WHOAMI
Markov Pavel:
Found zero-day in Windows (execute arbitrary
code by manipulating with folder settings)
Just a develo...
С чего всё началось
Нашей командой создавалось корпоративное приложение
для синхронизации данных с облаком
Состав приложения
Клиентское ПО. Его задача -
синхронизировать данные (файлы,
переписку) с облаком. Загружать
обновления, ...
Через некоторое время в логах
сервера
Remote IP: 109.74.154.83
User-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
...
Пробиваем данные о
подозрительном IP
General Information
Hostname
109-74-154-83.ptr.eset.com
IP
109.74.154.83
Preferable M...
Другие записи логов
Remote IP: 193.71.68.2
User-agent : Mozilla/5.0 (Windows; U; Windows NT 6.1; ru;
rv:1.9.2.4) Gecko/201...
Следующий лог
Remote IP: 150.70.172.108
User-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows
NT 5.1)
HTTP_X_FORWARDED_F...
И опять trendmicro
Remote IP: 150.70.64.197
User-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.1)
HTTP_X_FORWARD...
Что всё это значит?

Кто-то взломал сети антивирусников и использует их
как прокси

Антивирус (или средство автоматическ...
Логи ошибок от клиентского ПО
Результаты выполнения команд: ipconfig,dir C:, dir D:,
systeminfo, tasklist (для упрощения в...
Результат dir C: с другого
клиента
Directory of c:
04/16/2010 12:25 0 AUTOEXEC.BAT
04/16/2010 12:25 0 CONFIG.SYS
04/16/201...
Результат systeminfo
Название ОС: Microsoft Windows XP Professional
Версия ОС: 5.1.2600 Service Pack 3 Build 2600
Дата уст...
Результат tasklist
System Idle Process 0 Console 0 28 K
Running NT AUTHORITYSYSTEM
python.exe 1776 Console 0 4,412 K
Runni...
Ещё из логов в тот же день
Remote IP: 69.164.111.198
User-agent : Mozilla/4.0 (compatible; MSIE 8.0; Windows NT
6.1; WOW64...
Неведома зверушка из Германии
Remote IP: 91.20.15.86
User-agent : Mozilla/4.0 (compatible; MSIE 7.0; Windows NT
5.1; .NET ...
С чего такой интерес со стороны
АВ лабораторий?
Функционал ПО, который может оказаться
подозрительным:
1. Сбор информации ...
Выводы
1. Антивирусные лаборатории используют различные
среды виртуализации при автоматическом
детектировании подозрительн...
Вопросы?
twitter: @shanker_sec
http://habrahabr.ru/users/shanker
Upcoming SlideShare
Loading in …5
×

Анализ работы антивирусных лабораторий

666 views
585 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
666
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
16
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Анализ работы антивирусных лабораторий

  1. 1. WHOAMI Markov Pavel: Found zero-day in Windows (execute arbitrary code by manipulating with folder settings) Just a developer Agievich Igor: Found vulnerability in Outpost Security Suite (2012), VirtualBox (2011), vBulletin (2005-2006) Not even a developer :)
  2. 2. С чего всё началось Нашей командой создавалось корпоративное приложение для синхронизации данных с облаком
  3. 3. Состав приложения Клиентское ПО. Его задача - синхронизировать данные (файлы, переписку) с облаком. Загружать обновления, логировать возникшие ошибки (сбор информации о системе, код ошибки и отправка на веб-сервер). Скрипты web-сервера. Задача – управлять потоком данных от клиентов, и так же логирование ошибок. Логирование ошибок включало в себя проверку корректности HTTP-запроса в соответствии с правилами и сохранение тела ошибочного запроса.
  4. 4. Через некоторое время в логах сервера Remote IP: 109.74.154.83 User-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
  5. 5. Пробиваем данные о подозрительном IP General Information Hostname 109-74-154-83.ptr.eset.com IP 109.74.154.83 Preferable MX a.mx.eset.com
  6. 6. Другие записи логов Remote IP: 193.71.68.2 User-agent : Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.2.4) Gecko/20100513 Firefox/3.6.4 Nslookup nslookup 193.71.68.2 Non-authoritative answer: 2.68.71.193.in-addr.arpa name = norman.norman.no
  7. 7. Следующий лог Remote IP: 150.70.172.108 User-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) HTTP_X_FORWARDED_FOR : 150.70.172.108 Делаем привычный запрос nslookup $ nslookup 150.70.172.108 Non-authoritative answer: 108.172.70.150.in-addr.arpa name = 150-70-172- 108.trendmicro.com
  8. 8. И опять trendmicro Remote IP: 150.70.64.197 User-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) HTTP_X_FORWARDED_FOR : 150.70.64.197 Обратите внимание: в HTTP-запросах заполнены только поля User-agent. И, иногда, HTTP_ACCEPT или HTTP_ACCEPT_LANGUAGE. Чего маловато для настоящих браузеров.
  9. 9. Что всё это значит?  Кто-то взломал сети антивирусников и использует их как прокси  Антивирус (или средство автоматического анализа сэмплов) логирует запросы подозрительного ПО к удаленным серверам На этом этапе наши идеи носят характер научного тыка и не сильно подкреплены доказательной базой. Но и история на этом не заканчивается.
  10. 10. Логи ошибок от клиентского ПО Результаты выполнения команд: ipconfig,dir C:, dir D:, systeminfo, tasklist (для упрощения воссоздания окружения при отлове бага). Результат ipconfig с одного из клиентов: Ethernet adapter Local Area Connection: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter Physical Address. . . . . . . . . : 00-50-56-8E-01-10
  11. 11. Результат dir C: с другого клиента Directory of c: 04/16/2010 12:25 0 AUTOEXEC.BAT 04/16/2010 12:25 0 CONFIG.SYS 04/16/2010 12:27 <DIR> Documents and Settings 04/12/2012 13:17 459,982 A0iYkCc.exe 04/16/2010 12:27 <DIR> Program Files 12/11/2011 13:02 <DIR> WINDOWS 3 File(s) 459,982 bytes 3 Dir(s) 8,396,890,112 bytes free
  12. 12. Результат systeminfo Название ОС: Microsoft Windows XP Professional Версия ОС: 5.1.2600 Service Pack 3 Build 2600 Дата установки: 2010-4-29, 5:35:19 Изготовитель системы: Red Hat Модель системы: KVM Тип системы: X86-based PC Процессор(ы): [01]: x86 Family 6 Model 6 Stepping 3 AuthenticAMD ~2608 Mhz Версия BIOS: QEMU - 1
  13. 13. Результат tasklist System Idle Process 0 Console 0 28 K Running NT AUTHORITYSYSTEM python.exe 1776 Console 0 4,412 K Running Admintrator pythonw.exe 1820 Console 0 6,352 K Running Admintrator hookanaapp.exe 1316 Console 0 5,048 K Running Admintrator
  14. 14. Ещё из логов в тот же день Remote IP: 69.164.111.198 User-agent : Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; MDDC whois возвращает строчку OrgName: Sungard Network Solutions, Inc. Вот их сайт: http://www.sungard.com
  15. 15. Неведома зверушка из Германии Remote IP: 91.20.15.86 User-agent : Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727) Из whois: person: Security Team remarks: * Hack Attacks, Illegal Activity, Violation, Scans, Probes, etc.
  16. 16. С чего такой интерес со стороны АВ лабораторий? Функционал ПО, который может оказаться подозрительным: 1. Сбор информации о системе 2. Реализация удалённого обновления (download and exec — как зловред)
  17. 17. Выводы 1. Антивирусные лаборатории используют различные среды виртуализации при автоматическом детектировании подозрительного ПО. Также совершают автоматический запрос к серверам управления прямо из своих сетей, без использования VPN/прокси. 2. HTTP-запросы делаются не настоящим браузером. Это всё может вовремя предупредить владельцев ботнета и привести к своевременному переводу работающей части бот-сети на другой сервер управления. 3. Некоторые антивирусные лаборатории передают информацию о подозрительном ПО каким-то сторонним организациям, вроде “Sungard Network Solutions”.
  18. 18. Вопросы? twitter: @shanker_sec http://habrahabr.ru/users/shanker

×