Linux Covert Channel explica por qué NSM Matters

Acabo de leer un post de Symantec titulado Linux Back Door Usos protocolo de comunicación encubierta. En él se describe un nuevo canal secreto en los sistemas Linux. Un extracto relevante sigue:

[L] a atacantes ideado su propio sigiloso Linux puerta trasera para camuflarse dentro de Secure Shell (SSH) y otros procesos de servidor. Esta puerta trasera permite a un atacante realizar la habitual-funcionalidad, como la ejecución de comandos remotos, sin embargo, la puerta trasera no abre un socket de red ni intente conectarse a un servidor de comando y control (C & C).

el contrario, se inyecta el código de la puerta de nuevo en el proceso de SSH para monitorear el tráfico de red y busque la siguiente secuencia de caracteres: dos puntos, signo de exclamación, punto y coma, puntos («:;!.»).

Después de ver este patrón, la puerta de atrás sería analizar el resto del tráfico y luego extraer los comandos que habían sido cifrados con Blowfish y Base64 codificado.

:;!. UKJP9NP2PAO4

figura. Ejemplo de comando inyectado

El atacante podría realizar peticiones de conexión normal a través de SSH u otros protocolos y simplemente incrustar esta secuencia secreta dentro de un cierto tráfico de otra manera legítima para evitar la detección. Los comandos serían ejecutados y el resultado envían al atacante. Symantec recomienda entonces:

Para identificar la presencia de esta puerta de atrás de la red, busque el tráfico que contiene el «:;!.» String (sin incluir las comillas).

¿Cómo se supone que debes hacer eso? Si implementa operaciones de NSM, tal vez usando Seguridad Cebolla, usted podría hacer algo como lo siguiente:

 
$ for i in `ls`; do echo $ i && ngrep-q-I $ i : ! ; ;. hace
Si ejecuta este comando en el directorio donde se almacena la información de tráfico de datos completa (es decir, archivos pcap primas), Ngrep buscará todos los paquetes para la cadena de intereses.

También puede ser que desee utilizar la opción-o, para volcar los paquetes que coinciden en un archivo con formato pcap.

Resultados ven como el siguiente:

 /> 
partido ::; />
T 192.168.2.104:62696 -> 31.13 .69.160:443 [AP]
.... H {. n ....... , i3.gb. ... h% ..... Cb '... _ .. .... H. .... VO .. Vr ..... K7.N. `; O. @ ... <
... A. h.8: .. Jf% 5d .....% oO | =} 0.8 ...... zw ............... '..) ... t, 0,1 ^: ... 4 .
P. ............. ^ ....... $ 4 ... - .. * -..?? ^ 0.0 ..... ...?.? SI .. 3 `.... 4i) C ~ H {D. SR .. & 4
... T. <... x y ~ ... F.:. d .. `.Vg / h.........rN.....a.......yq...qf.N_m.DF @ C> v
. x ...... xRnz ... UB] y ... l {.... m .. 4 ....... `. f .. Yu .. wqq. (... 9. ....... qq.
} ...) .. VB ....... (........ Th.DY ~ ....... J. ......... (...... Q%] ..... Y. ...; `4 ...
_p | dO .. 5g.IS ~ E. ". Lw ........... pXWV .... G + ... M. .......... C. ... m9.oU * Qz). l
M. ...] o /;.... T3s ... O. ..... S. ... JB0 ....... 0 # Ie .... Z.? ".. n = Hq> .... (... $ * ...
0 ... SO. /] ........ '... wa ..... .!. q y> ..>:; ..... FJ) .. s | 0.9 x.U. <6 ...... 3 `... [... K
- .!. - SNIP ---

Esto parece ser parte de una sesión SSL cifrada a través de algunos de mi tráfico de laboratorio, la:; cadena aparece varias veces en el tráfico cifrado mediante computadoras de Windows <. p> Este método no proporciona evidencia prima facie de compromiso. Por ejemplo, usted podría tener que hacer referencia a un conocimiento personal o un inventario de activos para determinar que el sistema en cuestión es un equipo con Windows, no un sistema Linux. Usted es más propenso a ver una corriente de comandos que implican esta cadena y seguir ese camino para identificar el compromiso. Usted podría también referencias cruzadas utilizando los indicadores basados ​​en memoria del compromiso de Symantec incluye en el mensaje.

En cualquier caso, el hecho de que ya se está recolectando la mayor cantidad datos de contenido completo como sus procesos técnicos, legales y políticos permiten que significa que usted tiene la oportunidad de realizar un análisis retrospectivo de seguridad, gracias a la colección de pcap dentro de una operación NSM.

Sin tomar un enfoque NSM, usted tendría que configurar nuevas firmas o la recopilación de datos desde este punto en adelante y esperar que el adversario no cambia de canal secreto, ahora que Symantec ha dado a conocer que.

El objetivo de este enfoque es ayudar a determinar el alcance del compromiso tan eficiente y rápidamente como sea posible, para que pueda llevar a cabo la remediación efectiva una vez que el alcance se entiende.

Si usted quiere saber cómo configurar un operación NSM, visita mi Seguridad de Red de Monitoreo 101 clase en Sombrero Negro Seattle el próximo mes. El esquema de la clase está aquí. También te puede interesar mi último libro sobre NSM. Utiliza el código «NSM101» de descuento del 30%, y consiga la edición digital libre con una copia impresa.

Gracias a Symantec para compartir su IOC para este canal secreto.

Tweet

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *