że będzie musiała zostać wskazana, aby wejść do Nessusa.
Po wprowadzeniu loginu i hasła należy aktywować produkt. Znajdujemy list z kodem aktywacyjnym w swojej poczcie i wprowadź go w odpowiednim polu na stronie Nessus.
Kiedy się skończy, Nessus rozpocznie pobieranie wszystkich aktualizacji aktualizacji i wtyczek potrzebnych do wyszukiwania luk w sieci. Proces może zająć trochę czasu.
Krok 4. Uruchamianie luki skanowania
Gdy Nessus jest zakończona aktualizacją, otrzymasz ten ekran, jak pokazano poniżej. Kliknij "Nowe skanowanie".
Spowoduje to otwarcie nowej strony, na której można wybrać typ skanowania. Zwróć uwagę, zawsze istnieje najważniejsze modele zagrożeń.
Kliknij "Podstawowe skanowanie sieciowe".
Otwiera się strona, podobnie jak poniższa, którą zostaniesz poproszony o określenie nazwy skanowania (można określić dowolne dla Ciebie, na przykład, pierwsze skanowanie). Musisz także określić węzły, które skanujemy. Możesz określić cały podsieć adresów IP 192.168.1.0/24. Kliknij "Zapisz".
Teraz kliknij przycisk "Uruchom", aby rozpocząć skanowanie luk.
Krok 5. Wyświetl wyniki skanowania
Zgodnie z wynikami skanowania otrzymujemy listę z adresami IP i pokrewnymi zagrożeniami. Ryzyko mają kodowanie kolorów.
Kliknij "Luki" w górnym menu, aby wyświetlić wszystkie luki wykryte w sieci.
Jeśli klikniesz konkretną lukę, dostaniemy więcej dokładna informacja. Poniżej znajduje się przykład luki "Codemeter".
Ważne jest, aby pamiętać, że oprócz opisu luki, raport ma również sposób na poprawienie i zamykanie (sekcja rozwiązania).
Wniosek
Skaner w zabezpieczeniach podatności Nessus z ekspozycji nawet w bezpłatnej wersji domowej jest dość łatwe w użyciu, ale jednocześnie potężny skaner w zabezpieczeniach. Jego główną zaletą jest to, że w nim zawsze możesz znaleźć obecne modele zagrożeń, możliwość działania, które szybko i jakościowo sprawdzaj sieć.
Pamiętaj, że sukces wysokiej jakości bezpieczeństwa informacji jest regularnym audytem!
Ale nie zapominaj, że skanowanie sieci innych ludzi może mieć konsekwencje w formie problemów z prawem!
Wprowadziłem szczegółowo z różnymi rodzajami luk, ale teraz nadszedł czas, aby zapoznać się ze skanerami tych luk.
Skanery podatności to oprogramowanie lub sprzęt służący do diagnozowania i monitorowania komputery sieciowe.Umożliwienie skanowania sieci, komputerów i aplikacji do wykrywania możliwe problemy W systemie bezpieczeństwa oceniają i rozwiązywanie problemów z luki.
Skanery wrażliwości pozwalają sprawdzić różne aplikacje W systemie na obecność "otworów", których atakujący mogą skorzystać. Można również stosować środki o niskim poziomie, takie jak skanery portu, do identyfikacji i analizowania możliwych zastosowań i protokołów działających w systemie.
W ten sposób skanery mają na celu rozwiązanie następujących zadań:
- identyfikacja i analiza luk;
- inwentaryzacja zasobów, takich jak system operacyjny, oprogramowanie i urządzenie sieciowe;
- tworzenie raportów zawierających opis luk i opcji eliminacji.
Jak to działa?
Skanery wrażliwości z ich pracą używają dwóch głównych mechanizmów.
Pierwszy - Dźwięki nie jest zbyt szybkie, ale dokładne. Jest to aktywny mechanizm analizy, który wprowadza ataki imitacji, sprawdzając w ten sposób luki. Podczas sondy metody wdrażania ataków, które pomagają potwierdzić obecność luki i wykrywania wcześniej nie zidentyfikowanych "awarii".
druga Mechanizm - Skanowanie - szybciej, ale daje mniej dokładnych wyników. Jest to bierna analiza, w której skaner poszukuje luki bez potwierdzenia jego obecności za pomocą znaków pośrednich. Wyznaczono skanowanie otwarte porty i zebrane pokrewne nagłówki. Są one dodatkowo w porównaniu z tabelą zasad definiowania urządzeń sieciowych, systemu operacyjnego i możliwych "otworów". Po porównaniu zgłasza skaner bezpieczeństwa w zakresie obecności lub braku luki.
Większość nowoczesnych skanerów bezpieczeństwa sieci działa na zasadach:
- zbiór informacji o sieci, identyfikacja wszystkich aktywnych urządzeń i usług działających na nich;
- wykrywanie potencjalnych luk;
- potwierdzenie wybranych luk, dla których stosowane są określone metody, a ataki są symulowane;
- raportowanie;
- automatyczna eliminacja luk. Ten etap nie zawsze jest wdrażany w skanerach bezpieczeństwa sieci, ale często występuje w skanerach systemowych.
Najlepsze skanery luk
Teraz przeanalizujmy najbardziej odpowiednie oceny ekspertów ze skanerami.
Nessus.
Projekt został uruchomiony w 1998 r., W 2003 r. Deweloper w zakresie zabezpieczeń sieciowej w zakresie bezpieczeństwa sieciowej dokonała komercyjnej skanera bezpieczeństwa sieci. Regularnie zaktualizowana baza luki, prostota w instalacji i użytkowaniu, wysokim poziomem dokładności jest jego zalety nad konkurentami. Kluczową cechą jest użycie wtyczek. Oznacza to, że każdy test penetracji nie jest zaszywany wewnątrz programu, ale jest sporządzony w postaci wtyczki wtykowej. Dodatki są dystrybuowane na 42 różnych typów: Aby przeprowadzić Pensture, możesz aktywować zarówno oddzielne wtyczki, jak i wszystkie zdefiniowane wtyczki - na przykład, aby wykonać wszystkie lokalne kontrole w systemie Ubuntu. Ciekawym punktem - użytkownicy będą mogli napisać własne testy za pomocą specjalnego języka skryptowego.
Nessus jest doskonałym skanowaniem luki. Ale ma dwie wady. Pierwszy - gdy opcja "Bezpieczne kontrole" jest wyłączona, niektóre testy luk mogą prowadzić do zaburzeń w działaniu zeskanowanych systemów. Druga jest ceną. Coroczna licencja może kosztować 114 tysięcy rubli.
Kontrola bezpieczeństwa Symantec.
Skaner bezpłatny producenta o tej samej nazwie. Głównymi funkcjami są wykrywanie wirusów i trojanów, robaków internetowych, złośliwe programy, szukaj luki lokalna sieć. Jest to produkt online składający się z dwóch części: Skanowanie bezpieczeństwa.który sprawdza system bezpieczeństwa i Wykrywanie wirusów.Wykonywanie kompletnego sprawdzania komputera dla wirusów. Jest instalowany szybko i łatwo, działa przez przeglądarkę. Według najnowszych opinii, ten skaner sieciowy jest lepszy do użycia do dodatkowego czeku.
Xspider.
Program XSPIDER, który zgodnie z aplikacją dewelopera może zidentyfikować jedną trzecią podatności jutra. Kluczową cechą tego skanera jest możliwość wykrycia maksymalny numer "Dips" w sieci, nawet zanim zobaczą hakerzy. W takim przypadku skaner działa zdalnie bez konieczności dodatkowego oprogramowania. Pracując, skaner wysyła pełny raport i wskazówki dotyczące eliminacji "otworów". Koszt licencji dla tego skanera rozpoczyna się od 11 tysięcy rubli dla czterech gospodarzy rocznie.
Qualysguard.
Wielofunkcyjny skaner luk. Zapewnia obszerne raporty, które obejmują:
- ocena poziomu krytyczności luk;
- oszacowanie czasu wymaganego do ich wyeliminowania;
- sprawdzanie stopnia ich wpływu na działalność;
- analiza trendów bezpieczeństwa.
Platforma Cloud Qualysguard i wbudowany zestaw aplikacji pozwalają przedsiębiorstwom uprościć proces bezpieczeństwa i zmniejszyć koszty zgodności z różnymi wymaganiami, podczas gdy dawanie ważna informacja O bezpieczeństwie i automatyzując całe spektrum zadań audytu, złożonej kontroli i ochrony systemów IT i aplikacji internetowych. Korzystając z tego oprogramowania, możesz skanować strony internetowe korporacyjne i otrzymywać automatyczne alert i raporty dotyczące terminowego wykrywania i eliminacji zagrożeń.
Rapid 7 Nexpose.
Rapid 7 jest jedną z najszybciej rozwijających się firm specjalizujących się w bezpieczeństwie informacyjnym na świecie. To była niedawno nabyła rama metasploit projektu i była jej ręka, że \u200b\u200bprojekt Nexpose Project. Koszt "logowania" do użycia wersja handlowa Stanowi bez małego 3000 dolarów, ale dla entuzjastów istnieje wersja społeczna o lekko przyciętych możliwościach. Ta darmowa wersja jest łatwo zintegrowana z metasploitem. Schemat pracy jest dość trudny: Nexposeppose Starts, a następnie Konsola MetasPloit (MSFConsole), po czym można uruchomić proces skanowania i dostosować go z kilkoma poleceniami (Nexpose_Connect, Nexpospea_scan, Nexpose_Discover, Nexpospe_dos i innych). Możesz połączyć funkcjonalność Nexpospe i innych modułów metasploitów.
Skanowanie x.
Zewnętrznie, X-Scan jest bardziej przypomniany przez samodzielne samodzielnie wykonane jako kogoś dla własnych potrzeb i pchnął do publicznej wiadomości na bezpłatnym pływaniu. Może nie otrzymać takiej popularności, jeśli nie obsługuje skryptów Nessus, które są aktywowane przy użyciu modułu skryptowego Nessusa-atak. Z drugiej strony jest wart raportu skanowania, a wszystkie wątpliwości co do przydatności skanera zostaną odeszły do \u200b\u200btła. Nie zostanie wydany zgodnie z jednym z oficjalnych standardów IB, ale na pewno opowiem wiele o sieci.
Problem Epidemia. worms Sieci. istotne dla każdej sieci lokalnej. Prędzej lub później sytuacja może wystąpić, gdy robak sieć lub robak pocztowy przenika w sieci LAN, która nie jest wykrywana przez zastosowany antywirusowy. Wirus sieciowy stosuje się do LAN przez nie zamknięte w momencie zakażenia podatności systemu operacyjnego lub dostępnych dostępnych zasobów udostępnionych. Wirus pocztowy, w następujący sposób z nazwiska, dotyczy e-maila, pod warunkiem, że nie jest zablokowany przez klienta antywirusowego i antywirusowego serwer poczty elektronicznej. Ponadto epidemia w sieci LAN może być zorganizowana od wewnątrz w wyniku Insider. W tym artykule rozważymy praktyczne metody analizy operacyjnej komputerów LAN przy użyciu różnych funduszy, w szczególności przy pomocy użyteczności autora AVZ.
Sformułowanie problemu
W przypadku wykrywania epidemii lub niektórych aktywności w sieci w sieci administrator musi szybko rozwiązać minimum trzy zadania:
- wykryj zainfekowane komputery w sieci;
- znajdź próbki złośliwego programu, aby wysłać do laboratorium antywirusowego i opracować strategię przeciwdziałania;
- podejmij środki, aby zablokować rozprzestrzenianie wirusa w sieci LAN i jego zniszczenie na zainfekowanych komputerach.
W przypadku działalności Insider główne etapy analizy są identyczne i najczęściej zredukowane do konieczności wykrycia ustalonego ogólnego oprogramowania zagranicznego na komputerach LAN. Jako przykład to oprogramowanie można nazwać narzędziami administracja zdalna, szpiedzia na klawiaturze. I różne zakładki Trojanów.
Rozważ roztwór każdego zestawu zadań.
Wyszukaj zainfekowane komputery
Aby wyszukać zainfekowane komputery w sieci, możesz użyć co najmniej trzech technik:
- automatyczna analiza zdalna komputera - odbieranie informacji o uruchomionych procesach, pobranych bibliotek i sterowników, wyszukaj cechy - na przykład procesy lub pliki z określonymi nazwami;
- badania ruchu PC za pomocą Sniffera - ta metoda Jest jednak bardzo skuteczny dla połowów spambotów, robaków pocztowych i sieciowych, jednak główną złożonością stosowania sniffera jest związane z faktem, że nowoczesna LAN opiera się na bazie danych przełączników, a w wyniku czego administrator nie może Monitoruj cały ruch sieciowy. Problem jest rozwiązany na dwa sposoby: uruchomienie sniffera na routerze (co pozwala na monitorowanie wymiany danych danych PC z Internetem), a użycie funkcji monitorowania przełączników (wiele nowoczesnych przełączników umożliwiają przypisanie portu monitorującego do którego ruchu jednego lub więcej portów przełączników określonych przez duplikaty administratora;
- Ładowanie sieci - w tym przypadku bardzo wygodne jest użycie inteligentnych przełączników, które pozwalają nie tylko do oceny obciążenia, ale także zdalnie wyłączyć porty określone przez administratora. Ta operacja jest znacznie uproszczona, jeśli administrator karty sieciowej ma dane, na których komputery są podłączone do odpowiednich portów przełączników i gdzie znajdują się;
- zastosowanie pułapek (Honeypot) - w sieci lokalnej jest wysoce zalecane, aby utworzyć kilka pułapek, które pozwoli administratorowi wykryć epidemię w odpowiednim czasie.
Automatyczna analiza komputera w sieci
Automatyczna analiza PC może być zredukowana do trzech głównych etapów:
- prowadzenie pełnego badania PC - uruchomione procesy, pobrane biblioteki i sterowniki, autoroun;
- prowadzenie badania operacyjnego - na przykład wyszukiwanie charakterystycznych procesów lub plików;
- obiekty kwarantanny zgodnie z określonymi kryteriami.
Wszystkie wymienione zadania można rozwiązać przy użyciu narzędzia AVZ autora, który jest przeznaczony do uruchomienia z folderu sieciowego na serwerze i obsługuje język skryptowy do automatycznego badania PC. Aby uruchomić AVZ na komputerach użytkowników potrzebujesz:
- Umieść Avz w Open, aby przeczytać folder sieciowy na serwerze.
- Utwórz podkatalogi dziennika i Qurantine w tym folderze i umożliwiają użytkownikom nagranie w nich.
- Uruchom AVZ na komputerach LAN za pomocą narzędzia Rexec lub skryptu logowania.
Uruchomienie AVZ w kroku 3 powinno być wykonane z takimi parametrami:
\\\\ My_Server Avz.exe Priority \u003d -1 nw \u003d y nq \u003d y Hiddenmode \u003d 2 Script \u003d My_server Avz \\ My_script.txt
W tym przypadku priorytet \u003d -1 parametr obniża priorytet proces AVZ., NW \u003d Y i NQ \u003d Y Parametry Przełącz tryb kwarantanny do trybu "Start sieciowy" (w tym przypadku, podkatalog jest tworzony w folderze kwarantanny dla każdego komputera, która zbiega się z nazwą sieci PC), Hiddenmode \u003d 2 Przepisuje zakaz użytkownika dostępu do GUI i zarządzania AVZ, a wreszcie, najważniejszym skryptem parametrów ustawia pełną nazwę skryptu z poleceniami, które AVZ uruchomi się na komputerze użytkownika. Język skryptowy AVZ jest dość prosty do użycia i koncentruje się wyłącznie na rozwiązywaniu zadań badania komputerowego i jego leczenia. Aby uprościć proces pisania skryptu, można użyć specjalistycznego edytora skryptów, który zawiera końcówkę operacyjną, kreatora tworzenia typowych skryptów i weryfikacji środków pisemnego skryptu napisanego bez jej uruchomienia (rys. 1).
Figa. 1. Edytor skryptu AVZ
Rozważ trzy typowe skrypty, które mogą być przydatne podczas walki z epidemią. Po pierwsze, będziemy potrzebować skryptu na studium PC. Zadaniem skryptu jest studiowanie systemu i utworzenie protokołu z wynikami w danym folder sieciowy.. Skrypt ma następujący formularz:
AktywowanyWatchdog (60 * 10);
// Rozpocznij skanowanie i analizę
// Studium System.
ExecutsysCheck (Getavezdirectory +
"Log" + GetComputerName + '_ Log.htm');
// Ukończenie AVZ
Podczas wykonywania tego skryptu w folderze dziennika (zakłada się, że jest tworzony w katalogu AVZ na serwerze i jest dostępny dla użytkowników AVZ) zostanie utworzony przez pliki HTML z wynikami badań komputerowych i zapewnienia Wyjątkowość w nazwie protokołu, nazwa komputera w ramach badania jest aktywowana. Na początku skryptu znajduje się polecenie, aby włączyć timer strażnika, który zmusi PCCC AVZ za 10 minut, jeśli skrypt wystąpi podczas wykonywania skryptu.
Protokół AVZ jest wygodny do studiowania ręcznie, jednak jest niewielka do analizy zautomatyzowanej. Ponadto administrator jest często znany nazwa złośliwego pliku programu i sprawdzić tylko na obecność lub nieobecność ten plik, jeśli masz - umieścić w kwarantannie do analizy. W takim przypadku możesz zastosować skrypt dla następującego typu:
// Włączenie timera Watchdog przez 10 minut
AktywowanyWatchdog (60 * 10);
// Szukaj złośliwego programu
Kwarantannifil ("% WIRTIR% SMSS.EXE", "podejrzenie ldpinch.gen");
QuarantENEFILE ('% windir% csrss.exe "," podejrzenie ldpinch.gen ");
// Ukończenie AVZ
Ten skrypt jest aktywowany przez funkcję kwarantanny -ila, która podejmuje próbę kwarantanny tych plików. Administrator pozostaje tylko w celu przeanalizowania zawartości kwarantanny (folder kwarantanny Network_Word Data_Caraczina) do obecności plików umieszczonych w kwarantannie. Należy zauważyć, że funkcja kwarantannyFil automatycznie blokuje pokój w plikach kwarantanny zidentyfikowanym przez Bezpieczne bazy danych AVZ lub na podstawie Microsoft EDS. Dla praktyczne zastosowanie Ten skrypt można poprawić - zorganizować pobieranie nazw plików z zewnętrznego pliku tekstowego, sprawdź znalezione pliki z baz AVZ i utworzyć protokół tekstowy z wynikami pracy:
// Szukaj plików z określoną nazwą
funkcja CheckByName (Fname: String): Boolean;
Wynik: \u003d Fileexists (Fname);
jeśli wynik się zacznij
case CheckFile (Fname)
1: S: \u003d ', dostęp do pliku jest zablokowany ";
1: s: \u003d ', zidentyfikowany jako złośliwe oprogramowanie ("+ getlastChecktxt +")';
2: s: \u003d ', podejrzewany przez skaner pliku ("+ GetlastChecktxt +")';
3: Wyjdź; // Bezpieczne pliki ignorują
Addtolog ("Plik" + NormalFileName (Fname) + "ma podejrzaną nazwę" + S);
// dodatek określony plik. w kwarantannie
Kwarantannyfil (Fname, "podejrzany plik" + s);
Surfnames: Tstringlist; // Lista podejrzanych nazw plików
// Sprawdź pliki na zaktualizowanej bazie danych
jeśli fileexists (getavezdirectory + 'files.db'), a następnie zacznij
Survnames: \u003d Tstringlist.Create;
Supname.loadfromfile ("pliki.db");
Addtolog ('Nazwa baza do pobrania - liczba rekordów \u003d' + Inttostr (Supnames.count));
// cykl wyszukiwania
dla I: \u003d 0 do suspnames.count - 1 do
CheckByName (Survnames [I]);
AddTolog ("'Błąd pobierania listy nazw plików");
Savelog (getvzdirectory + "log
GetComputerName + '_ files.txt');
Aby pracować ten skrypt, musisz utworzyć w folderze AVZ dostępny dla użytkowników do nagrywania katalogów kwarantanny i dziennika, a także plik tekstowy Files.db - Każda linia tego pliku będzie zawierać nazwę podejrzanego pliku. Nazwy plików mogą obejmować makra, którego najbardziej przydatne jest% wiatru% (ścieżka do folderu Windows) i% Systemroot% (ścieżka do folderu System32). Innym kierunkiem analizy może być automatyczne badanie listy procesów działających na komputerach użytkowników. Informacje na temat procesów działających są w protokole systemowej, ale do analizy automatycznej wygodniej jest stosować następujący fragment skryptu:
procedura ScanProcess;
S: \u003d ''; S1: \u003d '';
// Zaktualizuj listę procesów
OświeżskaLista;
Addtolog ("Liczba procesów \u003d" +ttostr (GetProcessCount));
// Otrzymany cykl analizy listy
dla I: \u003d 0 do GetProcesScount - 1 rozpocznij
S1: \u003d S1 + ',' + ExtractName (I);
// Wyszukiwanie procesu według nazwy
jeśli POS ("Trojan.exe", małe litery (GetProcessName (I)))\u003e 0 Następnie
S: \u003d S + GetProcessName (I) + ', ";
iF S.<> '' Następnie.
AddlinetTXTFILE (GEGAVZDIRECTORY + 'Log _alarm.txt', Dateetimetostostr (teraz) + '' + GetComputerName + ':' + S);
AddlinetTXTFile (Getavzdirectory + 'Log _all_Process.txt', DateTimetosttr (teraz) + '' + GetComputerName + ':' + S1);
Badanie procesów w tym skrypcie jest wykonane w formie oddzielnej procedury skanowania, więc łatwo jest umieścić w swoim własnym skrypcie. Procedura ScanProcess tworzy dwie listy procesów: pełna lista procesów (do późniejszej analizy) oraz listę procesów, które z punktu widzenia administratora są uważane za niebezpieczne. W tym przypadku proces o nazwie "Trojan.exe" jest uważany za niebezpieczną. Informacje o procesach niebezpiecznych są dodawane do pliku tekstowego _alarm.txt, dane o wszystkich procesach dotyczy pliku _all_process.txt. Łatwo jest zauważyć, że można komplikować skrypt, dodając do niego, na przykład, sprawdzając procesy na podstawie bazy danych bezpiecznych plików lub sprawdzić nazwy plików wykonywalnych procesów na podstawie zewnętrznej. Procedura ta jest stosowana w skryptach AVZ stosowanych w Smolenkenergo: Administrator okresowo bada zebrane informacje i modyfikuje skrypt, dodając procesy procesów zabronionych przez politykę bezpieczeństwa programu, takie jak ICQ i Mailru.agent, co pozwala szybko sprawdzić Obecność zabronionego oprogramowania na badanym komputerze. Innym zastosowaniem listy procesów jest wyszukiwanie komputera, które nie ma obowiązkowego procesu, na przykład, antywirusowy.
Podsumowując, rozważ ostatnią z przydatnych skryptów analitycznych - skrypt automatycznej kwarantanny wszystkich plików, które nie są ujmowane na podstawie bezpiecznego AVZ i na podstawie Microsoft EDS:
// Wykonywanie autocarentine.
Executeautoquarantine;
Automatyczna kwarantanna jest badana przez uruchomione procesy i pobrane biblioteki, usługi i sterowniki, około 45 sposobów autorun, modułów rozszerzeń przeglądarki i dyrygenta, narzędzi SPI / LSP, zaplanować zadania, obsługi systemu drukowania i tym podobne. Specyfika kwarantanny jest to, że pliki są dodawane do regulacji powtarzania, więc funkcja autokartowa można nazwać wielokrotnie.
Zaletą automatycznej kwarantanny jest to, że przy pomocy, administrator może niezwłocznie zebrać potencjalnie podejrzane pliki ze wszystkich komputerów sieciowych do ich badania. Najprostszym (ale bardzo skutecznym w praktyce) Forma studiowania plików może być testem wynikowej kwarantanny przez kilka popularnych antywirusów w trybie maksymalnym heurystyki. Należy zauważyć, że jednoczesne uruchomienie autokartine na kilkuset komputerach może utworzyć duże obciążenie sieci i na serwerze plików.
Studium ruchu
Badanie ruchu można przeprowadzić na trzy sposoby:
- ręcznie z pomocą sznifferów;
- w trybie półautomatycznym - w tym przypadku Sniffer gromadzi informacje, a następnie jego protokoły są przetwarzane ręcznie lub niektórym oprogramowaniem;
- automatycznie używając systemów wykrywania włamań (IDS) Typ Snort (http://www.snort.org/) lub ich oprogramowanie lub sprzętowe analogi. W najprostszym przypadku IDS składa się z sniffera i systemu analizującego informacje zebrane przez Snuffera.
System wykrywania włamań jest optymalnym środkiem, ponieważ umożliwia tworzenie zestawów reguł w celu wykrycia anomalii w aktywności sieciowej. Druga zaleta jest następująca: Większość nowoczesnych identyfikatorów umożliwia umieszczenie środków monitorujących ruchu na kilku węzłach sieci - agentów zbierają informacje i przekazują go. W przypadku korzystania z Sniffera jest bardzo wygodne użycie konsoli UNIX-SIFFER TCPDUMP. Na przykład, aby monitorować aktywność przez port 25 (protokół SMTP), wystarczy uruchomić sniffer wiersz poleceń Wyświetlenia:
tCPDump -i Em0 -l TCP Port 25\u003e Smtp_log.txt
W tym przypadku pakiety są przechwytywane przez interfejs EM0; Informacje o przechwyconych pakietach zostaną zapisane w pliku smtp_log.txt. Protokół jest stosunkowo prosty do przeanalizowania ręcznie, w ten przykład Analiza aktywności w porcie 25 umożliwia obliczenie komputera z aktywnymi botami spamowymi.
Aplikacja HoneyPot.
Jako pułapka (Honeypot), można użyć przestarzałego komputera, którego wydajność nie pozwala jej użyć do rozwiązywania zadań produkcyjnych. Na przykład w sieci autora Pentium Pro C 64 MB pamięci RAM jest z powodzeniem stosowany jako pułapka. Na tym komputerze należy zainstalować najczęstszy system operacyjny w sieci LAN i wybierz jedną ze strategii:
- Zainstaluj system operacyjny bez pakietów aktualizacji - będzie wskaźnikiem wyglądu aktywnego robaka sieciowego w sieci obsługującej dowolną ze znanych luk dla tego systemu operacyjnego;
- zainstaluj system operacyjny z aktualizacjami zainstalowanymi w innej sieci PC - HoneyyPot będzie analogiczny do dowolnej stacji roboczych.
Każda ze strategii ma zarówno swoje zalety, jak i wady; Autor zasadniczo stosuje opcję bez aktualizacji. Po utworzeniu HoneyyPot należy utworzyć obraz dysku, aby szybko przywrócić system po uszkodzeniu szkodliwych programów. Alternatywnie, obraz dysku można użyć do zwijania zmian cieniacherów i jego analogów. Buing Honeypot, należy zauważyć, że wiele robaków sieci poszukuje zainfekowanych komputerów, skanując zakres IP, liczony z adresu IP zainfekowanego komputera (wspólne typowe strategie - XXX *, XXX + 1. *, XXX-1 *) - W konsekwencji, idealnie, HoneyyPot powinien znajdować się w każdej podsieci. Jako dodatkowe elementy przygotowawcze konieczne jest otwarcie dostępu do kilku folderów w systemie HoneyyPot, a kilka przykładowych plików należy umieścić w tych folderach. różny format., Minimalny zestaw - EXE, JPG, MP3.
Oczywiście, tworząc honeypot, administrator musi śledzić jego pracę i reagować na wszelkie anomalie odkryte ten komputer. Jako sposób rejestracji zmian, audytorzy można zastosować, sniffer może być używany do rejestracji aktywności sieciowej. Ważny punkt Jest to, że większość sznifferów ma możliwość skonfigurowania wysyłania powiadomienia administratora w przypadku wykrywania danej aktywności sieciowej. Na przykład, w Comvview Sliffer reguła oznacza instrukcje "Formuła", które opisują pakiet sieciowy lub zadanie kryteriów ilościowych (wysyłanie bardziej określonej liczby pakietów lub bajtów na sekundę, wysyłając pakiety do niezidentyfikowanych adresów IP lub Mac ) - Figa. 2.
Figa. 2. Tworzenie i konfigurowanie ostrzeżenia o aktywności sieciowej
Jako ostrzeżenie, wygodniejsze jest korzystanie z wiadomości e-mail wysłanych do skrzynki pocztowej administratora - w tym przypadku można uzyskać alerty operacyjne ze wszystkich pułapek w sieci. Ponadto, jeśli Sniffer umożliwia tworzenie kilku ostrzeżeń, ma sens do rozróżnienia aktywność sieciowa, O podświetlaniu pracy z e-mailem, FTP / HTTP, TFTP, Telnet, MS Net, zwiększonym ruchem więcej niż 20-30 pakietów na sekundę na dowolnym protokole (rys. 3).
Figa. 3. Wysłane powiadomienie
W przypadku wykrycia pakietów odpowiadających określonemu kryteriom
Podczas organizowania pułapki nie jest złe, aby umieścić kilka wrażliwych usług sieciowych w sieci lub ustalić swój emulator. Najprostsza (i bezpłatna) jest autorstwo narzędzia APS, które nie jest zainstalowane. Zasada APS jest zmniejszona do słuchania zestawu portów TCP i UDP opisanych w bazy danych i wydawania z góry określonej lub losowo generowanej odpowiedzi (rys. 4) w momencie połączenia.
Figa. 4. główne media okienne APS
Rysunek pokazuje screenshot strzał podczas rzeczywistej odpowiedzi APS w LAN "Smolenkenergo". Jak widać na rysunku, należy zarejestrować próbę podłączenia jednego z komputerów klienckich według portu 21. Analiza protokołów wykazała, że \u200b\u200bpróby są okresowe, ustalone przez kilka pułapek w sieci, co umożliwia stwierdzenie a Skanowanie sieciowe do wyszukiwania i włamania serwerów FTP, wybierając hasła. APS prowadzi protokoły i może wysyłać administratorów wiadomości z raportami na zarejestrowanych połączeniach z kontrolowanymi portami, które są wygodne dla wykrywania skanowania sieci operacyjnej.
Podczas tworzenia Honeypot jest również przydatne do przeczytania zasobów online na tym temacie, w szczególności z witryną http://www.honeynet.org/. W sekcji Narzędzia tej strony (http://www.honeynet.org/tools/index.html) można znaleźć wiele narzędzi do rejestracji i analizowania ataków.
Zdalne usunięcie złośliwych programów
Idealnie, po wykryciu próbek złośliwego oprogramowania administrator wysyła je do laboratorium antywirusowego, gdzie są one niezwłocznie badane przez analityków, a odpowiednie podpisy są stosowane do podstawy antywirusowej. Podpisy te poprzez automatyczne aktualizacje spadają na komputerach użytkowników, a antywirus sprawia, że \u200b\u200bautomatyczne usuwanie złośliwych programów bez interwencji administratora. Jednak ten łańcuch nie zawsze działa, ponieważ powinno być w szczególności, możliwe są następujące przyczyny awarii:
- dla wielu osób niezależnych od administratora, przyczyny obrazu mogą nie osiągnąć laboratorium antywirusowego;
- niewystarczająca wydajność laboratorium antywirusowego - idealnie do badania próbek i ich wprowadzenie do podstawy idzie nie więcej niż 1-2 godziny, czyli w dniu roboczym można uzyskać zaktualizowane bazy danych podpisu. Jednak nie wszystkie laboratoria antywirusowe działają tak szybko, a aktualizacje można czekać na kilka dni (w rzadkich przypadkach - nawet tygodni);
- wysoka wydajność antywirusu - liczba szkodliwych programów po aktywacji zniszczyć antywirusy lub naruszają swoją pracę w każdy możliwy sposób. Klasyczne przykłady - Wprowadzenie do plik hostów. Rekordy blokujące normalne działanie systemu Anti-Virus Auto-Update, usuwanie procesów, usług i sterowników antywirusowych, uszkodzenia ich ustawień itp.
W związku z tym w wymienionych sytuacjach będą musiały ręcznie walczyć o złośliwe programy. W większości przypadków jest łatwy, ponieważ zanieczyszczone komputery są znane z wyników badania komputerów, a także pełne nazwy plików złośliwym oprogramowania. Pozostaje tylko wytworzyć usuwanie odległości. Jeśli złośliwy program nie jest chroniony przed usunięciem, możliwe jest zniszczenie go z następującym skryptem AVZ:
// Usunąć plik.
Deletefile ("nazwa pliku");
Executessclean;
Ten skrypt usuwa jeden określony plik (lub kilka plików, ponieważ polecenia Deletefile w skrypcie mogą być nieograniczoną liczbą), a następnie automatycznie wyczyść rejestr. W bardziej zakwestionowanym przypadku szkodliwy program może być chroniony przed usunięciem (na przykład ponownie rozmazując jego plików i kluczy rejestru) lub przebrany przez technologię Rootkit. W takim przypadku skrypt jest skomplikowany i będzie miał następujący formularz:
// Anti-Sąd
Searchrotkit (true, true);
// Office Avzguard.
Setavzguardstatus (true);
// Usunąć plik.
Deletefile ("nazwa pliku");
// Włączanie rejestrowania bootleanera
Bc_logfile (getavezdirectory + 'boot_clr.log');
// Importuj do pracy Lista plików Pliki
Bc_importdelededlist;
// aktywacja bootcleaner.
// Heurystyczny system czyszczenia
Executessclean;
Rebootindows (true);
Ten skrypt obejmuje aktywnie kontraterowanie ROOTTAM, korzystanie z systemu Avzguard (jest to złośliwy blok aktywności programu) i system bootcleaner. BootCleaner to sterownik, który usuwa określone obiekty z kernelmode podczas ponownego uruchomienia, na wczesnym etapie ładowania systemu. Praktyka pokazuje, że podobny skrypt jest w stanie zniszczyć przytłaczającą większość istniejących szkodliwych programów. Wyjątkiem jest złośliwe oprogramowanie, zmieniając nazwy swoich plików wykonywalnych za pomocą każdego ponownego uruchomienia, - w tym przypadku, pliki wykryte podczas badania można zmienić. W tym przypadku komputer jest niezbędny do ręcznego lub tworzenia własnych podpisów złośliwego oprogramowania (przykład istniejącego skryptu wyszukiwania sygnału jest opisane w pomocy AVZ).
Wniosek
W tym artykule uważaliśmy pewne praktyczne metody zwalczania epidemii LAN ręcznie, bez użycia produktów antywirusowych. Większość opisanych technik może być również wykorzystana do wyszukiwania zagranicznych PC i Trojanów na komputerach użytkowników. Jeśli masz trudności ze znalezieniem złośliwego oprogramowania lub tworzenia skryptów leczenia, administrator może użyć sekcji "Pomoc" forum http://virusinfo.info lub sekcji "Walka ocieplenie" na forum http://forum.kaspersky.com /index.php?showforum\u003d osiemnaście. Badanie protokołów i pomocy oczyszczania przeprowadza się na obu forach za darmo, analiza PC jest prowadzona zgodnie z protokołami AVZ, aw większości przypadków leczenie jest ograniczone do komputera AVZ zainfekowanego skryptu, skompilowanego przez doświadczonych specjalistów danych forum.
