420 likes | 555 Views
Hva gjøres av sikkerhetsarbeid på USIT?. Elisabeth Høidal Strøm Usit/sas/os. Hva gjør vi?. Daily – maskinene rapporterer fra innsiden Scanorama – maskinene scannes fra utsiden Labrea – honeypot (Synderlister – legger ut lister av og til over DCOM-sårbare maskiner). Usit-daily.
E N D
Hva gjøres av sikkerhetsarbeid på USIT? Elisabeth Høidal Strøm Usit/sas/os
Hva gjør vi? • Daily – maskinene rapporterer fra innsiden • Scanorama – maskinene scannes fra utsiden • Labrea – honeypot • (Synderlister – legger ut lister av og til over DCOM-sårbare maskiner)
Hva er Usit-daily? (1) • Script som kjøres hver natt mellom 0000-0600. • Maskinene rapporterer selv fra ”innsiden”. • Skal kjøre på alle maskiner i domenet. • Krav at alle maskiner er i domenet. • Tidligere todelt bruksområde: • patche – utgår (unntak, W2K pre SP3) • Logge og rapportere nyttig informasjon fra maskinene.
Hva er usit-daily (2): • Fra daily kjøres et loggescript som henter ut diverse informasjon fra maskinen. • Resultatet lagres i en lokal fil på maskinen: C:\etc\daily\logs\<maskinnavn>.log • Resultatet kopieres over til en sentral server (serimne). • Filene skrives over for hver gang usit-daily kjører. • Rapportscript generer rapport ut fra loggfilene og sender daglige raporterer til pcadm, om mistenkelige ting på en maskinen. • Utvidet rapportscript kan nå sende mail til lita.
Hensikt: • Oversikt -lettere å holde kontroll på maskinene i domenet -lette opprydning for oss og lita (dnsnavn, maskiner utenfor domenet, osv..) • Sikkerhet -ta tak i hacking/virus/orm-incidenter, fange opp maskiner som tas på samme måte. -patchestatus
Hva logges? (1) • OS-informasjon (versjon,type,språk,sp,patcher) • Patchestatus (hfnetchk) • F-secure versjon • F-secure sist oppdatert • IP-konfigurasjonen • Diverse info, bla patcher (srvinfo) • Diskbruk • Shares på maskinen • Porter som maskinen lytter til/har åpne: (Netstat og fport)
Hva logges? (2) • Servicer som er startet • Servicer som er installert (psservice) • Prosesser som går og path de kjøres fra (tlist) • Medlemmer av administratorgruppen • Informasjon om "guestaccount”, om den er ”active” • Medlemmer av guestgruppen • Profiler på maskinen (de som har være innlogget)
Hva logges? (3) • Om maskinen er installert med mkdisk, xp-løsningen eller annet • Lokale innlogginger • Feilaktige administratorinnlogginger (mer enn 5 på rad) • Søk etter en rekke "mistenkelige filer" finnes på maskinen. Typisk signaturfiler fra kjente hackerangrep og hackerverktøy. • innholdet i win.ini og boot.ini
Hva logges? (4) • subnøkler og verdier fra winlogon i registry • subnøkler og verdier fra run i registry • subnøkler og verdier fra runonce i registry • subnøkler og verdier fra startup i registry
Hvordan installere usit-daily? • Automatisk via domene (for W2K og XP) =>boot av maskin = installasjon av usit-daily • (Manuelt: \\wsh\us$\pc-daily\install-daily.bat )
Nytt: dailylight • Kortversjon av daily: -OS-informasjon -patchestatus med hfnetchk -f-secure-versjon -f-secure sist oppdatert -sist kjørt daily • Kjører på startup av maskin dersom hoveddaily ikke har kjørt siste døgnet. • Skriver resultat til sentral server (serimne)
Hensikt med dailylight • Kan kjøre ”on demand” ved behov • Fange opp maskiner som blir skrudd av om natten • Rapportdelen av daily bruker lightloggen dersom denne er nyest.
Daily-rapport • Har en liste over OU’er med tilhørende e-postadresser og hva som skal sendes i hver rapport. • Henter liste over maskiner fra AD • Leser daily-loggene på serimne • Lager rapport • Sender e-post og lagrer rapporten og en fullstendig rapport lokalt
Header • ####################################### • Rapport fra USIT-daily • Wed Sep 24 10:59:53 2003 • USIT • LDAP://OU=usit,DC=uio,DC=no • Kontakt: pc-core@usit.uio.no • #######################################
Diverse tall 1 • ####################################### • Diverse tall fra daily • ####################################### • Windows 2000 Servere: 43 • Windows 2003 Servere: 11 • Windows 2000: 14 • Windows XP: 90 • Windows 2000 som mangler SP3: 0 • Windows XP som mangler SP1: 0 • Ukjent OS: 0 • Windows 2000 tjener/arbeidsstasjon: 0 • Maskiner med semreg-image: 0 • Bruker USITs XP-image: 69
Diverse tall 2 • Maskiner som mangler Office-update-patcher: 21 • Maskiner som mangler viktige patcher: 10 • Maskiner totalt i dette OU'et: 240 • Maskiner som har daily-rapport: 160 • Maskiner som ikke har daily-rapport siste uke og ikke aktiv: 27 • Maskiner som ikke har daily-rapport, men aktiv i domenet: 53 • Maskiner som hvor nyeste daily er 7 dager eller eldre: 0 • Maskiner som har kjørt daily i dag: 153 • Maskiner som har kjørt daily siste uke: 156 • Maskiner som kun har light-versjon av daily-rapport: 5 • Maskiner med mistenkelige filer: 7
Diverse tall 3 • Maskiner som har hatt lokale innlogginger: 1 • Maskiner som har guestaccount active: 0 • Maskiner hvor guest er med i admingruppe: 0 • Maskiner som har hatt mer enn 5 lokale administratorinnlogginer: 0 • DNS stemmer ikke med maskinnavn: 8 • DNS stemmer ikke med maskinnavn (og er ikke dhcp): 2 • Maskiner med ikke-engelsk windows: 0 • Maskiner som brukte for lang tid på eklefilerleting: 26 • Maskiner som gjør rare ting under eklefilersjekk: 0 • Maskiner laget med mkdisk: 0
Ekle filer • ############################################### • Maskiner med mistenkelige filer • ############################################### • EKKEL (129.240.255.666) har følgende mistenkelige filer: • sfind.exe: Found in (c:/tools/) • sfind.exe: Found in (c:/recycler/S-1-5-21-4146745624-1268266741-2650905777-1030/COM1/a/) • svchost.exe: Found in specified dir (c:/winnt/system32/wins)
DNS og maskinnavn • ####################################### • DNS stemmer ikke med maskinnavn (og er ikke dhcp) • ####################################### • DNSnavn: liseberg Maskinnavn: EXCALIBUR IP: 129.240.12.34 • DNSnavn: <ikke dnsnavn> Maskinnavn: WAKE IP:
Servere • ############################################### • Windows 2000 Servere • ############################################### • ACS (129.240.11.201) med SP4 • ALGOL (129.240.130.86) med SP4 • ARSENIKK (129.240.13.200) med SP4 • CUBUS (129.240.130.69) med SP4 • UFF (129.240.255.666) med SP3
Ikke daily, aktiv i domenet • ############################################### • Maskiner som ikke har ny daily-rapport, men aktiv i domenet siste uke • ############################################### • FYSJ Sist i domenet: Wed Sep 24 14:52:59 2003 • URK Sist i domenet: Wed Sep 24 11:43:33 2003 • FEIL Sist i domenet: Wed Sep 24 14:53:17 2003 • MYSTISK Sist i domenet: Wed Sep 24 08:11:00 2003
Ikke daily, ikke aktiv i domenet • ############################################### • Maskiner som ikke har daily-rapport og ikke aktiv i domenet siste uke • ############################################### • ATTILA-VM Sist i domenet: Fri Aug 29 14:53:25 2003 • BAALZ Sist i domenet: Mon Aug 11 20:01:48 2003 • bastard Sist i domenet: Aldri
Patcher som mangler (1) • #################################################### • Maskiner som mangler viktige patcher • Følgende patcher blir ikke rapportert: • Q828750: Problemer med installering av patch (XP) • Q330944: Problemer med installering av patch (XP) • Q329419: Mange falske positive på W2K SP4 • #################################################### • Upatchetpc1: • WINDOWS XP PROFESSIONAL SP1: Q324096 • Upatchetpc2: • WINDOWS MEDIA PLAYER 7.0 GOLD: Q287045 • Upatchetpc3: • WINDOWS 2000 PROFESSIONAL SP3: Q296441 Q814078 Q823559
Patcher som mangler (2) • ############################################### • Maskiner som mangler Office-update-patcher • ############################################### • UPATCHETPC1 ( • OFFICE 2000 GOLD: Q256167 • EXCEL 2000 GOLD: Q241901 • UPATCHETPC1 ( • OFFICE 2000 SP3: Q824993 Q822035 • WORD 2000 SP3: Q824936
Hva må til for å få rapport? • Alle maskiner må ligge i et fornuftig OU. • Flere OU’er går greit. • Maskiner i noDNS eller Computers er ikke greit • Gi beskjed om hvilken driftsliste rapporten skal gå til og hvilke OU’er det gjelder. • Alle maskiner skal være i domenet, alle maskiner i domenet skal kjøre daily.
Feilsøking / kjente feil • Spørsmål: Hvorfor blir ikke maskinen patchet? • Svar: Daily patcher ikke, med unntak av Windows 2000 før service pack 3.
Feilsøking / kjente feil • Spørsmål: Maskinen er patchet, men daily hevder den mangler viktige patcher. Hvorfor? • Svar: • Windows Update sjekker ikke office-patcher. • Hfnetchk gir rare resultater på noen maskiner. Vi jobber med å finne en løsning på problemet.
Feilsøking / kjente feil • Spørsmål: Maskinen har daily og at-jobb installert, men dukker ikke opp i rapportene. Hvorfor? • Svar: Klonede maskiner får problemer med rettigheter for kjøring av daily-jobben. Foreløpig må dette rettes opp maunelt ved å slette c:\etc\daily og at-jobben, slik at daily reinstalleres ved boot.
Feilsøking / kjente feil • Spørsmål: Daily er ikke installert, maskinen har ikke at-jobb og ingenting blir installert ved oppstart. • Svar: Daily trenger skrivetilgang for å virke. Sjekk at SYSYEM har skrivetilgang i c:\etc-mappen.
Feilsøking / kjente feil • Spørsmål: Jeg har satt maskinen til ikke å boote med ”noboot.txt”. Men den booter av og til om natten likevel. Hvorfor? • Svar: Noboot.txt gjelder ikke lenger. Den er fra da daily patchet. Nå patches det via windows update og noen av patchene trenger reboot av maskinen. Det er dessverre ingen måte å skille ut at noen maskiner ikke skal bootes på denne måten.
Feilsøking / kjente feil • Spørsmål: Maskinen kjører daily og har loggfil lokalt, men dukker ikke opp i rapportene. Hvorfor? • Svar: Sjekk at daily får kjøre ferdig. På slutten av loggfilen at det står når daily avsluttet. Hvis andre at-jobber kjører om natten og f.eks shutter ned maskinen vil dette avbryte dailykjøringen og dermed ikke avlevere rapport til serimne.
Flere ting… • Daily er under utvikling (og kommer alltid til å være det…) • Det er litt barnesykdommer ennå.. • Hvis noe virker galt, er det sannsynligvis det – gi oss beskjed • Hvis du det er noe du savner – gi oss beskjed • Webrapporter? • Dokumentasjonen på web er under oppdatering.. • Jobber med et vektesystem for maskiner det bør taes tak i.
Scannorama • Er et system for portscanning. • Rapporterer fra maskinene slik de ser ut fra ”utsiden”. • Hovedtanke: Skann etter evne, søk etter behov • Er foreløpig i test-drift
Bakgrunn • Ønsker å se etter sårbare tjenester eller indikasjoner på kompromitterte maskiner. • Normal skanning etter kjente bakdører gir ofte mange falske positive treff på ikkerelevante maskiner. • Ofte ute etter å finne kombinasjoner av parametre. (f.eks kombinasjoner av porter eller kombinasjoner av operativsystem og åpne porter) • Korrelering av data fra forskjellige kilder gir større muligheter til å finne interessante data ute å drukne i store mengder uinteressant informasjon.
Systemet • Skanneren – nmap står for portscanningen og lagrer resultatene i XML-format. • Pingskann: For å registrere maskinene I databasen • Standardskann: Etter kjente porter/tjenester/bakdører/skumle ting/med mer • OS-skann: Forsøk på å gjette OS’et til maskinen • Bannergrabbing - Netcat, HEAD og dig, brukes for å kontakte porter og finne ut tjenester som kjører på dem. • Databasen - PostgreSQL brukes foreløpig ikke så mye. Tenk å tas i bruk når systemet vokser. (Ta vare på historikk og varsle endringer)
Planlagte utvidelser: • Web-grensesnitt for rapporter • Automatisering av mail til maskin-ansvarlige • Historikk og baseline-sjekking • Automatisk mailrapportering • Sjekk av MAC-adresse (data fra IP-Watch) • Klareringsfunksjon som forteller systemet hvordan en maskin skal se ut.
LaBrea (honeypot) • Svarer på alle porter på 2 hele subnett. • Både TCP og UDP. • Er på et av de tidlige (lave subnettene). • Tar laaang tid å portskanne. • Leverer logger og mailrapport videre (spesielt fokus på portskann fra UiO maskiner). • Påsikt skal det logges til dshield.org