Виявлення мережевих атак на основі віртуальної машини Redhunt

Размещено на http://www.allbest.ru/

ВИЯВЛЕННЯ МЕРЕЖЕВИХ АТАК НА ОСНОВІ ВІРТУАЛЬНОЇ МАШИНИ REDHUNT

redhunt атака мережевий віртуальний

Тишик Іван Ярославович,

кандидат технічних наук, доцент кафедри захисту інформації Національного університету “Львівська політехніка”, м. Львів, Україна,

Фік Елла Ігорівна,

студентка кафедри захисту інформації Національного університету “Львівська політехніка”, м. Львів, Україна

Для покращання ефективності моніторингу інформаційної системи в роботі використано систему виявлення мережевих атак на основі віртуальної машини RedHunt. З метою порівняння ефективності пропонованої віртуальної машини в роботі здійснено огляд поширених систем виявлення атак й охарактеризовано їх переваги та недоліки. Було проведено моделювання процесу виявлення мережевих атак на основі системи RedHunt, у результаті якого надано практичні рекомендації щодо вибору утиліт та взаємопов'язаних груп утиліт для підвищення ефективності цього процесу.

Ключові слова: система виявлення атак, інформаційна система, операційна система, мережеві утиліти, несанкціонований доступ, адміністратор безпеки.

DETECTION OF NETWORK ATTACKS BASED
ON THE RED HUNT VIRTUAL MACHINE

To increase the effectiveness of network attack detection systems, it is necessary to classify common types of attacks and establish the mechanism of their action based on the existing threats and vulnerabilities inherent in this information system. Despite the existing set of network utilities that allows the monitoring of information system for unauthorized access to its resources, the security administrator does not always get a clear picture of the implementation of unauthorized intrusions into the system, and therefore may not fully identify vulnerabilities in the system, thus making the wrong choice of appropriate protection policy. To improve the efficiency of information system monitoring, the system designed to detect network attacks based on the RedHunt virtual machine is used. This system contains a set of interconnected utilities that allows us to detect unauthorized intrusion at both the operating system and application level in real time. In addition, virtual machine tool shave the ability to combine monitoring of network attacks with the ability to simulate them. Using the utilities of the submitted virtual machine, security administrator gets a clear picture of the implementation of unauthorized intrusions into the information system in real time. In addition, using the utilities of the RedHunt system, security administrator is able to simulate a certain type of attack in order to identify vulnerabilities in their information system and select the appropriate policy to protect it. In view of the above mentioned, the paper investigates the effectiveness of the virtual machine “RedHunt” in detecting network attacks. It provides an opportunity to regularly test the information system. To do this, a description of typical network attack sandways to detect them is provided. In order to compare the effectiveness of the proposed virtual machine, the paper reviews the common attack detection systems and describes their advantages and disadvantages. The RedHunt network attack detection process was modeled to provide practical guidance on choosing utilities or interconnected utility groups to improve the efficiency of theprocess.

Keywords: Intrusion detection system, information system, operating system, network utilities, unauthorized access, security administrator.

Для повышения эффективности мониторинга информационной системы в работе использована система обнаружения сетевых атак на основе виртуальной машины RedHunt. С целью сравнения эффективности предлагаемой виртуальной машины в работе сделан обзор распространенных систем обнаружения атак и охарактеризованы их преимущества и недостатки. Было проведено моделирование процесса обнаружения сетевых атак на основе системы RedHunt, в результате которого даны практические рекомендации относительно выбора утилит и взаимосвязанных групп утилит для повышения эффективности этого процесса.

Ключевые слова: система обнаружения атак, информационная система, операционная система, сетевые утилиты, несанкционированный доступ, администратор безопасности..

ВСТУП

Забезпечення інформаційної безпеки є пріоритетним завданням кожної організації та держави в цілому. В епоху комп'ютеризації та автоматизації проблема комп'ютерної безпеки виходить на перший план. Одним із завдань, яке повинне вирішуватися в контексті інформаційної безпеки, є захист інформації, яка зберігається, обробляється та передається в комп'ютерних системах та мережах. Однією із загроз для комп'ютерної безпеки є мережеві атаки.

Незважаючи на кроки світової спільноти, спрямовані на постійне підвищення покарання за комп'ютерні злочини, кіберзлочинці продовжують вдосконалювати й розробляти методи та засоби організації мережевих атак. На сьогодні склалася така ситуація, коли запропоновані методи захисту комп'ютерних систем та мереж не здатні забезпечити належний рівень інформаційної безпеки. Комп'ютерні системи постійно піддаються різним типам загроз, і користувач не може бути впевнений у безпеці важливої інформації. Сучасна ситуація стимулює пошук та розробку нових методів та рішень, спрямованих на підвищення рівня захисту комп'ютерних систем від шкідливого впливу.

Пошук уразливостей - важлива частина завдання забезпечення безпеки. Ця робота включає в себе регулярне тестування інформаційної системи. У будь-який момент часу для будь-якої системи можна вказати безліч різних видів уразливостей, наприклад, для операційних систем і прикладних програм нові уразливості з'являються мало не щодня; виявляти їх вручну є дуже трудомістким завданням. Тому для автоматизації пошуку уразливостей використовують різні програмні інструменти - засоби сканування уразливостей, такі, наприклад, як GFI LANguard, Nes- sus, OpenVAS, SPARTA, Lynis та інші.

Насичення ринку ІТ цими системами ставить перед користувачем термінову необхідність вибору оптимальної системи для виявлення атак та запобігання вторгненню, але реалізувати це можливо лише на основі аналізу систем, які пози- ціонуються як IDS (IntrusionDetectionSystem - Система виявлення атак (вторгнень).

З огляду на сказане, постає завдання ґрунтовного аналізу переваг та недоліків сучасних систем виявлення атак та вибору оптимальної, яка б забезпечувала комплексний підхід щодо виявлення несанкціонованих вторгнень у інформаційну систему та реалізації аналізу стану її захищеності.

Дослідження Positive Technologies показує, що 94 % ІТ-систем не захищені хакерством. Найпоширенішими вразливими місцями периметра мережі є інтерфейси на основі Інтернету для управління мережевим обладнанням, серверами та використання паролів словникових запасів, включаючи встановлений за замовчуванням пароль [1-2].

Найбільш поширеною вразливістю внутрішніх мережевих ресурсів залишаються слабкі паролі. Одночасно кожна система виявляє прості паролі адміністратора (довжиною до 6 символів). Наступна за поширеністю вразливість внутрішніх мереж - недостатній рівень захисту привілейованих облікових записів користувачів (для 88 % систем). У 50 % випадків використовується застаріле програмне забезпечення, яке дозволяє використовувати такі вразливості, як Heartbleed та Shellshock [3].

На відміну від поширеної думки, що головну небезпеку для компанії становлять зовнішні зловмисники, що працюють в Інтернеті, так звані хакери, реальна загроза для сучасної компанії походить від внутрішніх зловмисників. За даними численних досліджень, понад 70-80 % усіх порушень у корпоративному середовищі припадає на частку внутрішніх зловмисників [2]. Більше того, причинами порушення безпеки ІС організації можуть бути як неправомірні дії персоналу, так і навмисні дії з їх боку. Отже, за даними світової статистики, частка внутрішніх зловмисників, які навмисно здійснюють протиправні дії, становить близько 20 % усіх інцидентів у компанії, тоді як зовнішні зловмисники винні лише у 5 % подібних випадках [4].

Електронна пошта залишається важливим інструментом для кіберзлочинців, проте вони експериментують з новими методами атаки через мобільні пристрої та соціальні мережі, щоб охопити більшу аудиторію. “Протягом останнього року 70 % випадків шахрайства в соціальних мережах були здійснені вручну, оскільки зловмисники використовували готовність людей довіряти вмісту, яким вони діляться зі своїми друзями” (дані звіту Symantec) [5].

Хоча шахрайство через соціальні мережі дозволяє швидко збагатити кіберзлочинців, деякі покладаються на більш вигідні та агресивні методи нападу, такі як програми вимагання, кількість яких з року в рік значно збільшується. Натепер Ransomware є одним з найбільш активних класів шкідливих програм. За останні роки програми-вимагання еволюціонували, і з простого блокування екрану з вимогою викупу реалізують більш небезпечні дії. Наприклад, на цей час основою класу вимагачів є так звані шифрувальники, які без відома користувача шифрують його дані, включаючи особисті фотографії, архіви, документи, бази даних, малюнки, словом, усе, що становить цінність для жертви. Розшифровка цих файлів вимагає від жертви оплати. Найпомітнішими прикладами такого шифрування є CryptoLocker, CryptoDefence (та його наступник CryptoWall), ACCDFISA, Opcode. [6].

У інформаційній системі (ІС) широко використовуються різноманітні системи виявлення атак (СВА), представлені у вигляді програмних або програмно-апаратних систем, які автоматизують процес аналізу подій в інформаційно-комунікаційній системи з міркувань безпеки. Крім виявлення атак (тих, що реально здійснюються, або тих, що є потенційно можливими), СВА здатні реагувати на атаки певним чином (від створення найпростіших звітів до активного втручання при виявлення проникнення у ІС). У наш час СВА вважаються необхідним елементом інфраструктури безпеки, тому в ряді літературних джерел їм приділяється особлива увага. Зокрема, у [7] розглянуто такі популярні засоби автоматичного сканування уразливостей ІС, як Nessus 7, OpenVAS, SPARTA, Lynis, подано типи уразливостей та проведено їх систематизацію. Особливу увагу приділено інструментам тестування бездротових мереж на проникнення, активному та пасивному аналізу бездротового трафіку. Проте адміністратору безпеки доцільно мати комплекс мережевого інструментарію, який надасть йому змогу симулювати певного виду атаки з метою виявлення вразливості своєї інформаційної системи та обрати відповідну політику її захисту. У [8] основна увага приділяється інструментам спуфінгу мережі та таким популярним мережевим сніферам, як TCPdump таWireshark. Такий тип СВА класифікують за інформаційними джерелами як СВА рівня мережі. Проте адміністратору безпеки було б доцільно мати у своєму розпорядженні засоби, які здійснюють аналіз IC цілком і попереджають про потенційну можливість здійснення атаки на неї. У [9] зосереджено увагу на структурі MetasploitFramework. На цей час Metasploit поставляється майже в усі дистрибутиви операційних систем Linux і володіє найбільшими базами даних вразливостей та приймає близько мільйона завантажень щороку. Він також є одним з найскладніших проектів на сьогодення і призначений для того, щоб адміністратор безпеки був обізнаний щодо вразливостей, які знаходяться в тому чи іншому програмному забезпеченні. Такий тип СВА класифікується за інформаційним джерелом як СВА рівня прикладних програм та систем управління базами даних. У [10] особлива увага приділяється інструментам пасивної та активної розвідки комп'ютерних мереж та засобам сканування уразливостей рівня операційних систем, що забезпечує високий рівень захисту IC від несанкціонованих проникнень. Проте відсутній комплексний підхід щодо аналізу стану захищеності IC загалом.

Таким чином, за наявності правильного вибору СВА в IC, доступ зловмисника до системи може бути завчасно заблокованим. Навіть наявність простої реакції на зондування мережі підвищує рівень ризику для атакуючого і може змусити його відмовитись від подальших спроб проникнення в мережу.

Метою роботи є дослідження комплексної системи “RedHunt” на базі віртуальної машини для виявлення атак в IC у реальному часі та аналізу стану її захищеності, аналіз використання взаємопов'язаних утиліт цієї віртуальної машини для підвищення рівня захисту IC від різного типу несанкціонованих вторгнень.

ВИБІР УТИЛІТ СИСТЕМИ REDHUNT ДЛЯ ВИЯВЛЕННЯ МЕРЕЖЕВИХ АТАК

Утиліти для емуляції атак використовуються для більшої обізнаності в роботі найвідоміших атак, які виконуються за допомогою конкретних програм. У роботі розглядаються три базові утиліти системи RedHunt, перелічені нижче.

DumsterFire - інструмент для створення повторюваних подій безпеки (securityevents). Для команди захисту завдяки цьому легше створювати ланцюжки подій та налаштовувати попередження про зараження системи або здійснення атаки на неї. Зловмисники можуть також використовувати утиліту DumpsterFire для того, щоб створювати інциденти з приманкою, відволікати захисників для підтримки і масштабування своїх операцій. В утиліти є своя бібліотека з модулями, які називаються “Fires”. Є можливість створювати та додавати свої власні модулі, а також редагувати наявні. DumpsterFire - це консольна утиліта, легка у користуванні і призначена для тестування уразливостей та атак на систему загалом. Завдяки цій утиліті можна повністю змоделювати уразливу операційну систему. У програмі показується повний шлях зловмисника, починаючи від стандартного сканування ним портів та ідентифікації слідів, за допомогою яких він зможе мати доступ до цієї системи та контролювати її в майбутньому. Для адміністраторів безпеки ця система є зручною в тому випадку, коли її використовують не як звичайний симулятор, а як систему завчасного виявлення загрози несанкціонованого вторгнення.

Nmap - безкоштовне відкрите програмне забезпечення для дослідження та аудиту безпеки мереж з виявленням активних мережевих сервісів. Nmap використовує безліч різних методів сканування, таких як UDP, TCP, TCPSYN, FTP, ICMP, FIN, ACK, Xmastree, SYN- і NULL-сканування. Nmap також підтримує великий набір додаткових можливостей, а саме: визначення операційної системи віддаленого хоста з використанням відбитків стекуTCP/IP, “невидиме” сканування, визначення неактивних хостів методом паралельного ping-опитування, визначення наявності пакетних фільтрів, сканування з використанням IP-фрагментації, довільна вказівка IP-адрес і номерів портів сканованих мереж.

Nmap - це консольна утиліта, яка може використовуватись як окрема програма, так і як звичайна команда в командному рядку (перед цим її потрібно все ж встановити). Утиліта надає можливість перевіряти зв'язок між різними системами в межах одного спільного середовища, також може перевіряти стан портів, і, у випадку відкритості якогось з малозначимих портів, реалізує дії із зупинення їх роботи.

MetasploitProject - це проект сфери комп'ютерної безпеки, що надає інформацію про уразливості інформаційних систем і є допоміжним у тестах на проникнення та розробку систем виявлення атак. Найвідоміший його підпроєкт - це MetasploitFramework, який є застосунком для розробки та реалізації експлойтів коду проти віддаленого цільового комп'ютера. Основними кроками щодо експлуатації системи на основі Metasploit є: вибір і конфігурація експлойту (код, що проникає в цільову систему, використовуючи її вразливості), додаткова перевірка сприйнятливості системи до даного експлойту, вибір і конфігурація пейлоаду (коду, який буде виконаний на цільовій системі у випадку вдалого проникнення), вибір техніки кодування з метою шифрування пейлоаду, щоб його не могла знайти система виявлення атак, виконання експлойту. Дозвіл комбінації будь-якого експлойту з будь-яким пейлоадом є основною перевагою Metasploit.

Таким чином, утиліта Metasploit являє собою базу даних з експлойтами, яка часто дуже тісно пов'язана з утилітою “Nmap”. Саме ця база даних, вона ж утиліта або програма, активно використовується хакерами для написання та експлуатування уразливостей і вірусів, а також спеціалістами для створення антивірусних програм.

РЕАЛІЗАЦІЯ ПРОЦЕСУ ВИЯВЛЕННЯ МЕРЕЖЕВИХ АТАК НА ОСНОВІ СИСТЕМИ REDHUNT

Для спільного застосування утиліт Nmap та Metasploit необхідно виконати такий процес сканування, який дозволив би дізнатися більше інформації про сервіси, встановлені на цільовій операційній системі. Для цього використовується команда “nmap -p -sV”, яка сканує усі відкриті порти та сервіси цільової системи. Використання команди та результат її роботи наведено на рис. 1.

Рис. 1. Результат сканування всіх портів та сервісів цільової системи на основі Nmap

Отже, до кожного окремого порту прив'язаний окремий сервіс, крім того, показані на рисунку порти є відкритими, а це означає, що порти та сервіси, встановлені на цільовій, є вразливими. Окрім того, перейшовши до утиліти Metasploit, можна побачити багато експлойтів, пов'язаних із цими сервісами. Більшість проблем вирішується звичайним оновленням сервісу. Розробники операційних систем лише через певний час дізнаються про відомі вразливості у своїх продуктах та виправляють їх, випускаючи чергові патчі чи оновлені версії систем.

Після тестування цільової системи на основі утиліти Nmap наступним кроком у симуляції атак є використання утиліти Metasploit, яка є базою даних, що містить велику кількість експлойтів. Отримавши інформацію про відкриті порти та прив'язані до них сервіси, а також версії цих сервісів, адміністратор безпеки може симулювати атаку на них, використовуючи бібліотеку експлойтів, з метою оцінки їх уразливості.

Прикладом уразливої версії сервісу є програма VSFTPD. Це FTP-сервіс для обміну даними та файлами між клієнтами і завдяки своїй вразливості BackdoorCommandExecution може отримати несанкціонований доступ до цільової системи, використовуючи утиліту Metasploit та її модуль, якраз створений під цю вразливість. Після запуску експлойту зловмисник за допомогою “бекдора” отримує доступ до мережі як адміністратор, а тому може виконувати будь-які дії на скомпрометованій системі. Принцип роботи модуля подано на рис. 2.

Рис. 2. Застосування експлойту утиліти Metasploit для атаки сервісу FTP

Іншим прикладом є експлуатація вразливості VNC-сервера, до якого можна отримати доступ, усього лише підібравши логін та пароль. Існує спеціальний модуль-експлойт, який звертається до бази даних стандартних логінів та паролів з метою перевірки та їх підбору. У випадку, якщо в базі знайшовся потрібний логін та пароль, експлойт показує правильність підбору, що потім можна використати у своїх цілях. Підбір логіна та паролю експлойтом утиліти Metasploit подано на рис. 3.

Останній приклад демонструє роботу експлойту утиліти Metasploit при експлуатації Samba-сервера під час встановлення з'єднання між системою зловмисника та цільовою системою. Після встановлення з'єднання зловмисник отримує доступ до адміністраторського облікового запису, після чого система цілком знаходиться під його контролем. Принцип роботи цього експлойту подано на рис. 4.

Рис. 3. Запуск експлойту з підбором логінів та паролів утиліти Metasploit

Рис. 4. Використання експлойту утиліти Metasploit для атаки на SAMBA-сервер

Таким чином, використання набору утиліт віртуальної машини RedHunt надає можливість адміністратору безпеки отримати цілісну картину про загрози безпеці його інформаційної системи незалежно від використовуваного в ній операційного середовища, що дозволяє йому вжити превентивних заходів щодо підвищення ефективності засобів захисту інформаційної системи загалом.

ВИСНОВКИ

Проведені моделювання процесу виявлення мережевих атак утилітами віртуальної машини RedHunt засвідчили, що цей засіб є практичним вибором для адміністратора безпеки і дозволяє йому своєчасно виявити загрози для інформаційної системи та проводити ефективний моніторинг операційного середовища в реальному часі. Саме завдяки утилітам запропонованої системи, на основі яких реалізується мережева атака на об'єкт захисту, можна нівелювати певного виду вразливості інформаційної системи чи її складових частин, що унеможливить реалізацію багатьох видів атак.

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ

ThreatReportVolume I, Issue 6, March 4, 2015. URL: https://www.blacklotus.net/connect/ ddos-threat-report/ (дата звернення: 12.10.2020).

ArborNetworks. Q1 2015 DDoSReport. URL: http://www.arbornetworks.com/news-and- events/press-releases (дата звернення: 12.10.2020).

PositiveResearch 2015. URL: http://www.ptsecurity.ru/download/PT_Positi- ve_Research_2015_RU_web.pdf (дата звернення: 12.10.2020).

Symantec. InternetSecurityThreatReport (April 2015 Volume 20 v2). URL: http://www. symantec.com/security_response/publications/ (дата звернення: 12.10.2020).

Axelsson, S. (2000). “IntrusionDetectionSystems: A Survey and Taxonomy” (retrieved 21 May 2018) URL: https://neuro.bstu.by/ai/To-dom/My_research/Paper-0-again/For-research/D- mining/Anomaly-D/Intrusion-detection/taxonomy.pdf (дата звернення: 12.10.2020).

P.M. Mafra and J.S. Fraga and A.O. Santin (2014). “Algorithms for a distributed IDS in MANETs”. Journal of Computer and System Sciences 80 (3): 554-570.

Shiva V.N. Parasram, Alex Samm, Damian Boodoo, Gerard Johansen, Lee Allen, Tedi Heriyanto, Shakeel Ali (2018). Kali Linux 2018: Assuring Security by Penetration Testing: Unleash the full potential of Kali Linux 2018, now with updated tools, 4th Edition, p. 448. ISBN 978-5-4461-1252-4.

Lee Allen, Gerard Johansen, Tedi Heriyanto, Shakeel Ali. (2016). Kali Linux 2 - Assuring Security by Penetration Testing. Published by Packt Publishing Ltd., p. 2M.ISBN 978-1-84951-948-9.

Robert W. Beggs. (2014). Mastering Kali Linux for Advanced Penetration Testing. Published by Packt Publishing Ltd., p. 356. ISBN 978-1-78216-312-1.

Justin Hutchens. Kali Linux (2014). Network Scanning Cookbook рublished by Packt Publishing Ltd., p. 450. ISBN 978-1-78398-214-1.

REFERENCES

Threat Report Volume I, Issue 6, March 4, 2015. URL: https://www.blacklotus.net/connect/ ddos-threat-report (Date of Application: 12.10.2020) [in English].

Arbor Networks. Q1 2015 DDoS Report. URL: http://www.arbornetworks.com/news-and- events/press-releases (Date of Application: 12.10.2020) [in English].

Positive Research 2015. URL: http://www.ptsecurity.ru/download/

PT_Positive_Research_2015_RU_web.pdf (Date of Application: 12.10.2020) [in English].

Symantec. Internet Security Threat Report (April 2015 Volume 20 v2). URL: http:// www.symantec.com/security_response/publications/ (Date of Application: 12.10.2020) [in English].

Axelsson, S. (2000) “Intrusion Detection Systems: A Survey and Taxonomy” (retrieved 21 May 2018).URL: https://neuro.bstu.by/ai/To-dom/My_research/Paper-0-again/For-research/D- mining/Anomaly-D/Intrusion-detection/taxonomy.pdf (Date of Application: 12.10.2020) [in English].

P.M. Mafra and J.S. Fraga and A.O. Santin (2014) “Algorithms for a distributed IDS in MANETs”. Journal of Computer and System Sciences. 80 (3): 554-570 [in English].

Shiva V.N. Parasram, Alex Samm, Damian Boodoo, Gerard Johansen, Lee Allen, Tedi Heriyanto, Shakeel Ali (2018) Kali Linux 2018: Assuring Security by Penetration Testing: Unleash the full potential of Kali Linux 2018, now with updated tools, 4th Edition, p. 448. ISBN 978-5-4461-1252-4 [in English].

Lee Allen, Gerard Johansen, Tedi Heriyanto, Shakeel Ali (2016) Kali Linux 2 - Assuring Security by Penetration Testing. Published by Packt Publishing Ltd., p. 214. ISBN 978-1-84951-9489 [in English].

Robert W. Beggs (2014) Mastering Kali Linux for Advanced Penetration Testing. Published by Packt Publishing Ltd., p. 356. ISBN 978-1-78216-312-1 [in English].

Justin Hutchens, Kali Linux (2014). Network Scanning Cookbook published by Packt Publishing Ltd., p. 450. ISBN 978-1-78398-214-1 [in English].

Tyshyk Ivan,

Ph.D, Docent, Associate Professor of the Department of Information Security National University “Lviv Polytechnic”, Lviv, Ukraine,

Fick Ella,

Student of the Department of Information Security National University “Lviv Polytechnic”, Lviv, Ukraine

Размещено на Allbest.ru