Как вы ищете бэкдоры от предыдущего айтишника?

Мы все знаем, что это происходит. Горький старый ИТ-парень оставляет черный ход в системе и сети, чтобы повеселиться с новыми парнями и показать компании, как плохо без него.

Я никогда не испытывал это лично. Самое большее, что я испытал, это кто-то, кто сломал и украл вещи прямо перед отъездом. Я уверен, что это происходит, хотя.

Итак, когда вы захватываете сеть, которой нельзя полностью доверять, какие шаги следует предпринять, чтобы все было в безопасности?

Это действительно очень сложно. Это требует очень полной проверки. Если вы абсолютно уверены, что старик оставил что-то позади, что приведет к буму или потребует их повторного найма, потому что они единственные, кто может потушить пожар, тогда пришло время предположить, что вы были укоренились враждебная вечеринка. Относитесь к этому, как будто пришла группа хакеров и украла вещи, и вы должны убраться после их беспорядка. Потому что это то, что есть.

• Аудит каждой учетной записи в каждой системе, чтобы убедиться, что она связана с определенной сущностью.
  • С учетными записями, которые кажутся связанными с системами, но никто не может их учитывать, нельзя доверять.
  • Аккаунты, которые ни с чем не связаны, необходимо удалить (это нужно сделать в любом случае, но в этом случае это особенно важно)
• Измените все пароли, с которыми они могли вступить в контакт.
  • Это может быть реальной проблемой для служебных учетных записей, поскольку эти пароли, как правило, жестко запрограммированы.
  • Если они были сотрудниками службы поддержки, отвечающими на звонки конечных пользователей, предположим, что у них есть пароль любого, кому они помогали.
  • Если у них есть Enterprise Admin или Domain Admin в Active Directory, предположим, что они взяли копию хэшей паролей перед тем, как уйти. Теперь их можно взломать так быстро, что в течение нескольких дней потребуется смена пароля для всей компании.
  • Если у них был root-доступ к любым * nix-системам, предположим, что они ушли с хэшами паролей.
  • Просмотрите все использование SSH-ключей с открытыми ключами, чтобы убедиться, что их ключи очищены, и проверьте, были ли открыты какие-либо закрытые ключи во время работы.
  • Если у них был доступ к любому устройству связи, измените все пароли маршрутизатора / коммутатора / шлюза / УАТС. Это может быть действительно королевской болью, поскольку это может повлечь за собой значительные перебои.
• Полностью проверьте ваши меры безопасности периметра.
  • Убедитесь, что все дыры в брандмауэре связаны с известными авторизованными устройствами и портами.
  • Убедитесь, что все методы удаленного доступа (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail и т. Д.) Не имеют дополнительной аутентификации, и полностью проверьте их на наличие методов неавторизованного доступа.
  • Убедитесь, что удаленные каналы глобальной сети отслеживают полностью занятых людей, и проверьте это. Особенно беспроводные соединения. Вы не хотите, чтобы они уходили с платным сотовым модемом или смартфоном. Свяжитесь со всеми такими пользователями, чтобы убедиться, что они имеют правильное устройство.
• Полностью проверять внутренние механизмы привилегированного доступа. Это такие вещи, как доступ по SSH / VNC / RDP / DRAC / iLO / IMPI к серверам, которых нет у обычных пользователей, или любой доступ к чувствительным системам, таким как начисление заработной платы.
• Работайте со всеми внешними поставщиками и поставщиками услуг, чтобы убедиться в правильности контактов.
  • Убедитесь, что они исключены из всех списков контактов и услуг. Это должно быть сделано в любом случае после любого вылета, но сейчас это очень важно.
  • Подтвердите, что все контакты являются законными и имеют правильную контактную информацию, это чтобы найти призраков, которых можно выдать за себя.
• Начните охоту на логические бомбы.
  • Проверьте все средства автоматизации (планировщики задач, задания cron, списки вызовов ИБП или все, что запускается по расписанию или инициируется событием) на наличие признаков зла. «Все» я имею в виду все. Проверьте каждый crontab. Проверьте каждое автоматическое действие в вашей системе мониторинга, включая сами датчики. Проверьте каждый планировщик задач Windows; даже рабочие станции. Если вы не работаете на правительство в очень чувствительной области, вы не сможете позволить себе «все», делайте как можно больше.
  • Проверьте ключевые двоичные файлы системы на каждом сервере, чтобы убедиться, что они являются такими, какими они должны быть. Это сложно, особенно в Windows, и почти невозможно сделать задним числом в одноразовых системах.
  • Начните охоту за руткитами. По определению их трудно найти, но для этого есть сканеры.

Нелегко, даже отдаленно близко. Обоснование расходов на все это может быть очень трудным без определенного доказательства того, что бывший администратор действительно был злом. Все вышеперечисленное невозможно даже выполнить с активами компании, что потребует найма консультантов по безопасности для выполнения некоторых из этих работ.

Если фактическое зло обнаружено, особенно если зло в каком-то программном обеспечении, обученные специалисты по безопасности являются лучшими для определения масштабов проблемы. Это также тот момент, когда может быть начато уголовное дело, и вы действительно хотите, чтобы люди, обученные работе с доказательствами, проводили этот анализ.

Но на самом деле, как далеко вы должны идти? Это где управление рисками вступает в игру. Проще говоря, это метод балансирования ожидаемого риска с убытком. Сисадмины делают это, когда мы решаем, в каком расположении вне сайта мы хотим разместить резервные копии; банковский сейф и центр обработки данных вне региона. Выяснение того, какой части этого списка необходимо следовать, является упражнением в управлении рисками.

В этом случае оценка начнется с нескольких вещей:

• Ожидаемый уровень мастерства усопших
• Доступ усопших
• Ожидание, что зло было сделано
• Потенциальный ущерб от любого зла
• Нормативные требования в отношении сообщения о совершенном зле, а также о заранее обнаруженном зле. Как правило, вы должны сообщить о первом, но не позднее.

Решение о том, как далеко внизу кроличья нора будет погружаться, будет зависеть от ответов на эти вопросы. Для обычных отправлений администратора, где ожидание зла очень мало, полный цирк не требуется; Изменение паролей уровня администратора и повторный ввод любых внешних SSH-хостов, вероятно, достаточно. Опять же, корпоративная позиция управления рисками определяет это.

Для администраторов, которые были уволены по причине, или зло возникло после их в противном случае нормального отъезда, цирк становится более необходимым. В худшем случае это параноидальный тип BOFH, который был уведомлен о том, что их позиция будет сокращена через 2 недели, поскольку это дает им достаточно времени для подготовки; в подобных обстоятельствах идея Кайла о щедрых выходных пособиях может смягчить все виды проблем. Даже параноики могут простить много грехов после того, как прибыл чек с оплатой за 4 месяца. Эта проверка, вероятно, будет стоить меньше, чем стоимость консультантов по безопасности, необходимых для выявления их зла.

Но, в конечном счете, все сводится к стоимости определения того, было ли совершено зло, и к потенциальной стоимости любого фактического зла.

Я бы сказал, что это баланс того, сколько у вас беспокойства против денег, которые вы готовы заплатить.

Очень обеспокоен:
Если вы очень обеспокоены, тогда вы можете нанять внешнего консультанта по безопасности, чтобы выполнить полное сканирование всего с внешней и внутренней точки зрения. Если этот человек был особенно умен, у вас могут быть проблемы, у него может быть что-то, что какое-то время будет бездействующим. Другой вариант - просто восстановить все. Это может звучать очень чрезмерно, но вы хорошо изучите окружающую среду и также создадите проект аварийного восстановления.

Мягко обеспокоен:
Если вы только слегка обеспокоены, вы можете просто захотеть сделать:

• Сканирование порта снаружи.
• Проверка на вирусы и шпионское ПО. Rootkit Scan для машин Linux.
• Посмотрите конфигурацию брандмауэра на предмет чего-то, что вы не понимаете.
• Измените все пароли и найдите неизвестные учетные записи (убедитесь, что они не активировали кого-то, кто больше не работает в компании, чтобы они могли использовать его и т. Д.).
• Это также может быть хорошее время для установки системы обнаружения вторжений (IDS).
• Смотрите журналы более внимательно, чем обычно.

На будущее:
если вы уйдете администратором, подайте ему хорошую вечеринку, а когда он пьяный, просто предложите ему поехать домой, а затем выбросьте его в ближайшую реку, болото или озеро. А если серьезно, это одна из веских причин, чтобы дать администраторам щедрое выходное пособие. Вы хотите, чтобы они чувствовали себя хорошо, оставляя как можно больше. Даже если они не хотят чувствовать себя хорошо, кого это волнует? Смирись с этим и сделай их счастливыми. Притворись, что это твоя вина, а не их. Стоимость увеличения расходов на страхование по безработице и выходное пособие не сравнить с ущербом, который они могут нанести. Это все о пути наименьшего сопротивления и создании как можно меньшей драмы.

Не забывайте, как Teamviewer, LogmeIn и т. Д. Я знаю, что это уже упоминалось, но не повредит программный аудит (множество приложений) всех серверов / рабочих станций, включая сканирование подсетей с помощью nmap. NSE скрипты.

Перво-наперво - получите резервную копию всего, что находится на внешнем хранилище (например, лента или жесткий диск, который вы отключили и поместили в хранилище). Таким образом, если произойдет что-то вредоносное, вы сможете немного восстановиться.

Затем прочесайте правила брандмауэра. Все подозрительные открытые порты должны быть закрыты. Если есть задняя дверь, то предотвращение доступа к ней было бы хорошо.

Учетные записи пользователей - найдите своего недовольного пользователя и убедитесь, что его доступ удален как можно скорее. Если есть ключи SSH или файлы / etc / passwd, или записи LDAP, даже файлы .htaccess, все они должны быть проверены.

На ваших важных серверах ищите приложения и активные порты прослушивания. Убедитесь, что запущенные процессы, связанные с ними, кажутся разумными.

В конечном счете решительный недовольный сотрудник может делать все что угодно - в конце концов, он знает все внутренние системы. Можно надеяться, что у них есть целостность, чтобы не предпринимать негативных действий.

Хорошо функционирующая инфраструктура будет иметь инструменты, мониторинг и средства контроля, чтобы в значительной степени предотвратить это. Они включают:

• Правильная сегментация сети и межсетевой экран
• IDS на основе хоста
• Сетевые IDS
• Центральная регистрация
• Контроль доступа
• Смени управление

Если эти инструменты установлены правильно, у вас будет контрольный журнал. В противном случае вам придется выполнить полный тест на проникновение .

Первым шагом будет проверка всего доступа и изменение всех паролей. Сосредоточьтесь на внешнем доступе и потенциальных точках входа - именно здесь лучше всего проводить время. Если внешний след не оправдан, устраните его или уменьшите. Это позволит вам сосредоточиться на более подробных деталях. Также учитывайте весь исходящий трафик, поскольку программные решения могут передавать ограниченные данные извне.

В конечном итоге, будучи системным администратором и сетевым администратором, вы получите полный доступ к большинству, если не ко всем вещам. С этим приходит высокая степень ответственности. Найм с таким уровнем ответственности не следует воспринимать легкомысленно, и следует предпринять шаги, чтобы минимизировать риск с самого начала. Если профессионал будет нанят, даже если уйдет в плохих отношениях, он не будет предпринимать действий, которые были бы непрофессиональными или незаконными.

Существует много подробных сообщений о сбое сервера, которые касаются надлежащего аудита системы для обеспечения безопасности, а также того, что делать в случае чьего-либо завершения. Эта ситуация не уникальна из тех.

Умный BOFH может сделать любое из следующего:

1. Периодическая программа, которая инициирует исходящее соединение netcat через хорошо известный порт для получения команд. Например, порт 80. Если все сделано правильно, трафик туда и обратно будет выглядеть как трафик для этого порта. Таким образом, если на порту 80, он будет иметь заголовки HTTP, а полезная нагрузка будет фрагменты, встроенные в изображения.

2. Апериодическая команда, которая ищет в определенных местах файлы для выполнения. Места могут находиться на компьютерах пользователей, сетевых компьютерах, дополнительных таблицах в базах данных, временных каталогах файлов спула.

3. Программы, которые проверяют наличие одного или нескольких бэкдоров. Если это не так, то вариант на нем установлен, и детали отправлены в BOFH

4. Поскольку в настоящее время создание резервных копий выполняется с помощью дисков, измените их, чтобы они содержали хотя бы некоторые из ваших корневых комплектов.

Способы защиты от подобных вещей:

1. Когда сотрудник класса BOFH уходит, установите новую коробку в DMZ. Он получает копию всего трафика, проходящего через брандмауэр. Ищите аномалии в этом трафике. Последнее нетривиально, особенно если BOFH хорошо имитирует нормальные модели трафика.

2. Восстановите ваши серверы, чтобы критические двоичные файлы были сохранены на носителе только для чтения. То есть, если вы хотите изменить / bin / ps, вам нужно перейти на компьютер, физически переместить переключатель с RO на RW, перезагрузить одного пользователя, перемонтировать этот раздел rw, установить новую копию ps, sync, reboot, Переключить переключатель. Система, выполненная таким образом, имеет по крайней мере несколько доверенных программ и доверенное ядро ​​для дальнейшей работы.

Конечно, если вы используете Windows, вы шланг.

3. Разделите вашу инфраструктуру. Не подходит для малых и средних фирм.

Способы предотвращения такого рода вещей.

1. Ветеринары заявителей тщательно.

2. Выясните, не возмущены ли эти люди, и заранее решите кадровые проблемы.

3. Когда вы увольняете администратора с такими полномочиями, подсластите пирог:

   а. Его заработная плата или часть его заработной платы продолжается в течение некоторого периода времени или до тех пор, пока не произойдет существенное изменение в поведении системы, которое не объясняется ИТ-персоналом. Это может быть экспоненциальный спад. Например , он получает полную оплату в течение 6 месяцев, 80% того , что в течение 6 месяцев, 80 процентов от , что в течение следующих 6 месяцев.

   б. Часть его вознаграждения выплачивается в виде опционов на акции, которые не вступают в силу в течение одного-пяти лет после его ухода. Эти параметры не удаляются, когда он уходит. У него есть стимул, чтобы убедиться, что компания будет работать хорошо через 5 лет.

Меня поражает, что проблема существует еще до того, как админ уходит. Просто в тот момент больше замечают проблему.

-> Нужен процесс для проверки каждого изменения, и часть процесса заключается в том, что изменения применяются только через него.

Обязательно сообщите всем в компании, как только они ушли. Это устранит вектор атаки социальной инженерии. Если компания большая, то убедитесь, что люди, которые должны знать, знают.

Если администратор также отвечал за написанный код (корпоративный веб-сайт и т. Д.), То вам также необходимо будет провести аудит кода.

Есть большой, который все не учли.

Помните, что существуют не только системы.

• Знают ли продавцы, что этот человек не работает, и ему не должен быть разрешен доступ (colo, telco)
• Существуют ли какие-либо внешние сервисы, которые могут иметь отдельные пароли (exchange, crm)
• Могут ли они в любом случае иметь материал для шантажа (хорошо, это начинает немного доходить ...)

Если вы действительно не параноик, то я предлагаю просто запустить несколько инструментов сканирования TCP / IP (tcpview, wireshark и т. Д.), Чтобы увидеть, есть ли подозрительные попытки связаться с внешним миром.

Измените пароли администратора и убедитесь, что нет никаких «дополнительных» учетных записей администратора, которые не должны быть там.

Кроме того, не забудьте изменить пароли беспроводного доступа и проверить настройки программного обеспечения безопасности (в частности, AV и брандмауэр).

Проверьте журналы на своих серверах (и компьютерах, на которых они непосредственно работают). Ищите не только их учетные записи, но и учетные записи, которые не известны администраторам. Ищите дыры в ваших журналах. Если журнал событий был недавно очищен на сервере, это подозрительно.

Проверьте дату изменения файлов на ваших веб-серверах. Запустите быстрый скрипт, чтобы получить список всех недавно измененных файлов и просмотреть их.

Проверьте дату последнего обновления всех ваших групповых политик и пользовательских объектов в AD.

Убедитесь, что все ваши резервные копии работают, а существующие резервные копии все еще существуют.

Проверьте серверы, на которых запущены службы Volume Shadow Copy, на предмет отсутствия предыдущей истории.

Я уже видел много хороших вещей в списке и просто хотел добавить эти другие вещи, которые вы можете быстро проверить. Стоило бы сделать полный обзор всего. Но начните с мест с самыми последними изменениями. Некоторые из этих вещей могут быть быстро проверены и могут поднять некоторые ранние красные флаги, чтобы помочь вам.

По сути, я бы сказал, что если у вас есть компетентный BOFH, вы обречены ... есть множество способов установки бомб, которые были бы незамечены. И если ваша компания используется для выведения «военных» тех, кто уволен, будьте уверены, что бомба будет заложена хорошо до увольнения !!!

Лучший способ - минимизировать риски, связанные с гневным администратором ... Избегайте «увольнения из-за сокращения расходов» (если он компетентный и злобный BOFH, потери, которые вы можете понести, вероятно, будут намного больше, чем вы получите от увольнение) ... Если он допустил какую-то недопустимую ошибку, лучше сделать так, чтобы он исправил ее (не заплатив) в качестве альтернативы увольнению ... В следующий раз он будет более осмотрительным, чтобы не повторить ошибку (что будет увеличением в его ценности) ... Но не забудьте поразить хорошую цель (часто некомпетентные люди с хорошей харизмой отвергают свою собственную вину компетентной, но менее социальной).

И если вы сталкиваетесь с истинным BOFH в худшем смысле (и именно это поведение является причиной увольнения), вам лучше быть готовым переустановить с нуля всю систему, с которой он контактировал (что, вероятно, будет означать каждый компьютер).

Не забывайте, что одно-битное изменение может привести к разрушению всей системы ... (бит setuid, Перейти, если выполнить, если нет, ...) и что даже инструменты компиляции могут быть скомпрометированы.

Удачи, если он действительно что-то знает и что-то настраивает заранее. Даже дурак может позвонить / отправить по электронной почте / факсу телефонной компании с разъединениями или даже попросить их запустить полные тестовые схемы на каналах в течение дня.

Серьезно, проявление небольшой любви и нескольких великих при отъезде действительно уменьшает риск.

О, да, в случае, если они звонят, чтобы «получить пароль или что-то», напомните им о своем тарифе 1099 и о 1-минутном минимуме и 100 командировочных расходах на звонок независимо от того, где вы должны быть где-нибудь ...

Эй, это так же, как мой багаж! 1,2,3,4!

Я предлагаю вам начать с периметра. Проверьте настройки брандмауэра и убедитесь, что у вас нет непредвиденных точек входа в сеть. Убедитесь, что сеть физически защищена от повторного входа и получения доступа к любым компьютерам.

Убедитесь, что у вас есть полностью рабочие и восстанавливаемые резервные копии. Хорошие резервные копии не дадут вам потерять данные, если он сделает что-то разрушительное.

Проверка любых услуг, которые разрешены через периметр и убедитесь, что ему было отказано в доступе. Убедитесь, что в этих системах работают исправные механизмы ведения журналов.

Удалить все, начать заново;)

Сожги это .... сожги все это.

Это единственный способ быть уверенным.

Затем сожгите все ваши внешние интересы, регистраторы доменов, поставщики платежей по кредитным картам.

Подумав еще раз, возможно, проще попросить любого помощника по байке убедить человека, что для него более полезно не беспокоить вас.

Предположительно, компетентный администратор где-то по пути сделал то, что называется BACKUP конфигурации базовой системы. Также было бы безопасно предположить, что есть резервные копии, сделанные с некоторой разумной частотой, позволяющей восстановить известную безопасную резервную копию.

Учитывая , что некоторые вещи действительно меняются, это хорошая идея , чтобы работать с вашей резервной копии Виртуализованной , если это возможно , пока вы не убедитесь , что первичная установка не будет нарушена.

Предполагая, что худшее становится очевидным, вы объединяете то, что можете, и вручную вводите остаток.

Я в шоке, никто не упомянул использование безопасного резервного копирования, до меня. Означает ли это, что я должен отправить свое резюме в ваши отделы кадров?

Попробуйте принять его точку зрения.

Вы знаете свою систему и что она делает. Таким образом, вы можете попытаться представить, что можно изобрести для подключения извне, даже если вы больше не являетесь системным администратором ...

В зависимости от того, как работает сетевая инфраструктура и как все это работает, вы - лучший человек, который может знать, что делать и где это может находиться.

Но, как вы, кажется, говорите с опытным Bofh , вы должны искать везде ...

Отслеживание сети

Поскольку основной целью является получение удаленного контроля над вашей системой, через ваше интернет-соединение вы можете посмотреть (даже заменить, потому что это может быть повреждено тоже !!) брандмауэр и попытаться идентифицировать каждое активное соединение.

Замена брандмауэра не обеспечит полную защиту, но гарантирует, что ничего не осталось скрытым. Поэтому, если вы наблюдаете за пакетом, пересылаемым межсетевым экраном, вы должны видеть все, включая нежелательный трафик.

Вы можете использовать tcpdumpдля отслеживания всего (как US Paranoid делает;) и просматривать файл дампа с помощью расширенного инструмента, как wireshark. Потратьте немного времени, чтобы увидеть, что это за команда (нужно 100 ГБ свободного места на диске):

tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &

Не доверяй всему

Даже если вы найдете что-то, вы не будете уверены, что вы нашли что-то плохое!

Наконец, вы не будете молчать, пока не переустановите все (из надежных источников!)

Если вы не можете восстановить сервер, следующая лучшая вещь, вероятно, состоит в том, чтобы заблокировать ваши брандмауэры настолько, насколько вы можете. Следите за каждым возможным входящим соединением и убедитесь, что оно сведено к абсолютному минимуму.

Измените все пароли.

Заменить все ключи SSH.

Вообще это довольно сложно ...

но если это веб-сайт, посмотрите на код сразу за кнопкой входа в систему.

Однажды мы нашли вещь типа "if username = 'admin'" ...

По сути, сделайте знания предыдущих айтишников бесполезными.

Измените все, что вы можете изменить, не влияя на ИТ-инфраструктуру.

Смена или диверсификация поставщиков - еще одна хорошая практика.