none
Серьезный взлом. RRS feed

  • Вопрос

  • Столкнулись с весьма тревожной ситуацией.

    На протяжении трех месяцев три наших сервера подверглись взлому, причем как минимум в двух случаях взлом был успешным. Все три случая, хотя и растянуты по времени, но объединяют некоторые общие обстоятельства. Об этом ниже.

    Первая атака была зафиксирована на почтовый сервер. Он расположен вне корпоративной сети, на арендуемой техплощадке.
    Сервер - Windows Server 2000 SP4 (с последними обновлениями), в качестве почтовой программы – MDaemon 8 (также с последними обновлениями как его самого, так и встроенного антивируса). Кроме штатного ПО на сервере еще только несколько мелких утилит.
    В качестве защиты – ISA 2000, разрешен только доступ по RDP для администрирования и также доступ на почтовые порта 25 и 110.
    Атака представляла собой сначала скан портов привелегированого диапазона в течении примерно 15 минут, затем попытку атаки на уязвимые сервисы, причем атакующий явно неискушенная в вопросах взлома личность, использующая общедоступные утилиты – атака шла на множество портов, в т.ч. специфичные для UNIX-систем, а не только на открытые.
    Затем очевидно все же что-то удалось сделать, т.к. в системе по данным аудита появилось два .exe файла . Один из них dtsc.exe был сразу удален, а вот другой - WinVNC.exe (249856 байт), остался в системе и был зарегистрирован как сервис от Traida Corporation. В этот момент был получен e-mail с алертом об атаке с ISA и с этого момента собственно и узнали об вторжении.
    В процессе атаки доступ к телу сервера по RDP был затруднен, сервер сильно тормозил. Было принято решение обратиться в организацию, на техплощадке которой находился сервер с просьбой об немедленной аварийной перезагрузке сервера и предоставления полного доступа на него лишь с определенного IP. Данная крайняя мера возымела свое действие, работоспособность сервера была восстановлена, проведен анализ список файлов сверен с контрольным (кроме директорий очередей почтового сервера), лишние файлы (и упомянутый WinVNC.exe) удалены.
    В дальнейшем атак подобного рода на данный сервер более не предпринималось.


    Вторая атака была зафиксирована всего через неделю после предыдущей. Целью атаки был сервер доступа в инет одного из наших филиалов.
    Сервер – Windows Server 2003 SE SP2, защита – ISA 2004, SAV 10, все обновлено вплоть до последних апдейтов.
    В результате атаки сервер был полностью выведен из строя. Не запускались службы IPSec и службы ISA. В логах системы и ISA – множественные попытки скана и отклоненного входа, затем просто тишина...

    IPSec: Could not start the IPSec Services service on Local Computer. Error 10044. The support for the specified socket type does not exist in this address family.
    Events 4292, 7023

    Microsoft Firewall: Cold not start the Microsoft Firewall service on Local Computer. Error 1068. The dependency service or group failed to start.

    Стало ясно, что проблема в сервисе IPSec, из-за которого не может стартовать ISA.
    Отключение сервиса (как советует сам Event Log) и последующая перезагрузка также ничего не дали. Работать с сетью сервер мог только при загрузке из-под ERD Commander (!) (при загрузке в Safe-mode не работал). При попытке скажем пинга с него высвечивалось нечто вроде pinging 4a«значок пикового туза».
    Была предпринята попытка поиска в Knowledge Base и в инете. Попытки воспользоваться соотв. рекомендациями:
    http://support.microsoft.com/kb/870910
    http://support.microsoft.com/kb/811259/ru
    http://www.oszone.net/3645/

    не увенчалась успехом. Была предпринята попытка реанимации сервера путем Repair инсталляции – также безрезультатно.
    После трехчасовых безрезультатных попыток реанимации HDD был отформатирован и сервер переставлен с нуля.
    При разборе полетов в списке процессов и в папке system32 был найдет все тот же WinVNC.exe (249856 байт).


    Последняя, третья атака была предпринята позавчера снова на сервер доступа в инет другого нашего филиала.
    Сервер – Windows Server 2003 SE SP2, ISA 2004 SP3, Kerio Mail Server 6, NOD32. Все обновлено.

    Результат и последствия атаки – 100% совпадают с предыдущим случаем. Все тот же WinVNC.exe (249856 байт):
    http://www.google.com.ua/search?q=WinVNC.exe+249856&…;client=firefox-a
    http://www.file.net/process/winvnc.exe.html

    Работоспособность сервера восстановить не удалось, сервер был полностью переставлен.


    Сделанные выводы.
    1. В наличии критическая уязвимость, ОС подверженные ей – 2000 и 2003 серверы, возможно станции.
    2. Уязвимость доселе неизвестная широкому сообществу, возможно новая. Во всяком случае регулярно обновляемые серверные ОС ей пока подвержены.
    3. Уязвимость возможно в ядре ISA Server, правда вызывает подозрения тот факт, что 2004-ая ISA по сравнению с 2000-й значительно изменена.
    4. Правильно настроенная ISA НЕ ЯВЛЯЕТСЯ эффективной защитой. Во всех трех случаях после настройки межсетевого экрана проводился полный комплекс мероприятий по тестингу – от внешнего и внутреннего скана nmap на открытые порты, до тестирования программами как от MS так и например тем же X-Spider.
    5. Единый «почерк» атакущего не вызывает сомнений в том, что действовал все тот же один или более злоумышленников.


    Просим кого-нибудь из знающих ребят прокомментировать приведенный текст. Может кто уже сталкивался с подобным.

    Копии темы были также созданы на:
    Копии темы созданы также здесь в разделе ISA и на
    http://forum.ixbt.com/topic.cgi?id=7:30761#0


    17 июня 2007 г. 13:29

Все ответы

  • Я удалил копию темы в разделе ISA, т.к. в этом нет необходимости - ваше сообщение обязательно увидят.
    17 июня 2007 г. 16:55
    Модератор
  • 1. Было б весьма кошерно поделиться с нами кроме описания систем еще и логами (выдержками) и полными текстами алертов.

    2. Не особо понятно:

    - "множественные попытки отклоненного входа" можно конкретизировать (процитировать сообщения аудита)?

     -  RDP был открыт на всех атакованных серверах?

    - IDS как я понимаю не было (как соотв-но и ее логов)?

    18 июня 2007 г. 5:51
    Отвечающий
  • Если у Вас остался полный набор логов, а еще лучше имиджи поломанных систем, то я бы рекомендовал обратиться к ребятам из http://blogs.technet.com/isablog

    А раньше в техподдержку MS.

    Впрочем, я сомневаюсь, чтобы "явно неискушенная в вопросах взлома личность" смогла вхломать ISA. Возможно, что-то ускользнуло из рассмотрения. В любом случае разбор полетов нужно начинать с рассмотрения всевозможных логов.
    18 июня 2007 г. 5:52
  • А еще для начала своих допросить с пристрастием: может кто тренировался на "кошках" Наука говорит, что большинство взломов внутренние - совершают свои люди.
    20 июня 2007 г. 10:26
    Модератор
  • Прошу прощения за длительное отсутствие - было много работы.

    Более-менее полный ответ на некоторые вопросы:
    http://forum.ixbt.com/topic.cgi?id=7:30761-2
    27 июня 2007 г. 17:07
  •  

    >Просим кого-нибудь из знающих ребят прокомментировать приведенный текст. Может кто уже сталкивался с >подобным.

     

    Прокоментировать то можно, но как вам поможет это решить проблему?

    В ващей сети нашли уязвимости (в ОС или в ISA или ещё в каком либо другом ПО) и удачно их эксплуатируют. Даже если их и удастся обнаружить и МС займётся написанием патча, на это уйдёт время, а ваща сеть будет всё ещё не защищена. Если вы хотите в кратчайшие сроки предотвратить дальнейшие возможные атаки, то советую воспользоваться услагами соотвествующих людей, если таковых нет в вашей организации. Они проведут комплексный аудит сети и безусловно дадут свои рекомендации. Это и будет решением проблемы.

    12 октября 2007 г. 7:58
  • Я тоже считаю, что внутренний аудит имеет место (уволенные и недовольные сотрудники).

     

     Кроме того, тот же RDP (или любой другой административный инструмент ) можно настроить только для определенного диаозона IP или же вообще только с подключение через VPN.

     

     Так же важно как был этот сервер настроен, ведь неясно кому и что было разрешено, "дыра" то могла получиться по недочету персонала компании.

     

     Кроме того, уязвимость могла быть у продуктов сторонних производителей, например: в почтовых серверах, а у вас SMTP фильтры на ISA настроенны небыли.

     

    ... тут много недочетов в настройках бывает...

    12 октября 2007 г. 10:55
  •  

    Судя по предыдущим постам автора темы, он очень даже в курсе настроек ISA сервера. Так что здесь не случай "дыра в заборе". Тут скорее случай "забор в дыре"
    15 октября 2007 г. 12:13
    Модератор
  • Я и не спорю, и в человеке не сомневаюсь, просто http://forum.ixbt.com/topic.cgi?id=7:30761-2 тема то живет...

    15 октября 2007 г. 14:17
  • Ну ты дал маху серьезный взлом:
    1) Ты уверен ,что WINvnc.exe троян ?, а не клиент/сервер VNC (возможно ставишь на сервер idealAdmin)
    2) Попытки взлома зафиксированные ISA означают лишь одно, что она работает, умный хакер после себя столько оплошностей не оставляет.

    3) Решение проблемы простое :
    Выполнить экспорт  в файл -импорт- на нерабочую машину С РАБОЧЕЙ МАШИНЫ

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2

    4) Предположительно: проблема возникает:
    а) после апдейта Windows
    б) из-за vnc (но не как трояна)
    г) установки доп программ приводящих к модернизации  реестра windows (winsock)
    5) Удачи!
    26 ноября 2007 г. 16:34