книги хакеры / журнал хакер / 176_Optimized

Взлом

ţŤŘŖŵ ŪŞŮŠŖ

INTERCEPTER-NG

Естественно, эту особенность клиентов MySQL вполне можно использовать при MITM-атаках в процессе проведения тестирования на проникновение. Не надо ждать, пока клиент сам выполнит оператор LOAD DATA LOCAL, — достаточно просто оказаться между ним и серве-

ром :). Ares, автор тулкита Intercepter (intercepter.nerf.ru), заинтересовался нашей находкой и с радостью добавил функционал для реализации подобной атаки. Официально эта функция станет доступной после релиза нового билда. Но если не терпится, ты всегда можешь попросить у автора сборку, включающую в себя этот новый функционал.

Новый функционал в Intercepter-NG

ВМЕСТОЗАКЛЮЧЕНИЯ

По правде говоря, оператор LOAD DATA LOCAL — это уже сама по себе интересная штука, которая не раз помогала нам при проведении тестов на проникновения, еще до момента, когда мы нашли возможность для выполнения обратной атаки.

Немного покопавшись в документации, мы обнаружили, что разработчики частично в курсе этой особенности. Так, на официальном сайте сказано, что теоретически между клиентом и сервером MySQL может вмешаться третье лицо и модифицировать запрос LOAD DATA LOCAL, в результате в базу будет записан совершенно другой файл. Но такая ситуация маловероятна. А вот что действительно реально, так это описанная сегодня концепция хонипота.

Как ты видишь, тема атаки на клиенты со стороны сервера на данный момент раскрыта не полностью. И вполне реально обнаружить подобные забавные особенности и для других сервисов, доступных по другим портам. Помни, хакер: подключился к чужому серверу — будь осторожен! Атаковать тебя может и легальный владелец ресурса!

Взлом

КУКУШКА В ДЕЛЕ

Автоматизация поиска вредоносных файлов в корпоративной сети на базе

Cuckoo Sandbox

Вирусная аналитика — очень познавательное и занимательное занятие, особенно поиск и исследование свежих семплов вредоносов.

В корпоративной сети делать это вручную достаточно трудоемко и отнимает много рабочего времени. Я расскажу, как автоматизировать этот процесс с помощью

Cuckoo Sandbox и повысить эффективность антивирусной защиты в компании.

НАЗНАЧЕНИЕ

Cuckoo Sandbox — автоматизированная опенсорсная система анализа вредоносного ПО (для простоты будем называть ее просто «кукушка»). Кукушка представляет собой песочницу с инструментарием, позволяющим автоматически запускать в ней файлы и анализировать их поведение, а также отслеживать состояния системы (песочницы) и протекающие в ней процессы.

Термин «песочница» определяет изолированную виртуальную среду, предназначенную для тестирования кода или ненадежного ПО. На практике песочница используется для динамического анализа потенциально вредоносных файлов. Ценность такого подхода, в отличие от статического, заключается в получении важной информации о зловреде:

•какие ресурсы используются (как локальные, так и внешние);

•какие применяются методы обхода средств защиты;

•какие уязвимости эксплуатируются.

ФУНКЦИОНАЛЬНЫЕВОЗМОЖНОСТИ

Cuckoo Sandbox разработана на Python’е с использованием модульного разделения задач. В качестве изолированной виртуальной среды для анализа потенциальных вредоносов кукушка позволяет использовать следующее ПО виртуализации: KVM, VirtualBox, VMware.

Изначально авторы предполагали в качестве гостевой операционной системы в виртуальной среде использовать Microsoft Windows XP SP3. Видимо, это связано с популярностью именно этой операционной системы и, соответ-

ственно, с существующим многообразием многофункционального вредоносного ПО для этой платформы. Однако при тестировании выяснилось, что вопреки предположениям кукушка оказалась работоспособной в ОС Windows Vista и Windows 7, а также OS X. В качестве основной ОС (хост-системы) разработчики рекомендуют платформу GNU/Linux.

Итак, как я уже сказал, Cuckoo Sandbox умеет анализировать файлы и позволяет получить следующие типы отчетов о проверке:

•перечень вызываемых функций Win32 API всеми процессами, порожденными зловредом;

•перечень файлов, которые были загружены, созданы, удалены или к которым происходило обращение во время работы зловреда;

•дамп памяти потенциально вредоносных процессов;

•логирование сетевого трафика в формате PCAP;

•скриншоты рабочего стола, сделанные во время выполнения малвари;

•полный дамп памяти виртуальной машины;

•результат проверки файла на VirusTotal (virustotal.com).

Кукушка может быть использована для анализа исполняемых файлов ОС семейства Windows и динамических библиотек (*.dll), документов в формате PDF и Microsoft Office, URL-ссылок и PHP-скриптов. Благодаря своей модульности, этот инструмент предоставляет тебе широкие возможности для создания собственных скриптов и конфигурации аналитической системы вредоносов.

Взлом

Рис. 2. Результат отправки файла на проверку

РАЗВЕРТЫВАНИЕИНАСТРОЙКАКУКУШКИ

Для развертывания Cuckoo Sandbox тебе понадобится следующее ПО:

•дистрибутив Python (2.7);

•SQLAlchemy (0.7.10);

•дистрибутив кукушки;

•дистрибутив виртуальной среды (KVM, VirtualBox или VMware);

•утилита tcpdump для анализа сетевого трафика.

А также дополнительные компоненты, которые рекомендуют разработчики:

•Dpkt (обязателен для установки): требуется для извлечения необходимой информации из сетевых пакетов;

•Jinja2 (обязателен для установки): требуется для отображения вебинтерфейса и HTML-отчетов;

•Magic (дополнительно): требуется для идентификации формата проверяемого файла;

•Pydeep (дополнительно): требуется для вычисления нечетких хешей;

•Pymongo (дополнительно): требуется, если используется база данных MongoDB вместо стандартной;

•Yara и Yara Python (дополнительно): требуется для сравнения Yaraсигнатур (лучше использовать svn-версию);

•Libvirt (дополнительно): требуется в случае использования менеджера виртуальных машин KVM;

•Bottlepy (дополнительно): требуется для использования утилиты web.py и api.py (директория utils, в составе дистрибутива кукушки);

•Pefile (дополнительно): требуется для выполнения статического анализа бинарных файлов PE32;

•Python Image Library (дополнительно): требуется для снятия скриншотов рабочего стола (виртуальная среда), в процессе анализа зловреда.

Рис. 3.СформированныйотчетпроверкивформатеHTML

Замечу, что при установке дополнительных компонентов тебе потребуется иметь предустановленные пакеты для Python’а: MarkupSafe-0.18, setuptools-0.9.6. Как отмечено выше, авторы кукушки рекомендуют использовать в качестве основной ОС (хост-системы) платформу GNU/Linux. По определенным причинам я мог использовать только компьютер с предустановленной ОС семейства Windows. Поэтому, идя вразрез с рекомендациями,

ярешил использовать Windows XP SP3. И это решение создало мне немало трудностей (пришедших в негодность две клавиатуры и одного мыша), пока

яуспешно не запустил эту песочницу. Для себя в очередной раз сделал вывод — по возможности лучше прислушиваться к рекомендациям.

Вцелом, следуя официальной инструкции Cuckoo Sandbox Book (bit. ly/14w9oky) (офлайн-версия лежит в каталоге cuckoo\docs\book), развернуть и настроить кукушку не составит особого труда, особенно если ты будешь разворачивать ее на Linux. Я лишь кратко укажу самые важные моменты.

Все конфигурационные файлы Cuckoo Sandbox расположены в папке Cuckoo\conf\. В файле cuckoo.conf производятся основные настройки работы аналитической системы. В нем необходимо указать IP-адрес ПК, на котором будет запущена cuckoo. Кроме того, при использовании функции анализа сетевого трафика необходимо указать путь расположения утилиты tcpdump. exe, а также идентификатор сетевого устройства, которое будет прослушиваться. В данном случае лучше всего использовать сетевое устройство виртуальной машины, чтобы однозначно определять принадлежность трафика. Для получения списка идентификаторов сетевых устройств (в Windows) можно воспользоваться той же утилитой tcpdump с параметром –D.

Вprocessing.conf настраивается обработка полученной информации. В нем ты можешь определить, какую категорию получаемой информации необходимо обрабатывать. А в файле reporting.conf нужно выбрать, в каком формате формировать отчет о результатах проверки.

ŠũŠũŮ ţŖ WINDOWS

На случай, если ты решишь, как и я, разворачивать кукушку на винде, расскажу, какие трудности тебя ожидают. Связаны они в основном

с установк дополнительных компонентов —

Magic и pydeep.

Magic необходим Cuckoo Sandbox для опре-

деления типа файла по его расширению. В официальной документации авторы ссылаются

на ресурс разработчиков (bit.ly/ra2fR0). Однако мне не удалось установить этот пакет, так как он требовал компиляции библиотек. Пробле-

му установ можно было решить компиляцией либо воспользоваться готовыми библиотеками

Обращаю твое внимание, что для успешной установки пакета потребуется скопировать

в системн папку C:\Windows\System32 три

динамические библиотеки: magic1.dll, zlib1. dll, regex2.dll. Ссылки для скачивания найдешь на той же странице.

Компонент pydeep, или ssdeep (у меня был ssdeep-2.9-0.3), используется кукушкой для вычисления fuzzy-хешей (нечетких хешей). Это очень распространенный метод для иден-

тификации неидентичных объектов. Применим, например, в аналитике вредоносов, для обнаружения различных сборок одного и того

же класса. К сожалению, для ssdeep я готовых библиотек не нашел. Поэтому пришлось компилировать самому. Нагуглил только рекомендацию, что для сборки библиотеки под Windows необходимо установить Python 2.7 (или выше),

компилятор GCC (MinGW) и Cython. Python уже установлен, качаем MinGW

и Cython. Так как для установки Cython’а тоже требуется компиляция библиотек, сперва уста-

Кукушка в деле

Рис. 4. Отправка файла на проверку из консоли

НАСТРОЙКАВИРТУАЛЬНОЙСРЕДЫ

Создание виртуальной среды для проверки потенциальных вредоносов — процесс творческий, нужно сделать ее максимально похожей на реальную компьютерную систему, в которой работает пользователь. Это позволит тебе получить наилучший результат при анализе файлов.

При настройке виртуальной среды сетевое взаимодействие с виртуальной машиной необходимо настроить как сетевой мост. Заранее определи IP-адрес(а), который(е) будет использовать виртуальная машина при ручной настройке сетевого интерфейса. А также отключи брандмауэр и центр обновления.

Если планируется использовать одноранговую сеть, необходимо задать пароль для учетки локального пользователя виртуальной машины (настройка ОС) и создать локального пользователя в основной системе с таким же именем и паролем (применительно для Windows).

Кроме того, на виртуальной машине нужно установить дополнительное ПО в соответствии с типами файлов, которые планируешь проверять в виртуальной среде.

После того как завершишь настройку виртуальной среды, не забудь сохранить ее состояние и сделать клон виртуальной машины (на всякий случай). Как — подробно описано в официальной инструкции (bit.ly/13H7Opy).

Затем в конфигурационном файле <machinemanager>.conf, который определяет настройки работы виртуальной среды, тебе потребуется указать перечень используемых виртуальных машин, режим запуска виртуальной среды, IP-адреса и другое.

После чего самое время проверить работоспособность кукушки. Для этого тебе потребуется выполнить скрипт cuckoo.py, который расположен в кор-

не каталога cuckoo. Результат успешного выполнения скрипта изображен на рис. 1. Если при запуске кукушки выдается сообщение об ошибке, еще раз убедись, все ли необходимые компоненты были установлены, и проверь конфигурационные файлы.

ПРОВЕРКАФАЙЛОВ

Чтобы выполнить проверку файла в виртуальной среде Cuckoo, ты можешь воспользоваться веб-интерфейсом, который запускается скриптом web.py, расположенным в каталоге cuckoo\utils.

В браузере перейди по адресу http://127.0.0.1:8080. В форме выбери файл, который требуется проверить. Установи приоритет и дополнительные опции — и файл готов к отправке на проверку в песочницу.

С описанием параметров и опций проверки файла можешь ознакомиться здесь: bit.ly/16uw9TR либо bit.ly/12Upeo7.

При успешной отправке файла система сообщит тебе идентификатор задачи и ссылку на задачу, где ты сможешь просмотреть результат проверки (рис. 2). По окончании анализа файла в виртуальной среде в зависимости от настроек аналитическая система сформирует отчет, который станет доступным для просмотра.

Помимо веб-формы, для отправки файла или ссылки на проверку в песочнице ты можешь использовать скрипт submit.py из cuckoo\utils. Принцип использования скрипта схож с веб-формой. Также в качестве входных параметров необходимо указать параметры и опции проверки файла (рис. 4).

Во время отправки файла или ссылки на проверку для формируемой задачи кукушка создает профиль с именем идентификатора задачи. Профиль создается в каталоге cuckoo\storage\analyses\ (рис. 5).

Взлом

В результате выполнения проверки в профиле задачи сохраняется вся информация, полученная при анализе файла или ссылки в виртуальной среде Cuckoo Sandbox. Это скриншоты активных окон, состояние системы, файлы, перехваченный трафик, результаты проводимого анализа и отчеты.

АВТОМАТИЗАЦИЯПОИСКАИАНАЛИЗАПОТЕНЦИАЛЬНО ВРЕДОНОСНЫХФАЙЛОВ

Для создания автоматической системы поиска и анализа малвари необходимо решить следующие задачи:

1.Организовать автоматизированный поиск потенциальных вредоносов на корпоративных ПК.

2.Определить правила поиска и возможность их расширения.

3.Обеспечить сбор и учет найденных потенциальных вредоносов в «хранилище».

4.Организовать автоматическое сканирование хранилища на предмет появления новых необработанных (непроверенных) файлов и их запуск на проверку в виртуальной среде.

5.Организовать удаленное управление и просмотр результатов работы.

ПРИНЦИПРАБОТЫ

Как уже было сказано, наша цель — построить автоматизированную систему поиска и анализа потенциальных зловредов в корпоративной сети. Эта система состоит из двух частей: сервера поиска файлов (собирает и хранит их) и сервера анализа найденных файлов.

Настроенный сервер сканирования ведет постоянный (либо по расписанию) поиск на корпоративных ПК потенциальных вредоносов в соответствии с определенными параметрами. При выявлении подобных файлов они переносятся в хранилище на сервере приложений (system-host). Система автоматического анализа файлов на сервере приложений (system-host) отслеживает состояние хранилища и при появлении новых файлов помещает их в очередь для анализа в виртуальной среде. По завершении проверки каждого файла в базе данных создается отчет, который можно просмотреть через веб-форму на сервере приложений.

Предполагаемая схема построения автоматизированной системы поиска и анализа потенциальных вредоносов изображена на рис. 7.

ПРАВИЛАПОИСКА

В корпоративной сети ПК представляет собой динамическую систему, которая все время изменяется. Пользователь постоянно запускает различные приложения, открывает и создает файлы, посещает интернет-ресурсы, в результате чего в системе появляются новые файлы.

При анализе состояния компьютерной системы невозможно заранее знать, скомпрометирована ли система, а при поиске потенциальных вредоносов — какой из файлов представляет угрозу. Поэтому сначала необходимо определиться с признаками заражения ПК и классификацией файлов, благодаря чему станет возможным относить файлы к категории представляющих потенциальную угрозу. К таким признакам можно отнести:

•наименование файлов (или папок), как полное соответствие имени (например, каталог systemhost, признак заражения трояном SpyEye), так и по определенной маске (jar_*.tmp, xkjhaqw*, 0.* и тому подобные);

•расширения файлов (*.exe, *.dll, *.class, *.jar/*.jad, *.pdf и так далее);

•пути поиска.

В качестве путей поиска нужно брать места, которые чаще всего используют вредоносы для сохранения своего экземпляра. Это, например, корень основного диска, каталог с профилями пользователей, а также директо-

рии профиля пользователя Local Settings, Temp, Sun\Java\Deployment\ cache\6.0\*, Startup и прочие злачные места.

Это лишь основные признаки потенциально вредоносных файлов. Поэтому при разработке системы стоит заложить возможность их расширения.

Что касается модуля, ответственного за поиск файлов, то он работает по следующему алгоритму:

1.Проверка доступности узла сети (ПК) из определенного диапазона сети.

2.Поиск файлов, удовлетворяющих определенным признакам.

3.Копирование найденных файлов в хранилище.

Приведу основные функции поискового модуля. Доступность хоста определяется с помощью функции ICMP API IcmpSendEcho. Для использования данной API-функции необходимо определить структуру данных ip_option_ information (представляет собой информацию о IP-пакете), а также структуру данных icmp_echo_reply, определяющую структуру ICMP-пакета (полный код функции и пример ее использования ждет тебя на диске). Для поиска файлов на удаленных ПК и их копирования используется следующая конструкция:

var

SearchRec: TSearchRec;

begin

if (FindFirst('\\'+IP-ȔȘȤșȥ ȩȢȥȦȔ (+'\'+ȣȧȦȰ ȣȢȜȥȞȔ

(+'\*.*', faAnyFile, SearchRec) = 0) then

begin

repeat

//ǪȢȘ, ȣȤȢȖșȤȳȲȭȜȝ ȡȔȝȘșȡȡȯȝ ȨȔȝȟ ȜȟȜ ȣȔȣȞȧ

//ȡȔ ȥȢȢȦȖșȦȥȦȖȜș ȞȤȜȦșȤȜȳȠ ȣȢȜȥȞȔ ȖȤșȘȢȡȢȥȢȖ

//Ǣ ȥȟȧȫȔș șȥȟȜ ȡȔȝȘșȡȡȯȝ ȨȔȝȟ ȧȘȢȖȟșȦȖȢȤȳșȦ

//ȞȤȜȦșȤȜȳȠ ȣȢȜȥȞȔ, ȞȢȣȜȤȧșȠ șȗȢ Ȗ ȩȤȔȡȜȟȜȭș

if not ( ( SearchRec.name = '.' ) or

( SearchRec.name = '..' ) ) then

begin

ForceDirectories(PChar('[ȔȘȤșȥ / ȥșȦșȖȢȝ ȣȧȦȰ

ȩȤȔȡȜȟȜȭȔ]'+'\'+[ȘȔȦȔ] +'\'+ 'ip-ȔȘȤșȥ ȩȢȥȦȔ'));

CopyFile(PChar('\\'+IP-ȔȘȤșȥ ȩȢȥȦȔ (+'\'+

ȣȧȦȰ ȣȢȜȥȞȔ (' +SearchRec.name), PChar([ȔȘȤșȥ /

ȥșȦșȖȢȝ ȣȧȦȰ ȩȤȔȡȜȟȜȭȔ]'+'\'+[ȘȔȦȔ] +'\'+

'IP-ȔȘȤșȥ ȩȢȥȦȔ+ '\'+SearchRec.name),true);

end;

until (FindNext(SearchRec)<>0);

FindClose(SearchRec);

end;

Чтобы автоматизировать анализ найденных зловредов в кукушке, потребуется написать программный модуль, который должен отслеживать состояние хранилища и при появлении новых файлов отправлять их в песочницу для проведения анализа. Назовем этот модуль «монитором».

Следующий алгоритм определяет работу программного модуля «монитор»:

1.Сканирование каталога на наличие файлов.

2.Определение состояния файла: отправлен на проверку или нет.

3.Если не отправлен, отправляем на проверку, устанавливаем статус «отправлен», сохраняем идентификатор задачи и время обработки файла. Иначе переходим к шагу 1.

При разработке данного модуля я использовал такую схему для отслеживания состояния файла:

•для каждого файла, отправленного на проверку, создаем «статусный» файл с именем следующего вида: <done>_<ȜȠȳ ȣȤȢȖșȤȳșȠȢȗȢ ȨȔȝȟȔ>.<id

țȔȘȔȫȜ>;

•в файл записываем дату и время отправки (может пригодиться при анализе времени реакции на инцидент).

Кукушка в деле

DVD

Исходный код приложения со всеми рассмотренными

встатье функциями ты, как всегда, найдешь на нашем диске.

В коде это выглядит так. Осуществляется рекурсивный поиск файлов. Каждый найденный файл проверяется — отправлялся ли он на проверку или нет:

if ( Pos(filename,SearchRec.name) > 0) then

begin

if (Copy(SearchRec.name, 1,5) = 'done_')then

begin

result:=true;

exit;

end;

...

else

result:=false;

...

Для того чтобы отправить файл на проверку, «монитор» использует внешний скрипт submit.py, с передачей необходимых параметров.

function sendFileCuckoo(path, filename:string):integer;

var

exp:string;

begin

...

if exp = 'exe' then

testFile('--package '+exp+' '+path+filename);

if exp = 'doc' then

testFile('--package '+exp+' '+path+filename);

if exp = 'dll' then

testFile('--package '+exp+' '+path+filename);

if exp = 'pdf' then

testFile('--package '+exp+' '+path+filename);

...

end;

Вызов внешнего скрипта submit.py:

function testFile(param:string):integer;

begin

CreateProcess(nil, PChar('python D:\cuckoo\utils\submit.

py '+param), nil, nil, True, CREATE_NEW_CONSOLE, nil,

nil, startupinfo, processinformation);

...

end;

Особенность программного модуля «монитор» заключается в том, что он должен запустить внешний скрипт и перехватить вывод консоли на себя.

Как только налажен процесс поиска и анализа найденных зловредов, возникает необходимость создать веб-сервер отчетности, который будет структурно отображать выполненные, выполняющиеся или ожидающие задачи по анализу вредоносов, а также предоставлять возможность просматривать отчеты, состояния виртуальных машин и самой автоматизированной аналитической системы.

В арсенале кукушки имеется веб-сервер REST API, позволяющий управлять этой аналитической системой с помощью REST-запросов. Используя данные запросы, можно получать необходимую информацию от API-сервера в удобном формате (JSON) о состоянии Cuckoo Sandbox, о задачах и их статусе, проверяемых файлах и многом другом. Подробности запуска сервера и перечень запросов описан тут: bit.ly/1c3VoBz.

Остается только написать веб-приложения, но это тема уже другой статьи.

ВЗАКЛЮЧЕНИЕ

Реализовав данную идею, ты оптимизируешь ручную аналитическую работу и автоматизируешь поиск и анализ потенциально вредоносных файлов. Это позволит сократить время реакции на инциденты вирусного заражения, разгрузить локального специалиста безопасности от трудоемкой работы, повысить эффективность антивирусной защиты. А в рамках домашней сети — организовать свою маленькую антивирусную лабораторию.

Евгений Толмачёв

@c3retc3, cload.ru

ПЕНТЕСТ

ЭКСПЛОЙТ-ПАКА

Анализ

защищенности

Blackhole exploit kit

thebadastronomer@flickr.cmo