Потягніть мережу чи живлення? (для підтримання вкоріненого сервера)

Коли сервер отримує укорінився ( наприклад, ситуація , як це ), одна з перших речей , які ви можете вирішити , щоб зробити це стримування . Деякі фахівці з питань безпеки радять не вводити виправлення негайно та підтримувати сервер в Інтернеті до завершення роботи криміналістики. Ці поради, як правило, для APT . Інакше, якщо у вас трапляються випадкові порушення дітей у Сценарії , тому ви можете вирішити скоріше виправити (виправити речі). Одним із кроків у відновленні є стримування сервера. Цитуючи відповідь Роберта Муара - "відключити жертву від її мандрівників".

Сервер може міститися, потягнувши мережевий кабель або кабель живлення .

Який метод краще?

Беручи до уваги необхідність:

1. Захист жертв від подальшої шкоди
2. Виконання успішної криміналістики
3. (Можливо) Захист цінних даних на сервері

Правка: 5 припущень

Припустимо:

1. Ви виявили рано: 24 години.
2. Ви хочете відновитись рано: 3 дні 1 адміністратора системи на роботі (криміналістика та відновлення).
3. Сервер не є віртуальною машиною або контейнером, здатним зробити знімок із захопленням вмісту пам'яті серверів.
4. Ви вирішите не намагатися притягнути до кримінальної відповідальності.
5. Ви підозрюєте, що зловмисник може використовувати певну форму програмного забезпечення (можливо, складне), і це програмне забезпечення все ще працює на сервері.

Якщо ви зіткнулися з APT, то найкращим варіантом буде встановити медовий горщик і ретельно дослідити весь трафік, який потрапляє в нього і виходить, крім моніторингу сервера.

Міра проходження пам’яті настільки дорога з точки зору часу і зусиль, що зазвичай не варто, якщо ви не пробували будь-який інший метод, і якщо ви визначите, що це варто, то, як правило, найкраще налаштувати медовий горщик, який дозволяє вам легко скинути пам'ять та стан системи на іншій машині на льоту, так що ви можете робити аналіз з меншою загрозою виявлення під час роботи машини.

У мене була одна ситуація, коли зловмисник зберігав все в пам’яті настільки, що, за винятком журналів, машина виглядала так, як її зображення колись вимикалось і знову включалося. Тоді вони б увірвалися і знову почали користуватися нею, оскільки вразливість все ще існувала - їм не потрібно було залишати для себе жодне заднє місце. Оцінка пам'яті могла б тут допомогти, але спостереження за трафіком було достатньо в цьому випадку для швидкого визначення вразливості.

Тому:

Єдина причина, щоб уникнути переривання живлення та оцінки офлайн-диску, - це якщо ви збираєтеся пережити біль ретельного аналізу пам’яті загрози, поки вона діє та працює. Якщо ви потрапили до місця, коли це необхідно, то немає жодної причини витягувати будь-яку вилку.

Якщо ви не робите аналіз пам’яті, найкраще ставити підключення шнура живлення - витягування Ethernet (або використання команди відключення) збирається лише попередньо повідомити програмне забезпечення програмного забезпечення зловмисника - що має значення періодично.

Тому:

Витягніть їх обох, якщо ви не робите аналіз пам’яті, і в цьому випадку не стягуйте жодного з них.

Криміналістична оперативна пам'ять (наприклад, / dev / shm) може бути корисною.

Але я вважаю за краще відключати кабель живлення (але спробуйте увійти в систему і rsync / proc прямо раніше).

Причини подачі кабелю живлення:

1. Коли ви робите криміналістику в зламаній системі, ви "переходите по всьому місці злочину"
2. Корінний комплект продовжує працювати - не так важко для зловмисників виконувати щось (наприклад, видалення системи) у події Network Link Down .

Кайл Ранкін дав приємну розмову з криміналістикою - там він рекомендує підтягнути кабель живлення.

Відключіть мережу. Зловмисник не може отримати будь-яку додаткову інформацію, якщо немає мережевого з'єднання. Дуже важко (читати: неможливо) робити будь-які криміналістики без влади.

У цей день і вік це може бути віртуальна машина, тому будь-який метод простий і навіть може бути віддалений. (Віртуальні машини, звичайно, також дають можливість використовувати знімки)

Я б запропонував відключити мережу як автоматичний перший крок, тому що це дає час задуматися про те, яким повинен бути наступний крок, чи цей наступний крок виймає шнур живлення чи щось інше. Якщо ви знаєте, що ваші корпоративні "процедури реагування на безпеку" не дозволять вам детально копати машину, тоді збереження вмісту оперативної пам'яті може бути не таким важливим.

Я б припустив, що будь-яким способом "відокремити жертву від гнітуючих" важливіше, ніж як, тому обидва підходи є дійсними. Я б не мав жодних проблем із витягненням пауеркода, давай так.

Це не те / або ситуація. Як правило, ви хочете зробити і те, і інше - ви хочете виконати певну криміналістику (скидання запущених процесів, прослуховування сокетів, файли в / tmp тощо) у системі, яку вилучили з мережі, а потім виконати діагностику, що залишилася, із безпечного середовище (тобто живий компакт-диск). Однак є ситуації, коли жоден підхід не є правильним, і вам потрібно подумати і зрозуміти, що це може бути у вашій організації.

Перш ніж щось робити, з’ясуйте, чи потрібно зберігати докази для можливого обвинувачення. Поводження з доказами - дуже складний предмет і не для слабко навчених. Після того, як ви відповіли на це, тоді навчена особа з комп'ютерної криміналістики може взяти його звідти.

Не потрібно вимикати сервер. Ви можете просто відключити підключення через прикордонний шлюз / маршрутизатор. Одного правила брандмауера буде достатньо, щоб відкинути будь-який поданий / отриманий пакет.

Відповідь багато в чому залежить від того, що ви маєте на увазі під «корінням». Затягування мережевого провідника зазвичай є хорошою ідеєю, частково, якщо ви вважаєте, що це активний нападник людини, який шукає конфіденційну інформацію.

На тягнути силу набагато важче відповісти. Якщо ви відчуваєте, що існує зловмисний код, який може охоплювати його сліди, зробіть це. Однак якщо ви відчуваєте, що в пам'яті можуть бути докази поломки, залиште її справною.

Загалом це залежить від того, чи маєте ви справу зі шкідливим кодом, незадоволеним персоналом чи особою, яка має на увазі конкретну ціль.

Якщо помиляєтесь на стороні обережності, витягніть живлення. Ви втратите невелику кількість потенційних доказів, але це може запобігти масовому видаленню інших доказів за допомогою автоматизованого коду.

- Знову ж таки, якщо ви відчуваєте, що машина зламана, і ви знаєте, що на ній немає чутливих даних, ви дуже впевнені в своїй мережевій безпеці в іншому місці і розумієте наслідки цього, можливо, отримаєте криміналістичну виправку якнайшвидше і подивіться, чи можете ви простежити або зрозуміти напад і піти звідти. Це, як правило, не дуже гарна ідея

Моя відповідь була перед редагуванням, з 5 припущеннями.
Моє припущення було, що якщо ваш сервер вкоренився, ви маєте справу з витонченим, націленим зловмисником, і що ви не можете знати, коли і звідки виникла атака. (Оскільки машина укорінена, явно ви не можете довіряти нічому, що вона вам каже. Однак, можливо, у вас є якась позашляхова інформація, наприклад, IDS ...)
Я припускав також, що у вас є інтерес до спілкування зі своїм нападником, а не просто махати руками. його геть, як набридлива муха. Якщо передбачуваний нападник - це сценарій малюка, це було б інакше. Я також припускав, що, оскільки зловмисник є цілеспрямованим та вдосконаленим, цілком ймовірно, що у них на власному апараті працює спеціальне програмне забезпечення, яке може реагувати на ваші дії на ньому ...

Ні.
Ознайомтеся з /security//q/181/33 , в будь-якому випадку це погана ідея.
Це як дати подарувати чорному лицарю пару пов'язок ... занадто мало, занадто пізно, це просто не допоможе багато.

Для всіх, хто вважає, що ця відповідь надто далеко, або просто недостатньо "безпечно" - вам потрібно усвідомити, що вже пізно .
Це вже не ваш сервер, навіть якщо ви повністю відключите його. Навіть якщо ви закриєте, запускайте всі свої аудіозаписи та будь-що інше - у вас це більше не є, вони це роблять.
Це якесь визначення "вкорінене".

Тепер, припускаючи, що вони ним володіють, і можуть приховати від вас свою власність, вам потрібно подумати - що ж буде відключати це від приходу? Тільки річ буде отримання ідеальної - оскільки вона по- , як і раніше буде корениться незалежно - це дозволити своєму противнику знати , що ти на них. Що просто ставить своїх охоронців, і змушує їх розпочати прибирання після себе (якщо вони цього ще не зробили), що просто знищить будь-яку надію криміналістів. Ви все ще не захищаєте цей сервер чи будь-які його дані. Як давно це було вкоренилися? Як би ти знав?

Що вам краще робити:

• Залиште сервер і працює ...
• Ізолюйте його від решти вашої внутрішньої мережі, інших серверів тощо - але найкраще підключити якесь моделювання, щоб воно виглядало підключеним.
• Спокійно запускайте криміналістику в режимі реального часу / мережу, запускайте сліди тощо.
• Спробуйте визначити ступінь та тривалість пошкодження (очевидно, це різне, якщо воно сталося 2 години тому або 2 місяці тому).
• Продовжуйте звідти… Тільки пом’якшивши фактичну шкоду, продовжуйте та очищуйте її.
• Звичайно, не забувайте досліджувати першопричини та застосовувати будь-які елементи контролю, щоб переконатися, що це більше не повториться ...

Переглянувши ваші припущення, виконайте і те, і інше. Використовуйте CD / DVD на носіях, щоб скинути поточний стан. Перш за все, ви хочете мати змогу визначити, як ви піддалися компромету. Ви також можете спробувати відновити дані користувача не на резервних зображеннях. Йо

Потім відновіть систему з останнього резервного носія, який не забруднений. Перевірте це за допомогою контрольних сум, якщо можливо. Крім того, перевстановіть програмне забезпечення з інсталяційного носія та переконфігуруйте. Реконфігурація повинна бути автоматичною, якщо ви використовували Puppet або cfEngine для налаштування вашого сервера.

Перезавантажте дані користувачів та скануйте компоненти кореневого набору. Переконайтесь, що у каталогах даних немає встановлених або встановлених програм.

Визначте та закрийте метод доступу, який використовується для зараження системи. Етапна реактивація сервера, що дозволяє час перевірити, чи працює програма, як очікувалося. Уважно стежте за новими спробами зараження.

Це припускає, що зараження знаходиться на кореневому рівні. Інфекції в Інтернеті можна зробити, змінивши код, керований веб-сервером. Дозволити веб-серверу запису доступу до свого коду може зробити це простіше. Ви все ще можете поставитися до цього випадку так, ніби кореневий обліковий запис було порушено.

Якщо в одній системі було порушено корінь в одній системі, можливо, у вас є більшість систем. Уважно розгляньте, до яких систем можна отримати доступ без пароля від зараженої системи.