ネットワークを引っ張るか、電源を入れますか？（ルートサーバーを設置するため）

11

サーバーがルート化された場合（~~たとえば、このような~~状況）、最初にすべきことの1つは封じ込めです。一部のセキュリティスペシャリストは、すぐに修正プログラムを入力せず、フォレンジックが完了するまでサーバーをオンラインに保つことを推奨します。これらのアドバイスは通常APT向けです。時々Script kiddieの違反があった場合は異なります。そのため、早めに修正（修正）することもできます。修復の手順の1つは、サーバーの封じ込めです。ロバート・モアの回答から引用-「被害者を強盗から切り離す」。

サーバーは、ネットワークケーブルまたは電源ケーブルを引っ張って収容できます。

どちらの方法が良いですか？

以下の必要性を考慮に入れる：

さらなる被害から被害者を守る
成功した法医学の実行
（おそらく）サーバー上の貴重なデータを保護する

編集：5つの仮定

想定：

早期に検出されました：24時間。
早期に回復したい：ジョブの1人のシステム管理者の3日間（フォレンジックと回復）。
サーバーは、サーバーメモリの内容をキャプチャするスナップショットを取得できる仮想マシンまたはコンテナーではありません。
起訴を試みないことにします。
攻撃者が何らかの形式のソフトウェア（おそらく高度な）を使用している可能性があり、このソフトウェアがサーバー上で実行されていると思われます。

rootkit security

— Aleksandr Levchuk
ソース

2

ここにも立ち寄りたいかもしれません：security.stackexchange.com

— sysadmin1138

私のサーバーがハッキングされた

— トム・オコナー

2

@Tom-それはだまされたものではなく、その質問からの特定のポイントの拡張議論です。

— mfinni

3

@ sysadmin1138、特にsecurity.stackexchange.com/q/181/33を

— AviD

ルート侵害後

— ジョンガーデニアーズ

6

APTに直面している場合、最善のオプションは、ハニーポットを設定し、サーバーの監視に加えて、ハニーポットを出入りするすべてのトラフィックを徹底的に調査することです。

メモリを通過する手段は時間と労力の点で非常に高価であるため、他のすべての方法を試した場合を除いて通常は価値がありません。メモリとシステムの状態をその場で別のマシンに送信するため、マシンの稼働中に検出される恐れが少なくなり、分析を実行できます。

ログを除いて、マシンの電源を一度切ってから入れ直したときに、攻撃者がすべてをメモリに保持するという状況がありました。脆弱性がまだ残っていたため、ハックバックして再び使用を開始しました。バックドアを自分で残す必要はありませんでした。ここではメモリ評価が役立ちますが、この場合、トラフィックを監視するだけで脆弱性をすばやく特定できます。

したがって：

電源を切ってオフラインのディスク評価を行わないようにする唯一の理由は、脅威が適切に動作している間にメモリの徹底的な分析を行うという苦痛を経験する場合です。これが必要なポイントに到達した場合、どちらのプラグを抜く必要もありません。

メモリ分析を行っていない場合は、電源プラグを抜くのが最善の策です-イーサネットを抜く（またはシャットダウンコマンドを使用する）ことは、攻撃者のソフトウェアに事前に通知するだけです-これは時々問題になります。

そう：

メモリ分析を行っている場合を除き、両方をプルします。その場合、どちらもプルしないでください。

— アダム・デイビス
ソース

16

RAMフォレンジック（例/ dev / shm）が役立ちます。

しかし、私は電源ケーブルを抜くことを好みます（しかし、直前にログインしてrsync / procを試してください）。

電源ケーブルを使用する理由は次のとおりです。

ハッキングされたシステムでフォレンジックを行うと、「犯罪現場全体に足を踏み入れる」ことになります。
ルートキットは実行し続けます- ネットワークリンクダウンイベントで悪意のある人が何かを実行するのはそれほど難しくありません（システムのワイプアウトなど）。

カイル・ランキンは、フォレンジックの話を紹介しました -そこで、電源ケーブルを引っ張ることをお勧めします。

— アレクサンドル・レフチュク
ソース

「犯罪現場全体に足を踏み入れる」ための+1。あなたが何をしているのかを正確に知らない場合、または正確な法医学的証拠を収集することを本当に気にしない場合を

— 除き、

10

ネットワークを切断します。ネットワーク接続がない場合、攻撃者は追加情報を引き出すことができません。力なしでフォレンジックを行うことは非常に困難です（読む：不可能）。

— ジェイソン・バーグ
ソース

3

（A）ライブCDを介してオフラインからフォレンジックを行うことができます（おそらく）（B）ハードドライブを別のシステムに移動することによって、または（C）影響を受けるハードドライブの画像を（ライブCDを介して）撮影した後。

— アレクサンドルレフチュク

3

多くの場合、有用な証拠が記憶されています。これは、電力損失が通知される前に許可する必要があります。

— Sirex

また、安全のためにLOMインターフェースを切断することも考えてください:)

— ケダーレ

7

今日では、仮想マシンを使用できるため、どちらの方法も簡単であり、リモートでも実行できます。（仮想マシンはもちろん、スナップショットを使用する可能性ももたらします）

自動の最初のステップとしてネットワークから切断することをお勧めします。これにより、次のステップが電源コードを引っ張ってくるかどうかなど、次のステップがどうあるべきかを熟考する時間が与えられます。企業の「セキュリティ対応手順」では、マシンを詳細に掘り下げる時間を費やすことができない場合、RAMの内容を保存することはそれほど重要ではないかもしれません。

「被害者を強盗から分離する」ことを何らかの方法で行うことは、方法よりも重要であるため、両方のアプローチが有効であることをお勧めします。パワーコードを自分で引っ張っても問題はありません。

— ロブ・モア
ソース

VMの場合は+1。ネットワークのプラグを抜くと、ルートキットが実行され続けます- ネットワークリンクダウンイベントで悪意のある人が何かを実行するのはそれほど難しくありません（システムのワイプアウトなど）

— Aleksandr Levchuk

6

実行中のシステム状態のスナップショットは、それを考えていないために自分自身に腹を立てているような素晴らしいアイデアです。

— -jgoldschrafe

@Alexsandr-私は実際の例を考えようとしており、空白を描いていますが、プラグインを抜くと完全にメモリに残るルートキットを思い出すようです。どちらにしても、証拠を失うリスクがあると思います。

— ロブ・モイア

6

これはどちらかまたは両方の状況ではありません。通常は両方を行います-ネットワークから削除されたシステムで特定のフォレンジック（実行中のプロセスのダンプ、ソケット、/ tmp内のファイルなど）を実行し、残りの診断を金庫から実行します環境（つまり、ライブCD）。ただし、どちらのアプローチも適切ではない場合があり、組織内でどのようなアプローチが考えられるかを理解する必要があります。

— jgoldschrafe
ソース

ネットワークのプラグを抜くと、ルートキットが実行され続けます-悪意のあるコードがNetwork Link Downイベントで何かを実行する（システムのワイプアウトなど）のはそれほど難しくありません。

— アレクサンドルレフチュク

それは間違いなく真実であり、状況の敏感さに応じて、あなたが評価するか、あなたが服用するかを決定する必要があるチャンスです。一部のルートキットはメモリにのみ常駐しているため、システムの電源を切ると、そこにどのように到達したかを把握する機会がなくなります。リンク状態を維持したままスイッチポートからのトラフィックをブロックしようとするかもしれませんが、ルートキットはソフトウェアであり、他のソフトウェアが実行できることは何でもできます。到達できない場合、デフォルトゲートウェイをプローブして同じ爆弾を発動させないようにすることはできません。

— jgoldschrafe

4

何かをする前に、最終的な訴追の証拠を保存する必要があるかどうかを把握してください。エビデンスの取り扱いは非常に扱いにくい主題であり、かすかに訓練された人向けではありません。それに答えたら、訓練を受けたコンピューターフォレンジック担当者がそこからそれを取ることができます。

— sysadmin1138
ソース

1

まず、起訴するかしないかを決めるべきだと思いますか？。カイル・ランキンの講演（goo.gl/g21Ok）。これについて議論することから始めます。起訴するには、実質的な監視損失の証拠を提出する必要があります。

— アレクサンドルレフチュク

1

@Aleksander一般的に、侵害されたハードウェアとデータを再利用できるかどうか、または完全に新しい部品から新しいシステムを構築して構築する必要があるかどうか、プロセスの非常に早い段階で知る必要があります。これは、金銭的またはビジネス上の評判の損失を証明する前である可能性が非常に高いです。エビデンスチェーンの保持は、潜在的にアクション可能なイベントが発生したことに誰かが気付いた瞬間に発生する必要があります。

— sysadmin1138

金銭的な損失が存在するかどうかわからない場合があるため、多くの場合、オプションを開いたままにしておくことをお勧めします。

— ロリーアルソップ

3

サーバーの電源を切る必要はありません。ボーダーゲートウェイ/ルーターからの接続を無効にするだけです。1つのファイアウォールルールで、それ以降の送受信パケットを破棄するには十分です。

— カレド
ソース

+1これが、ゲートウェイを持つことをお勧めする理由の1つです。しかし、持っていない場合はどうしますか？ダイレクトネットワークケーブルを取り外した場合-ルートキットはNetwork Link Downイベントを受信できます。そして、ルート化されたサーバーにログインして、0日目にそこで何かをするのは悪い考えではありませんか？

— アレクサンドルレフチュク

2

答えは、「ルート化」の意味に大きく依存します。ネットワークのリードを引くことは、特に、これが機密情報を探している積極的な人間の攻撃者であると思われる場合、特に良い考えです。

力を引き出すことは、答えるのがはるかに難しいです。悪意のあるコードが実行されており、その痕跡を隠していると思われる場合は、そうしてください。ただし、メモリ内に侵入の証拠がまだあると感じる場合は、実行したままにしてください。

全体として、悪意のあるコード、不当な扱いを受けたスタッフ、または特定のターゲットを念頭に置いた誰かを扱っているかどうかに依存します。

注意を怠る場合は、電源を抜いてください。少量の潜在的なエビデンスは失われますが、自動化されたコードによる他のエビデンスの大規模な削除を防ぐことができます。

-繰り返しますが、マシンが侵害されたと感じて、機密データがないことがわかっている場合は、他の場所のネットワークセキュリティに非常に自信があり、そうすることの結果を理解している可能性があります。攻撃を追跡または理解して、そこから進むことができるかどうかを確認します。通常はそれは良い考えではありませんが、

— シレックス
ソース

1

私の答えは、編集の前に、5つの前提条件でした。
私の想定は、サーバーがルート化された場合、洗練された標的型攻撃者に対処し、攻撃がいつどこから来たかを知る方法がないということでした。（マシンが根ざしていたので、明らかにあなたはいない信頼何かが、それはあなたを伝えることができます。ただし、例えばIDS ...、いくつかのオフボックスの情報を持っているかもしれません）
私はあなたの攻撃に対処することに興味を持っていることも想定され、ちょうど手を振っていません面倒なハエのように彼を追い払う。想定される攻撃者がスクリプトキディの場合、これは異なります。また、攻撃者は標的にされていて洗練されているため、マシンで実行されているカスタムソフトウェアを持っている可能性が高く、そのアクションに応答できると想定しています...

どちらでもない。/security//q/181/33を
チェックしてください。どちらにしても、悪い考えです。
それは黒騎士に絆創膏をいくつか与えるようなものです。少なすぎる、遅すぎる、それはあまり役に立たないでしょう。

この答えはあまりにも遠すぎると感じている人、または単に「セキュリティを意識した」だけでは十分ではないと感じている人にとっては、すでに手遅れであることに気付く必要があります。
完全に切断しても、サーバーではなくなります。あなたがシャットダウンした場合でも、すべてのあなたのAVと何を実行します-あなたはもうそれを所有していない、彼らが行います。
それはちょっと「根ざした」の定義です。

今、彼らがそれを所有し、あなたから彼らの所有権を隠すことができると仮定して、あなたは考慮する必要があります-何がそれを切断するのでしょうか？唯一のそれは関係なく、根ざしされ続けるので、 - -それはacheiveう事は、あなたの敵はあなたがそれらににしている知っていることです。これは単に彼らの警備員を配置し、彼らが自分たちの後に掃除を開始するようにします（まだ行っていない場合）。これは法医学の希望を殺します。あなたはまだそのサーバーやそのデータを保護していません。どのくらいの時間がいるされて根付い？どうやって知る？

あなたがやっておく方が良いこと：

サーバーを起動したままにします...
内部ネットワーク、その他のサーバーなどから隔離しますが、何らかのシミュレーションをプラグインするのが最善なので、接続されているように見えます。
リアルタイム/ネットワークフォレンジックを静かに開始し、トレースを実行するなど。
損傷の範囲と長さを試してみてください（2時間前または2か月前に発生した場合は明らかに異なります）。
そこから続行します... 実際の損傷を軽減した後にのみ、先に進み、クリーンアップします。
もちろん、根本的な原因を調査することを忘れないでください、そして、それが再び起こらないことを確実にするために、どんなコントロールでも実施してください...

— AviD
ソース

2

これは、シミュレート/隔離された環境に迅速に移動できる状況では機能すると思いますが、実際には物事の「最小限の影響」側に進みたいため、これを行うことができる組織はほとんどないため、電源またはネットワークを切断します多くの場合、その脅威は即座に除去されます。（私はそれがこのようにしたいので、まだあなたを+1しました:

— ロリー・アルソップ

@Roryの問題は、影響を最小限に抑えることができないことです。サーバーは既に使用されています。あなたはそれを取り戻せず、機密データも盗まれる可能性があります。なぜなら、彼らがどれだけの時間アクセスしたかわからないからです。とはいえ、シミュレートされた環境はただの氷結であり、重要なのは隔離です。ほとんどの組織は堅固なファイアウォールを備えており、いくつかのアクセスルールを変更すれば金になると思います。これは、アクセス可能なサーバーがDMZにあるべきであるもう1つの理由です

— AviD

また、私は何かを明確にしたい-OSがルート化されている場合、上記が適用されます。Webサイトでアプリケーションレベルの脆弱性（SQLインジェクションなど）が悪用されている場合、絶対にシャットダウンし、手に入れることができるすべてのワイヤを引っ張ります！ただし、OSのルートは異なります。マシンのインフラストラクチャ全体を制御します。もはや制御できません。

— AviD

2

いいえ、私が意図したのは、そのルート化されたマシンを超えた影響を最小限にすることでした。私はそれが完全に失われている同意するが、あなたはそれがすぐに分離取得することができない限り、あなたは、コントローラは、あなたのシステムの残りの部分にやるかもしれないものを知る方法はありません

— ロリー・オールソップ

0

仮定を見直して両方を行います。CD / DVDベースのメディアを使用して、現在の状態をダンプします。第一に、あなたはあなたがどのように危害を受けたかを決定できるようにしたいと思うでしょう。また、バックアップイメージ上にないユーザーデータの回復を試みることもできます。よ

次に、汚染されていない最新のバックアップメディアからシステムを再構築します。可能であれば、チェックサムでこれを確認してください。または、インストールメディアからソフトウェアを再インストールし、再構成します。PuppetまたはcfEngineを使用してサーバーを構成している場合、再構成は自動的に行われます。

ユーザーデータを再読み込みし、ルートキットコンポーネントをスキャンします。データディレクトリにsetuidまたはsetgidプログラムがないことを確認します。

システムへの感染に使用されるアクセス方法を決定して終了します。サーバーの再アクティブ化を段階的に行い、アプリケーションが期待どおりに実行されていることを確認する時間を確保します。新しい感染の試みを注意深く監視します。

これはすべて、感染がルートレベルにあることを前提としています。Web感染は、Webサーバーによって実行されるコードを変更することで実行できます。Webサーバーにコードへの書き込みアクセスを許可すると、これがより簡単に行われる場合があります。この場合も、ルートアカウントが侵害された場合と同様に扱いたい場合があります。

1つのシステムのルートが1つのシステムで侵害された場合、より多くのシステムが侵害される可能性があります。感染したシステムからパスワードなしでアクセスできるシステムを慎重に検討してください。

— BillThor
ソース