Одна история про безопасность
1999 год
В порядке мозгового штурма придумывается технология работы трояна на
пользовательском компе, благодаря которой происходит отсылка информации
наружу и управление трояном снаружи, однако при этом (в отличие от всяких
"открытых портов", контактов бота через IRC и т.п.) весь генерируемый
трояном трафик выглядит совершенно благопристойно, активность
не вызывает подозрений
- ни у пользователя,
- ни у максимально параноидального сисадмина
- ни у антивирусных программ.
Июнь 2011 года
Один мой хороший знакомый, который в 1999 получил информацию о возможной
технологии, пригласил меня "почитать логи прокси-сервера".
- Предъявив мне лог, он спросил, не вижу ли я в этом логе каких-либо
признаков работы того самого трояна, которого тогда описывал.
- Посмотрев лог, я сказал, что по поводу пары-тройки строк у меня есть
лёгкие подозрения, однако в целом всё совершенно благопристойно.
- Тогда человек с гордостью сказал - этот лог весь состоит только
из активности трояна, и он эту активность смог отфильтровать из полного
лога.
Подробности
- Начальные условия
- Имеется корпоративная сеть, в основном компы виндовые.
- Антивирус официальный, практически весь софт лицензионный.
- Unix Firewall с прозрачным прокси-сервером, через который весь трафик. Логи хранятся достаточно долго.
- Активность пользователей в соц сетях ограничена, хотя и не запрещена полностью.
- Снаружи сети можно зайти в корпоративный вебмейл, имея файл сертификата, логин и пароль.
- Фирма за два года несколько раз влетает в разные истории на деньги.
- Падает подозрение на некоторых сотрудников, сдающих информацию "налево".
- В логах корпоративной почты фиксируется заход на почту снаружи человеком,
местонахождение которого известно, и который снаружи не заходил на почту ранее.
Иными словами, некто воспользовался авторизационной информацией.
- Вспомнив про предлагавшуюся мной технологию, админ написал программу,
которая отфильтровала активность возможного трояна и убедился в том, что
на внутреннем компьютере того пользоввателя троян наличествует.
- Сравнив все файлы на незатрояненном и затрояненном компьютерах
(конфигурации системы очень похожи), админ выяснил, что отличия - в DLL
файлах Яндекс-бара. Иными словами, троян внедрён в систему в точности так же
как Яндекс-бар, выглядит в точности так же, и НИКАКИЕ куски его кода не
имеют существенных отличий от кода Яндекс-бара. "Яд, динамит, фомка...
Этого всего в доме и так достаточно" (С)емейка Адамс.
- Сравнительно очевидным отличием являлось также то, что при попытке
"обновить" такой Яндекс-бар соответствующие файлы скачивались,
но в системе не изменялись.
Выводы
Как показал опыт публикации в узком кругу, по приведённым выше данным
разумные люди способны восстановить технологию. Поэтому здесь я её подробное
описание
не публикую.
Sapienti Sat.
И немного в тему из новостей