Your SlideShare is downloading. ×
0
Анализ работы антивирусных лабораторий
Анализ работы антивирусных лабораторий
Анализ работы антивирусных лабораторий
Анализ работы антивирусных лабораторий
Анализ работы антивирусных лабораторий
Анализ работы антивирусных лабораторий
Анализ работы антивирусных лабораторий
Анализ работы антивирусных лабораторий
Анализ работы антивирусных лабораторий
Анализ работы антивирусных лабораторий
Анализ работы антивирусных лабораторий
Анализ работы антивирусных лабораторий
Анализ работы антивирусных лабораторий
Анализ работы антивирусных лабораторий
Анализ работы антивирусных лабораторий
Анализ работы антивирусных лабораторий
Анализ работы антивирусных лабораторий
Анализ работы антивирусных лабораторий
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Анализ работы антивирусных лабораторий

310

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
310
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
14
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. WHOAMI Markov Pavel: Found zero-day in Windows (execute arbitrary code by manipulating with folder settings) Just a developer Agievich Igor: Found vulnerability in Outpost Security Suite (2012), VirtualBox (2011), vBulletin (2005-2006) Not even a developer :)
  • 2. С чего всё началось Нашей командой создавалось корпоративное приложение для синхронизации данных с облаком
  • 3. Состав приложения Клиентское ПО. Его задача - синхронизировать данные (файлы, переписку) с облаком. Загружать обновления, логировать возникшие ошибки (сбор информации о системе, код ошибки и отправка на веб-сервер). Скрипты web-сервера. Задача – управлять потоком данных от клиентов, и так же логирование ошибок. Логирование ошибок включало в себя проверку корректности HTTP-запроса в соответствии с правилами и сохранение тела ошибочного запроса.
  • 4. Через некоторое время в логах сервера Remote IP: 109.74.154.83 User-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
  • 5. Пробиваем данные о подозрительном IP General Information Hostname 109-74-154-83.ptr.eset.com IP 109.74.154.83 Preferable MX a.mx.eset.com
  • 6. Другие записи логов Remote IP: 193.71.68.2 User-agent : Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.2.4) Gecko/20100513 Firefox/3.6.4 Nslookup nslookup 193.71.68.2 Non-authoritative answer: 2.68.71.193.in-addr.arpa name = norman.norman.no
  • 7. Следующий лог Remote IP: 150.70.172.108 User-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) HTTP_X_FORWARDED_FOR : 150.70.172.108 Делаем привычный запрос nslookup $ nslookup 150.70.172.108 Non-authoritative answer: 108.172.70.150.in-addr.arpa name = 150-70-172- 108.trendmicro.com
  • 8. И опять trendmicro Remote IP: 150.70.64.197 User-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) HTTP_X_FORWARDED_FOR : 150.70.64.197 Обратите внимание: в HTTP-запросах заполнены только поля User-agent. И, иногда, HTTP_ACCEPT или HTTP_ACCEPT_LANGUAGE. Чего маловато для настоящих браузеров.
  • 9. Что всё это значит?  Кто-то взломал сети антивирусников и использует их как прокси  Антивирус (или средство автоматического анализа сэмплов) логирует запросы подозрительного ПО к удаленным серверам На этом этапе наши идеи носят характер научного тыка и не сильно подкреплены доказательной базой. Но и история на этом не заканчивается.
  • 10. Логи ошибок от клиентского ПО Результаты выполнения команд: ipconfig,dir C:, dir D:, systeminfo, tasklist (для упрощения воссоздания окружения при отлове бага). Результат ipconfig с одного из клиентов: Ethernet adapter Local Area Connection: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter Physical Address. . . . . . . . . : 00-50-56-8E-01-10
  • 11. Результат dir C: с другого клиента Directory of c: 04/16/2010 12:25 0 AUTOEXEC.BAT 04/16/2010 12:25 0 CONFIG.SYS 04/16/2010 12:27 <DIR> Documents and Settings 04/12/2012 13:17 459,982 A0iYkCc.exe 04/16/2010 12:27 <DIR> Program Files 12/11/2011 13:02 <DIR> WINDOWS 3 File(s) 459,982 bytes 3 Dir(s) 8,396,890,112 bytes free
  • 12. Результат systeminfo Название ОС: Microsoft Windows XP Professional Версия ОС: 5.1.2600 Service Pack 3 Build 2600 Дата установки: 2010-4-29, 5:35:19 Изготовитель системы: Red Hat Модель системы: KVM Тип системы: X86-based PC Процессор(ы): [01]: x86 Family 6 Model 6 Stepping 3 AuthenticAMD ~2608 Mhz Версия BIOS: QEMU - 1
  • 13. Результат tasklist System Idle Process 0 Console 0 28 K Running NT AUTHORITYSYSTEM python.exe 1776 Console 0 4,412 K Running Admintrator pythonw.exe 1820 Console 0 6,352 K Running Admintrator hookanaapp.exe 1316 Console 0 5,048 K Running Admintrator
  • 14. Ещё из логов в тот же день Remote IP: 69.164.111.198 User-agent : Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; MDDC whois возвращает строчку OrgName: Sungard Network Solutions, Inc. Вот их сайт: http://www.sungard.com
  • 15. Неведома зверушка из Германии Remote IP: 91.20.15.86 User-agent : Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727) Из whois: person: Security Team remarks: * Hack Attacks, Illegal Activity, Violation, Scans, Probes, etc.
  • 16. С чего такой интерес со стороны АВ лабораторий? Функционал ПО, который может оказаться подозрительным: 1. Сбор информации о системе 2. Реализация удалённого обновления (download and exec — как зловред)
  • 17. Выводы 1. Антивирусные лаборатории используют различные среды виртуализации при автоматическом детектировании подозрительного ПО. Также совершают автоматический запрос к серверам управления прямо из своих сетей, без использования VPN/прокси. 2. HTTP-запросы делаются не настоящим браузером. Это всё может вовремя предупредить владельцев ботнета и привести к своевременному переводу работающей части бот-сети на другой сервер управления. 3. Некоторые антивирусные лаборатории передают информацию о подозрительном ПО каким-то сторонним организациям, вроде “Sungard Network Solutions”.
  • 18. Вопросы? twitter: @shanker_sec http://habrahabr.ru/users/shanker

×