Cетевая система обнаружения инфицированных компьютеров - INFER

[SDA]

Руководители IT-департаментов должны перестать фокусироваться на системах обнаружения и предотвращения вторжений, сосредоточившись вместо этого на тех компьютерах сети, которые уже скомпрометированы киберпреступниками. Именно такой совет дал профессор Нью-Йоркского университета, предложивший инновационный подход к обнаружению зараженных машин во внутренних сетях.

Назир Мемон, профессор Политехнического института при Нью-Йоркском университете, разработал сетевую систему обнаружения инфицированных компьютеров в больших сетях. В ходе своего выступления на конференции Cyber Infrastructure Protection Conference он подчеркнул, что при создании системы команда разработчиков исходила из того, что зараженные компьютеры уже находятся внутри сети.

Система под названием INFER спроектирована для того, чтобы обнаруживать целенаправленные скрытые атаки, которые иностранные государства или киберпреступники предпринимают против корпоративных или правительственных сетей. Такие медленно развивающиеся атаки трудно обнаружить средствами традиционных антивирусов, файерволов и систем предотвращения вторжений, поскольку они сконцентрированы на противодействии известным вредоносным приложениям, пытающимся попасть во внутреннюю сеть.

Система INFER, напротив, концентрируется на тех опасных программах, которые уже попали в сеть, и использует средства обнаружения, расположенные за роутерами и свитчами для пассивного мониторинга трафика и обобщения полученных результатов. INFER имеет встроенный механизм обработки данных, позволяющий анализировать информацию и искать зараженные машины. Консоль INFER позволяет высвечивать Top 10 хостов, которые кажутся инфицированными с наибольшей степенью вероятности.

INFER не ищет известные приложения или способы атаки, не использует сигнатуры и шаблоны поведения – она обнаруживает компьютеры, демонстрирующие признаки того что они заражены, причем не важно, чем именно. Среди таких признаков – замедление работы, частые перезагрузки, переподключения DNS, а также использование хоста в качестве ретранслятора или прокси.

Политехнический институт использовал INFER на протяжении двух лет для отслеживания поведения трех тысяч компьютеров внутренней сети. По словам Мемона, ботнеты выявлялись каждый день, после чего исследователи уведомляли IT-персонал об их наличии. Профессор и его студенты создали компанию Vivic, целью которой является коммерциализация разработки. Первым платным клиентом стала Исследовательская лаборатория армии США, которая планирует применять INFER для своей программы мониторинга сети под названием Interrogator.

http://www.networkworld.com/news/200...r.html?hpg1=bn

[Hanson]

эх посмотреть бы как оно работает ((

[Зайцев Олег]

эх посмотреть бы как оно работает ((

У меня такая штука уже 5 лет применяется

[Hanson]

У меня такая штука уже 5 лет применяется

у тебя она 5 лет уже(собственной разработки ???), а они только разработали???

[Зайцев Олег]

у тебя она 5 лет уже(собственной разработки ???), а они только разработали???

разработка собственная, идея даже более глобальная чем описанная. Экую они "америку" открыли ... идея лежит на поверхности, есть два метода обнаружения зараженного ПК
1."Сигнатурный". Т.е. ищется сигнатура зловреда, его характерных частей, используется некая "эвристическая сигнатура" - т.е. например поиск зловреда по характерным поведенческим особенностям, результатам его эмуляции и т.п.
2. "Метод отклонений и аномалий". Т.е. вместо поиска зверя просто выделяем проблемы и аномалии любого типа. Например, компьютер вдруг стал долбить какие-то сайты в Инет запросами, слать какие-то странные DNS запросы, стал сканировать сеть, перезагружаться чащем в среднем по статистике, на нем появились странные неопознанные файлы, процессы, перехваты или элементы автозапуска, новые сетевые подключения, расшаренные папки, открытые порты и т.п. Это может быть и не вирус, но именно аномалия. Аномалии такого класса можно искать в рамках одного ПК (сравнивая его состояние во времени, например сегодня и неделю назад) или его с другими ПК (что в корпоративной среде довольно удобно виду шаблонности всех настроек и однотипности ПО)

У меня применяется метод 1+2 (без антивируса никак, ибо он закроет 99% проблем), как следствие легко ловить не только неизвестные вирусы, но и всякие нарушения (такие как самовольную установку и применение стороннего ПО, действие троянских закладок в программах, считающихся легитимными ... всякие шалости юзеров с сетью, безобразия типа подключения мобильников для выхода в сеть и т.п.). Аналогично ловятся злоупотребления с Инет (вылавливается и прорабатывается первые 5-15 пользователей с разными аномалиями). Вообще это интересная тема, причем авторы описанной выше идеи в начале пути - пройдет еще пара лет исследований и они поймут, что захлебываются в аномалиях - и придут к идее базы чистых файлов, базы доверенных сайтов, и методов нечеткой логики типа нейрочетей, когнитивных карт и деревьев решений для того, чтобы разребать все это на автомате - выделяя важное и отсеивая "шум"

[Torvic99]

И как то сразу начали бабло рубить

Профессор и его студенты создали компанию Vivic, целью которой являетсякоммерциализация разработки. Первым платным клиентом сталаИсследовательская лаборатория армии США, которая планирует применятьINFER для своей программы мониторинга сети под названием Interrogator.

[Hanson]

Олег, а есть ли подобные продукты, хочется посмотреть их в работе

[Зайцев Олег]

Олег, а есть ли подобные продукты, хочется посмотреть их в работе

В публичном доступе - не думаю ... Тем не менее наш "кибер" есть ни что иное как одна из секций моей системы обнаружения аномалий (ему же нет принципиальной разницы, откуда идут карантины - если их собирать со всех ПК некоей ЛВС - то получим поиск аномалий и закономерностей в этой ЛВС)

[Hanson]

кибер штука хорошая канешно,
но как анализ карантинов выявит аномалии в ЛВС??

[Зайцев Олег]

кибер штука хорошая канешно,
но как анализ карантинов выявит аномалии в ЛВС??

Если на всех ПК ЛВС ежедневно снимать автокарантин и логи, и обрабатывать результаты, то
1. все файлы быстро попадут в базу чистых, любой новый неопознаный файл тут-же "засветится"
2. Нетрудно составить реестр разрешенного ПО - это упростит опознание всего нового
Далее любая аномалия - сигнал для разборки. И либо это что-то нехорошее, либо пополнится база чистых. Получаем взгляд на проблему с одной стороны. Далее смотрим с другой - статистику Интернет, почты, данные с ловушек и сканеров сети, информацию о проблемах с каналами в плане их нагрузки - если все это увязать вместе, то можно делать интересные выводы и оперативно реагировать на ситуацию.

[Hanson]

а каким образом я могу ежедневно (ну или хотябы еженедельно) проверять примерно 150 карантинов и логов?
кибер веть проверяет логи и карантины раздела помогите только

[Зайцев Олег]

а каким образом я могу ежедневно (ну или хотябы еженедельно) проверять примерно 150 карантинов и логов?
кибер веть проверяет логи и карантины раздела помогите только

Это у нас он проверяет только карантины из "Помогите", а у меня он проверяет еще как минимум 500-1500 карантинов и логов в день из моей сети. Идея дать возможность подключения к системе сетей крупных заказчиков давно продумывется, но на ее разработку нужно время

[priv8v]

действие троянских закладок в программах, считающихся легитимными ...

Олег, по-моему это очень интересная тема. Может дадите ей развитие в какой-нибудь статье?..
Например просто описание закладок, какие бывают, где чаще, в каких программах встречались + сделали бы пару сенсаций - наверняка в достаточно известных программ есть троянские вкладки...
Просто эта тема вообще мало освещена.

Лично мне лишь пару раз попадались вроде вполне легитимные программы с троянскими вкладками (я не говорю о программах-фейках). Один раз попался ICQ-бот который помимо того, что мог работать автоответчиком и прочим и прочим еще по приходе определенного асику-сообщения отправлял логин и пароль от аси на тот номер от которого пришло это сообщение.
Еще встречался мейл-клиент - он не только отправлял письмо, но еще и отправлял логин и пароль на мыло хакеру.

Это если говорить о обычных программах. А если говорить о хак-тулзах различных, то там закладки чуть ли не в каждой пятой - "вор у вора дубинку украл" выходит

[Зайцев Олег]

Олег, по-моему это очень интересная тема. Может дадите ей развитие в какой-нибудь статье?..
Например просто описание закладок, какие бывают, где чаще, в каких программах встречались + сделали бы пару сенсаций - наверняка в достаточно известных программ есть троянские вкладки...
Просто эта тема вообще мало освещена.

Лично мне лишь пару раз попадались вроде вполне легитимные программы с троянскими вкладками (я не говорю о программах-фейках). Один раз попался ICQ-бот который помимо того, что мог работать автоответчиком и прочим и прочим еще по приходе определенного асику-сообщения отправлял логин и пароль от аси на тот номер от которого пришло это сообщение.
Еще встречался мейл-клиент - он не только отправлял письмо, но еще и отправлял логин и пароль на мыло хакеру.

Это если говорить о обычных программах. А если говорить о хак-тулзах различных, то там закладки чуть ли не в каждой пятой - "вор у вора дубинку украл" выходит

Про статью нужно подумать ... если руки дойдут, то напишу. Идея на самом деле имеет еще более интересное продолжение - если к такой системе привернуть нечеткую логику (нейросети, деревья решений, когнитивные карты и т.п.), то можно получить обратную связь, т.е. система сама будет саморегулироваться - например, отключать Инет провинившимся юзерам, давать советы админам и т.п. У меня это есть, и поэтому "закладные" на злобных нарушителей начинаются фразой "<дата и время> системой автоматического мониторинга было зафиксировано, что ... "
Насчет закладок - такое попадается, но чаще попадается головотяпство разработчиков, приводящее к тому, что вполне лелитимную программу можно применять как троян. Это четко видно в данных моего мониторинга, но побликовать я это не хочу - так как эти данные могут привести к взлому сетей, т.е. вреда от такой информации будет куда больше, чем пользы ...

[Kuzz]

но побликовать я это не хочу - так как эти данные могут привести к взлому сетей, т.е. вреда от такой информации будет куда больше, чем пользы ...

Приведу простой и понятный пример:
RAdmin - во первых, удаленное администрирование.
Во вторых - в версиях 2.Х были обнаружены ошибки в алгоритмах шифрования.
Имеем: где установлена эта прога - можно "захватить" машину.
Это вроде легитимная программа - но можно применить как троян.

Можно вспомнить mIRC: комманды исполняет - бекдур.
С сетью общается..

Это на вскидку и "без раскрытия каких-либо" данных)))

[priv8v]

Про статью нужно подумать ... если руки дойдут, то напишу.
...
Это четко видно в данных моего мониторинга, но побликовать я это не хочу - так как эти данные могут привести к взлому сетей, т.е. вреда от такой информации будет куда больше, чем пользы ...

Можно написать и так, что бы опасной инфы не было.
Предлагаю возможное развитие скелета статьи о троянских закладках и головотяпстве кодеров, допускающих использование их тулз как троянов:

#############################
1). ...Intro...
2). Говорим про использование легитимных программ в качестве троянов (использование их библиотек, возможность запуска с параметрами через которые можно осуществлять практически все что угодно, возможность подключения сторонних либ (плагинов, аддонов), которым предоставляется неограниченная власть как над программой и в ней, так и в системе.
3). Рассуждения о уязвимостях в легитимном ПО, которые ведут выполнению чужого кода и вообще к выполнению чего-то.
4). Троянские закладки от хакеров путем изменения ими вполне легитимных программ (тут можно выделить два метода правки кода - добавление новой секции и небольшие модификации уже имеющегося кода).
5). Буквально абзац о существовании джойнеров (чуть об их механизме и вообще о них).
6). О том, что возможны троянские вкладки, сделанные самими программистами - т.е программа вроде и хорошая, но по определенной команде может начать делать совсем не то, что делает обычно. Порассуждать на эту тему с парой примеров.
7). Упомянуть и о том, что многие вполне нормальные программы при их неумелом использовании дают открытую дорогу и зеленый свет малваре и/или хакерам на ПК (неумелые действия с ПО, неверная настройка)
8). О мерах предосторожности
9). ...outro
#############################

Все это я описал лишь в двух словах и очень примерно/приблизительно :)
В общем, по-моему, тема интересная ...