Detectando o Torpig em uma LAN

2

Eu sou responsável pela supervisão da LAN em um campus universitário. Recentemente, começamos a ficar na lista negra da CBL porque alguém em nossa LAN está infectado com o Torpig (AKA Anserin). A sugestão da CBL inclui monitoramento de conexões para um intervalo de endereços IP. No entanto, não vemos esse tráfego saindo. Parece que isso só acontece conosco de vez em quando (já se passou um mês desde o último incidente). Existe uma maneira de eu fazer a varredura de máquinas para detectar a presença de Torpig? Não consigo encontrar nenhuma ferramenta que faça isso de forma confiável. Eu estaria disposto a procurar por arquivos específicos, entradas de registro, etc.

Aqui está a mensagem da CBL que recebemos:

This IP is infected with, or is NATting for a machine infected with Torpig, also known by Symantec as Anserin.

This was detected by observing this IP attempting to make contact to a Torpig Command and Control server at 91.20.214.121, with contents unique to Torpig C&C command protocols.

Torpig is a banking trojan, specializing in stealing personal information (passwords, account information, etc) from interactions with banking sites.

Torpig is normally dropped by Mebroot. Mebroot is a Rootkit that installs itself into the MBR (Master Boot Record).

With Mebroot or any other rootkit that installs itself into the MBR, you will either have to use a "MBR cleaner" or reformat the drive completely - even if you manage to remove Torpig, the MBR infection will cause it to be reinfected again.

The best way to find the machine responsible is to look for connections to the Torpig C&C server. This detection was made through a connection to 91.20.214.121, but this changes periodically. To find these infections, we suggest you search for TCP/IP connections to the range 91.19.0.0/16 and 91.20.0.0/16 (in other words: 91.19.0.0-91.20.255.255) usually destination port 80 or 443, but you should look for all ports. This detection corresponds to a connection at 2011-07-21 12:42:02 (GMT - this timestamp is believed accurate to within one second).

    
por IAmTimCorey 21.07.2011 / 19:39

1 resposta

1

A maioria dos conselhos de descoberta de malware está focada em fazer com que os usuários executem verificações de segurança em seus computadores ... você não menciona suas circunstâncias exatas, mas parece que você está executando uma rede escolar de algum tipo? O que, claro, adiciona uma camada maravilhosa de tapa na cabeça para resolver o problema, pois causará todo tipo de frustração adicional.

Portanto, a primeira abordagem a tentar é a educação dos usuários. Cartazes, anúncios, etc. É claro que a maioria dos usuários provavelmente ignorará isso, mas pode aumentar a conscientização. Visto que o Torpig aparentemente desativa o software antivírus, conscientiza os usuários sobre os efeitos desse malware (rouba informações bancárias) e fornece links para scanners online e patrocina a distribuição de discos gravados de software de detecção de malware inicializável ou patrocina eventos de verificação de vírus no campus vá para dormitórios e escaneie ou traga laptops para um local para verificação de malware gratuita. Com as devidas renúncias de responsabilidade pelos efeitos de eliminar o malware, é claro.

Em seguida, eu investigaria os roteadores. Os roteadores decentes devem ter a capacidade de reportar tráfego de rede via SNMP, e você pode verificar se há padrões de tráfego incomuns. Você deve saber quando há picos incomuns no tráfego ou verificar anomalias, e alguns softwares podem alertá-lo sobre atividades incomuns. Alguns chefes podem ver isso como uma perda de tempo, verificando relatórios e status de equipamentos que parecem estar funcionando bem. Na minha opinião, nunca é um desperdício estar familiarizado com o funcionamento das coisas; Às vezes, você sabe que seu carro vai ter problemas porque algo não "parece certo" ou "soa bem", o mesmo acontece com a sua rede.

Você faz proxy do seu tráfego? O que você está usando para proxy? Nós tivemos uma caixa do Squid do FreeBSD por algum tempo que detectou infecção por malware no computador de um usuário porque notei algo estranho nas tabelas ARP originadas da estação de trabalho daquele usuário; seu malware estava transmitindo todos os tipos de IPs tentando atingir outros alvos dentro de nossa própria rede e estava aparecendo em minhas verificações de status sobre a integridade do servidor proxy.

O Torpig aparentemente usa comandos HTTP para se conectar a pontos de controle. O proxy pode ajudar nisso também, se estiver registrando atividade. Se você puder encontrar alguns dos IPs aos quais o torpig se conecta, você poderá fazer o grep dos seus logs para conexões da máquina XYZ para travá-lo rapidamente. Proxies que o filtro também deve ser capaz de bloquear automaticamente o tráfego de alcançar os servidores C & C também.

Ler uma análise do bot pode ajudar você a ter algumas ideias. Consulte o link para um estudo sobre o comportamento do malware.

Outra coisa para tentar; Envie e-mail para outras universidades que tenham esse problema e pergunte o que estão fazendo para detectar o tráfego. Veja um exemplo de alguém anunciando que está analisando o tráfego de alunos e veja se você pode entrar em contato com o pessoal de TI deles; Eles provavelmente estarão dispostos a compartilhar dicas. link

Honeypots ... Eu não seria contra colocar isso em sua rede só porque parece que você tem alunos e computadores que você não pode controlar. Coloque alguns honeypots na rede, veja o que acontece. Eu não sei se o torpig será detectado com ele, mas você provavelmente achará útil ter outro malware; coloque o SNORT ou outro IDS nele e verifique-o frequentemente (e envie-lhe alertas).

A última coisa que você pode considerar, mas isso depende inteiramente da sua situação, é executar algo como o SAINT ou o Nessus em sua rede para verificar se há vulnerabilidades nas máquinas. Isso pode ser um grande problema nos recursos da sua rede, no entanto, e algumas pessoas provavelmente não apreciarão suas máquinas sendo verificadas e você poderá ter problemas se isso não estiver explicitado na política. Também depende do tamanho da sua rede.

Existem ferramentas que podem mantê-lo informado sobre o que está na sua rede, como a ferramenta da rede de especiarias e o LanSweeper.

Além disso, tudo que consigo pensar é executar uma auditoria completa de todos os servidores nos quais você tem algum controle sobre a rede, executar as ferramentas da estrutura de vulnerabilidade contra eles para auditar possíveis problemas de segurança e aperte seus roteadores de borda para restringir todas as portas de saída que não são necessárias para que os usuários tenham tráfego de saída, para que você possa restringir a atividade de malware em portas incomuns. No mínimo, você pode querer uma máquina ou dispositivo que monitore atividades incomuns de portas ímpares e envie alertas para você acompanhar e entrar em contato com outros departamentos de TI em outras escolas semelhantes às suas para ver como eles resolvem esse problema.

    
por 22.07.2011 / 18:10