Системные журналы


Мы уже обсудили, как брандмауэр и IDS обнаруживают, регистрируют и предупреждают о подозрительных действиях в сети. Теперь вместо предоставления сведений, перехваченных на сетевом уровне, мы объясним, как анализировать системные действия на самой honeypot. Возможно, вы помните из предыдущей главы, что все действия системы регистрируются на удаленном сервере syslog. Это гарантирует, что после ее взлома все равно сохранится верная копия системных журналов. У большинства систем, в том числе у различных видов UNIX, Microsoft Windows NT и сетевого оборудования Cisco, есть возможности syslogd. Если сервер syslog тоже оказывается взломанным - помните, это honeypot, только более защищенная, - то IDS должна записать все системные журналы по мере того, как они пересылаются от одной системы в сети к другой. Следовательно, системные журналы хранятся в трех местах: в системах, где происходят действия, на сервере syslog и в записях IDS, которая перехватывает все пакеты, пересылаемые на сервер syslog. В системных журналах мы ищем следующую информацию:
• как вошли в систему «плохие парни». Зачастую эта информация хранится в системных регистрационных файлах. Определив сигнатуры нападения в системных журналах, можно узнать, что необходимо искать в атакованной системе;
• откуда исходили атака. Системные журналы зарегистрируют, откуда пришли «плохие парни». Если больше ничего нет, эти журналы зарегистрируют, из какой системы они первоначально вошли;
• что такое системные действия. Системные журналы запишут такие действия как перезагрузку системы, что необходимо для проведения некоторых атак; интерфейсы переходят в беспорядочный режим (состояние, в котором сетевой адаптер обнаруживает в сети все фреймы вне зависимости от их конечного адреса), что случается при активизации sniffer; или остановку/запуск определенных сервисов.
Кроме того, что зарегистрировано, важно и то, что не зарегистрировано. Одна из первых задач взломщиков заключается в удалении системных журналов. Чтобы определить действия взломщика, можно сравнить журналы, хранящиеся на защищенном сервере, с регистрационными файлами взломанной honeypot, которые, возможно, были изменены. Таким образом вы узнаете, что сделал взломщик с регистрационными файлами honeypot.
Ниже приведен отрывок из системного журнала /var/log/messages системы honeypot-4, которая была взломана при нападении на rpc.statd. Honeypot зарегистрировала это нападение в системном журнале и переправила

записи на удаленный сервер через syslogd. На следующий день после атаки мы видим в тех же регистрационных записях, что пользователь установил исходящее из системы соединение. Обратите внимание на две учетные записи пользователя. Как и в случае с учетными записями, созданными в предыдущем нападении, взломщик сначала получает доступ с учетной записью operator, а затем получает привилегии администратора с учетной записью cgi.
Системные журналы можно использовать для подтверждения регистрационных записей брандмауэра и IDS. В данном случае мы подтверждаем, что против системы действительно было совершено нападение на rpc.statd. Кроме того, системные журналы указывают на то, что для получения доступа к honeypot были использованы две учетные записи - operator и cgi.
Взломщик не пытался скрыть свои действия, изменяя регистрационные файлы. Так что системные журналы на самой honeypot и системные журналы, записанные на удаленном сервере, были идентичны. Если бы взломщик изменил системные журналы, мы бы заметили разницу между журналами с honeypot и записями, отправленными на удаленный сервер регистрации.
Чтобы собрать дополнительную информацию, в систему honeypot можно внести некоторые изменения. Например, в UNIX можно модифицировать системную оболочку так, чтобы она перехватывала комбинации клавиш и передавала эту информацию на удаленный сервер регистрации. Это необычайно полезно, если сеансы связи невозможно перехватить в сети, например когда взломщики для установления соединения с honeypot пользуются закодированным каналом, таким как ssh. По собственному опыту можем сказать, что тенденция к использованию зашифрованных инструментов стремительно распространяется в среде взломщиков. Ранее уже отмечалось, что команда Honeynet Project разработала несколько способов перехвата информации о нажатых клавишах и передачи данных на удаленный сервер регистрации; (Исходные коды и соответствующие бинарные файлы размещены на сайте http://wivw.dmkpress.ru.) Эти клавиши были записаны при помощи измененной версии оболочки bash и переданы на сервер syslog. Преимущество такого способа заключается в том, что даже при закодированных действиях взломщика мы все равно узйаем о нажатых им клавишах. Ниже приведена информация, перехваченная у взломщика из Румынии. Она дает нам представление о мотивах нападения на honeypot. Мы видим, что взломщик пытается использовать систему в качестве источника для запуска IRC bot (robot), emech-2.8. Обратите внимание на то, как двоичный файл был переименован в ftpl4 - получил название, кажущееся невинным.
Преимущество такого метода перехвата клавиш заключается в том, что мы получаем не только их, но также пользователя UID и PID. Мы обнаружили, что для ОС NT системные журналы оказались не такими ценными по сравнению с возможностями регистрации традиционных систем типа UNIX.
Мы рассказали о трех основных вариантах анализа данных, которыми пользуется команда Honeynet Project. Первый метод заключается в информационном анализе предупреждений брандмауэра, которые снабжают нас информацией о действиях взломщика в режиме реального времени. Более того, эти действия архивируются для дальнейшего использования. Второй, и самый важный, способ - запись пакетов. Каждый пакет и его полезная нагрузка перехватывается и архивируется для будущего просмотра. Эта информация хранится как в двоичном формате, так и в формате ASCII. Подозрительные действия также можно обнаружить при записи переданных пакетов. Последняя составляющая анализа данных, системные журналы, говорит о действиях в системе. Изучив все варианты анализа данных, необходимо применить их к системе, которая была взломана.