Найти в Дзене
АдминистрированиеChef

Обнаружение признаков взлома

49
3 мин
Забегая вперед, в этой статье мы рассмотрим практическое применение программного продукта для анализа своей системы на предмет незаконного вторжения программными средствами. Все последствия, применяемые в статье, несет исключительно конечный пользователь, вся информация, предоставленная в статье, несёт исключительно информативный и не обучаемый формат. Цель данной статьи: обезопасить пользователей от различных инцидентов проникновения в частную информационную собственность. В современных реалиях IT повседневности одним из актуальных вопросов является обеспечение собственной безопасности. Чтобы на высоком уровне обеспечить такую безопасность, необходимо несколько основополагающих. Одним из первостепенных значений является полученное образование, вторым не менее важным из основополагающих является большой опыт работы с различными инцидентами в области информационной безопасности. Но что делать пользователям, которые только на пути становления своего развития в IT области или только ув
Забегая вперед, в этой статье мы рассмотрим практическое применение программного продукта для анализа своей системы на предмет незаконного вторжения программными средствами.
Все последствия, применяемые в статье, несет исключительно конечный пользователь, вся информация, предоставленная в статье, несёт исключительно информативный и не обучаемый формат.
Цель данной статьи: обезопасить пользователей от различных инцидентов проникновения в частную информационную собственность.

В современных реалиях IT повседневности одним из актуальных вопросов является обеспечение собственной безопасности.

Чтобы на высоком уровне обеспечить такую безопасность, необходимо несколько основополагающих. Одним из первостепенных значений является полученное образование, вторым не менее важным из основополагающих является большой опыт работы с различными инцидентами в области информационной безопасности.

Но что делать пользователям, которые только на пути становления своего развития в IT области или только увлекаются этой тематикой и находятся на стадии выбора университета или изучаемого направления? Во-первых, чаще заходить в наше сообщество ДЗЕН и изучать различные интересные материалы, которые мы будем стараться подбирать специально для Вас. Во-вторых, воспользоваться одним из профессиональных и в тоже время бесплатных инструментов сканирования системы на предмет взлома или вторжения. Давайте рассмотрим конкретную реализацию такого инструмента.

Одним из распространенных инструментов по аналитике в области информационной безопасности является «Loki» (https://github.com/Neo23x0/Loki/releases), в статье используется именно версия 0.41.0.

Представленный инструмент использует 4 метода обнаружения:

  1. Имена файлов (соответствие регулярному выражению полного пути файла);
  2. Проверка правилами Yara (поиск на соответствие сигнатурам Yara по содержимому файлов и памяти процессов);
  3. Проверка хешей (сравнение просканированных файлов с хешами (MD5, SHA1, SHA256) известных вредоносных файлов);
  4. Проверка обратной связи C2 (сравнивает конечные точки технологического соединения с C2 IOC).

Обратите внимание, что практический пример реализации будет производиться именно на ОС Windows 10 v1903. Что необходимо для запуска программы? В первую очередь скачать одну из версий Loki и открыть командную строку CMD от имени администратора, после чего перетащить из скачанной папки файл «loki-upgrader.exe» в командную строку и нажать Enter, в следствии чего у Вас появиться окно проверки и скачивания последних актуальных сигнатур:

-1-2

После чего необходимо перетащить в командную строку файл «loki.exe» и нажать Enter. Начнется запуск процесса сканирования системы, однако многие пользователи могут увидеть следующую ошибку:

-2

Эта ошибка означает, что у вас отсутствует папка с Yara — правилами. Её можно скачать по следующему пути «https://github.com/Neo23x0/signature-base», после чего эту папку необходимо распаковать и расположить по пути нахождения Loki, например: «C:\Users\Имя пользователя\Downloads\loki_0.41.0\loki», при этом переименовав на название «signature-base» в итоге у Вас должна быть такая структура файлов:

-3

После чего Вы снова повторяете запуск Loki перетащив в командную строку файл «loki.exe» и нажав Enter, в следствии чего Вы увидите подобное окно сканирования Вашей системы:

-4
-4-2

Так как наше тестирование проводилось на чистой системе, соответственно программе не удалось найти следы проникновения, однако необходимо показать такое оповещение, чтобы пользователь знал при каком сообщении программы стоит начинать предпринимать какие-то действия по исследованию инцидента. Для этого мы обратимся к telegram — каналу «Terminal-Lab» и позаимствуем у них оповещение о найденном инциденте в сервисе «exchange server»:

Terminal — lab: https://tmtr.me/joinchat/AAAAAFG5Yjf47CRL4iDhfA
Terminal — lab: https://tmtr.me/joinchat/AAAAAFG5Yjf47CRL4iDhfA
Подводя итоги, можно сказать, что проблема обеспечения высокого уровня безопасности является очень обширной и достаточно актуальной на сегодняшний день. Однако, чтобы начать с малого и учиться обеспечивать хотя бы собственную безопасность, необходимо научиться анализировать состояние своей системы и главное правильно подбирать инструментарий для этих целей. В этой статье мы рассмотрели один из таких инструментов и надеемся, что предоставленный материал был Вам полезен и интересен.