Come si cercano backdoor dalla persona IT precedente?

Sappiamo tutti che succede. Un vecchio amaro IT lascia una backdoor nel sistema e nella rete per divertirsi con i nuovi ragazzi e mostrare all'azienda quanto sono brutte le cose senza di lui.

Non l'ho mai sperimentato personalmente. Il più che ho sperimentato è qualcuno che ha rotto e rubato cose prima di andarsene. Sono sicuro che questo accada, però.

Quindi, quando si rileva una rete di cui non ci si può fidare del tutto, quali misure dovrebbero essere prese per garantire che tutto sia sicuro e protetto?

È davvero molto, molto difficile. Richiede un controllo molto completo. Se sei molto sicuro che la persona anziana abbia lasciato qualcosa che andrà a gonfie vele, o richiederà il suo riassunzione perché sono l'unico che può spegnere un incendio, allora è tempo di presumere che tu sia stato radicato da un festa ostile. Trattalo come un gruppo di hacker è entrato e ha rubato roba, e devi ripulire dopo il loro casino. Perché è quello che è.

• Controlla ogni account su ogni sistema per assicurarti che sia associato a un'entità specifica.
  • Gli account che sembrano associati ai sistemi ma nessuno può renderne conto devono essere diffidenti.
  • Gli account che non sono associati a nulla devono essere eliminati (ciò deve essere fatto comunque, ma in questo caso è particolarmente importante)
• Cambia tutte le password con cui potrebbero essere entrati in contatto.
  • Questo può essere un vero problema per gli account di utilità in quanto tali password tendono ad essere codificate in cose.
  • Se si trattava di un tipo di helpdesk che rispondeva alle chiamate dell'utente finale, supponiamo che disponga della password di chiunque abbia assistito.
  • Se disponevano di Enterprise Admin o Domain Admin su Active Directory, supponiamo che abbiano preso una copia degli hash delle password prima di partire. Questi possono essere decifrati così velocemente ora che una modifica della password a livello aziendale dovrà essere forzata entro pochi giorni.
  • Se avessero accesso root a qualsiasi casella * nix supponiamo che se ne andassero con gli hash delle password.
  • Esamina tutto l'utilizzo della chiave SSH a chiave pubblica per assicurarti che le loro chiavi siano state eliminate e controlla se sono state esposte chiavi private mentre ci sei.
  • Se avessero accesso a qualsiasi apparecchiatura di telecomunicazione, cambia le password di router / switch / gateway / PBX. Questo può essere davvero un dolore reale in quanto può comportare interruzioni significative.
• Controlla completamente le disposizioni di sicurezza perimetrale.
  • Assicurarsi che tutti i fori del firewall siano tracciati su porte e dispositivi autorizzati noti.
  • Assicurati che tutti i metodi di accesso remoto (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail, qualunque cosa) non abbiano alcuna autenticazione aggiuntiva applicata e controllali completamente per metodi di accesso non autorizzati.
  • Garantire che i collegamenti WAN remoti vengano tracciati a persone completamente occupate e verificarlo. Soprattutto connessioni wireless. Non vuoi che se ne vadano con un telefono cellulare o uno smartphone pagati dall'azienda. Contatta tutti questi utenti per assicurarti di avere il dispositivo giusto.
• Controllare completamente le disposizioni interne sull'accesso privilegiato. Queste sono cose come l'accesso SSH / VNC / RDP / DRAC / iLO / IMPI ai server che non hanno utenti generici o qualsiasi accesso a sistemi sensibili come il libro paga.
• Collabora con tutti i fornitori esterni e fornitori di servizi per assicurarti che i contatti siano corretti.
  • Assicurarsi che vengano eliminati da tutti gli elenchi di contatti e servizi. Questo dovrebbe essere fatto comunque dopo ogni partenza, ma ora è estremamente importante.
  • Convalida tutti i contatti sono legittimi e hanno informazioni di contatto corrette, questo per trovare fantasmi che possono essere imitati.
• Inizia a caccia di bombe logiche.
  • Controllare tutta l'automazione (pianificatori di attività, cron job, elenchi di chiamate UPS o qualsiasi cosa venga eseguita su una pianificazione o attivata da eventi) per rilevare eventuali segni di malvagità. Per "Tutto" intendo tutto. Controlla ogni singolo crontab. Controlla ogni singola azione automatizzata nel tuo sistema di monitoraggio, comprese le sonde stesse. Controlla ogni singolo Utilità di pianificazione di Windows; anche postazioni di lavoro. A meno che tu non lavori per il governo in un'area altamente sensibile, non potrai permetterti "tutto", fai il più possibile.
  • Convalida i file binari del sistema chiave su ogni server per assicurarti che siano quelli che dovrebbero essere. Questo è complicato, specialmente su Windows, e quasi impossibile da eseguire retroattivamente su sistemi una tantum.
  • Inizia a caccia di rootkit. Per definizione sono difficili da trovare, ma ci sono scanner per questo.

Non è affatto facile, nemmeno da remoto. Giustificare le spese di tutto ciò può essere davvero difficile senza prove certe che l'ex amministratore fosse in realtà un male. Tutto quanto sopra non è nemmeno fattibile con i beni aziendali, il che richiederà l'assunzione di consulenti per la sicurezza per svolgere una parte di questo lavoro.

Se viene rilevato il male reale, specialmente se il male è in una sorta di software, i professionisti della sicurezza addestrati sono i migliori per determinare l'ampiezza del problema. Questo è anche il punto in cui può iniziare la costruzione di un procedimento penale e vuoi davvero che le persone addestrate a gestire le prove facciano questa analisi.

Ma davvero, quanto devi andare lontano? È qui che entra in gioco la gestione dei rischi . Semplicisticamente, questo è il metodo di bilanciamento del rischio atteso contro le perdite. Gli amministratori di sistema lo fanno quando decidiamo quale posizione fuori sede vogliamo mettere i backup; cassetta di sicurezza bancaria contro un centro dati fuori regione. Capire quanto di questo elenco deve essere seguito è un esercizio di gestione del rischio.

In questo caso la valutazione inizierà con alcune cose:

• Il livello di abilità previsto del defunto
• L'accesso dei defunti
• L'aspettativa che il male fosse fatto
• Il potenziale danno di qualsiasi male
• Requisiti normativi per la segnalazione del male perpetrato rispetto al male trovato preventivamente. Generalmente devi segnalare il primo, ma non il successivo.

La decisione di immergerti nella tana del coniglio sopra dipenderà dalle risposte a queste domande. Per le partenze amministrative di routine in cui l'attesa del male è molto lieve, non è necessario il circo completo; la modifica delle password a livello di amministratore e la riscrittura di qualsiasi host SSH esterno è probabilmente sufficiente. Ancora una volta, la posizione di sicurezza della gestione del rischio aziendale determina questo.

Per gli amministratori che sono stati licenziati per causa o che il male è spuntato dopo la loro partenza altrimenti normale, il circo diventa più necessario. Lo scenario peggiore è un tipo BOFH paranoico a cui è stato comunicato che la loro posizione sarà ridondante in 2 settimane, in quanto ciò offre loro molto tempo per prepararsi; in circostanze come queste, l'idea di Kyle di un generoso pacchetto di fine rapporto può mitigare ogni tipo di problema. Anche i paranoici possono perdonare molti peccati dopo l'arrivo di un assegno contenente 4 mesi di paga. Quel controllo probabilmente costerà meno del costo dei consulenti di sicurezza necessari per scovare il loro male.

Ma alla fine, si riduce al costo di determinare se il male è stato fatto rispetto al potenziale costo di qualsiasi male effettivamente compiuto.

Direi che è un equilibrio tra la preoccupazione che hai e il denaro che sei disposto a pagare.

Molto preoccupato:
se sei molto preoccupato, potresti voler assumere un consulente di sicurezza esterno per fare una scansione completa di tutto, sia da una prospettiva esterna che interna. Se questa persona fosse particolarmente intelligente potresti essere nei guai, potrebbe avere qualcosa che rimarrà in sospeso per un po '. L'altra opzione è semplicemente ricostruire tutto. Questo può sembrare molto eccessivo, ma imparerai bene l'ambiente e realizzerai anche un progetto di ripristino di emergenza.

Lievemente preoccupato:
se sei solo leggermente preoccupato, potresti semplicemente voler fare:

• A a port scan dall'esterno.
• Scansione virus / spyware. Scansione rootkit per macchine Linux.
• Cerca nella configurazione del firewall tutto ciò che non capisci.
• Cambia tutte le password e cerca eventuali account sconosciuti (assicurati che non abbiano attivato qualcuno che non è più con l'azienda in modo che possano usarlo ecc.).
• Questo potrebbe anche essere un buon momento per esaminare l'installazione di un Intrusion Detection System (IDS).
• Guarda i log più da vicino di quanto fai normalmente.

Per il futuro:
andare avanti quando un amministratore se ne va e dargli una bella festa e poi quando si ubriaca gli offre un passaggio a casa, quindi gettalo nel fiume, nella palude o nel lago più vicino. Più seriamente, questo è uno dei buoni motivi per concedere agli amministratori un generoso TFR. Volete che si sentano bene a partire il più possibile. Anche se non dovrebbero sentirsi bene, a chi importa ?, succhialo e rendilo felice. Fai finta che sia colpa tua e non loro. Il costo di un aumento dei costi per l'assicurazione di disoccupazione e il pacchetto di fine rapporto non si confronta con il danno che potrebbero fare. Si tratta del percorso di minor resistenza e della creazione del minor dramma possibile.

Non dimenticare artisti del calibro di Teamviewer, LogmeIn, ecc ... So che questo è già stato menzionato, ma un controllo del software (molte app là fuori) di ogni server / workstation non danneggerebbe, comprese le scansioni delle subnet con nmap Script NSE.

Per prima cosa, ottieni un backup di tutto sullo spazio di archiviazione esterno (ad esempio nastro o disco rigido che hai disconnesso e messo in archivio). In questo modo, se si verifica qualcosa di dannoso, potresti essere in grado di recuperare un po '.

Quindi, pettina le regole del firewall. Eventuali porte aperte sospette devono essere chiuse. Se c'è una porta sul retro, impedire l'accesso ad essa sarebbe una buona cosa.

Account utente: cerca il tuo utente scontento e assicurati che il loro accesso sia rimosso il prima possibile. Se ci sono chiavi SSH, o file / etc / passwd o voci LDAP, anche i file .htaccess, dovrebbero essere tutti sottoposti a scansione.

Sui tuoi server importanti cerca applicazioni e porte di ascolto attive. Assicurarsi che i processi in esecuzione ad essi associati appaiano sensati.

In definitiva un determinato dipendente scontento può fare qualsiasi cosa - dopo tutto, hanno conoscenza di tutti i sistemi interni. Si spera che abbiano l'integrità di non intraprendere azioni negative.

Un'infrastruttura ben gestita disporrà degli strumenti, del monitoraggio e dei controlli per impedirlo ampiamente. Questi includono:

• Segmentazione e firewalling della rete corretti
• IDS basati su host
• IDS basati sulla rete
• Registrazione centrale
• Controllo di accesso
• Cambia controllo

Se questi strumenti sono posizionati correttamente, avrai una pista di controllo. Altrimenti, dovrai eseguire un test di penetrazione completo .

Il primo passo sarebbe quello di controllare tutti gli accessi e cambiare tutte le password. Concentrati sull'accesso esterno e sui potenziali punti di accesso: è qui che il tuo tempo viene speso meglio. Se l'impronta esterna non è giustificata, eliminarla o ridurla. Ciò ti consentirà di concentrarti su più dettagli internamente. Prestare attenzione anche a tutto il traffico in uscita, poiché le soluzioni programmatiche potrebbero trasferire dati riservati all'esterno.

In definitiva, essere un amministratore di sistemi e reti consentirà l'accesso completo alla maggior parte, se non a tutte le cose. Con questo, arriva un alto grado di responsabilità. L'assunzione con questo livello di responsabilità non dovrebbe essere presa alla leggera e dovrebbero essere prese misure per minimizzare il rischio fin dall'inizio. Se un professionista viene assunto, anche se va in cattive condizioni, non intraprenderebbe azioni non professionali o illegali.

Ci sono molti post dettagliati su Server Fault che coprono il corretto controllo del sistema per la sicurezza e cosa fare in caso di interruzione di qualcuno. Questa situazione non è unica da quelle.

Un BOFH intelligente potrebbe eseguire una delle seguenti operazioni:

1. Programma periodico che avvia una connessione in uscita netcat su una porta ben nota per raccogliere comandi. Ad esempio, porta 80. Se fatto bene, il traffico avanti e indietro avrebbe l'aspetto del traffico per quella porta. Quindi, se sulla porta 80, avrebbe intestazioni HTTP e il payload sarebbe costituito da blocchi incorporati nelle immagini.

2. Comando Aperiodic che cerca in punti specifici i file da eseguire. I posti possono essere su computer degli utenti, computer di rete, tabelle extra nei database, directory di file di spool temporanee.

3. Programmi che controllano se una o più delle altre backdoor sono ancora in atto. In caso contrario, viene installata una variante e i dettagli vengono inviati via email a BOFH

4. Dal momento che gran parte dei backup viene ora eseguita con il disco, modificare i backup per contenere almeno alcuni dei kit di root.

Modi per proteggerti da questo genere di cose:

1. Quando un dipendente della classe BOFH lascia, installa una nuova scatola nella DMZ. Ottiene una copia di tutto il traffico che passa attraverso il firewall. Cerca anomalie in questo traffico. Quest'ultimo non è banale, specialmente se BOFH è bravo a imitare i normali schemi di traffico.

2. Ripeti i tuoi server in modo che i file binari critici vengano archiviati su supporti di sola lettura. Cioè, se vuoi modificare / bin / ps, devi andare sulla macchina, spostare fisicamente un passaggio da RO a RW, riavviare il singolo utente, rimontare quella partizione rw, installare la tua nuova copia di ps, sincronizzare, riavviare, interruttore a levetta. Un sistema fatto in questo modo ha almeno alcuni programmi fidati e un kernel fidato per svolgere ulteriori lavori.

Ovviamente se stai usando Windows, sei drogato.

3. Compartimentalizza la tua infrastruttura. Non ragionevole con le piccole e medie imprese.

Modi per prevenire questo genere di cose.

1. Richiedere attenzione ai veterinari.

2. Scopri se queste persone sono scontenti e risolvi i problemi del personale in anticipo.

3. Quando elimini un amministratore con questo tipo di poteri addolcisci la torta:

   un. Il suo stipendio o una frazione del suo stipendio continua per un periodo di tempo o fino a quando non si verifica un cambiamento sostanziale nel comportamento del sistema che non viene spiegato dal personale IT. Potrebbe trattarsi di un decadimento esponenziale. Ad esempio, ottiene una retribuzione completa per 6 mesi, l'80% di quello per 6 mesi, l'80% di quello per i prossimi 6 mesi.

   b. Parte della sua retribuzione è sotto forma di stock options che non hanno effetto per uno o cinque anni dopo la sua partenza. Queste opzioni non vengono rimosse quando lascia. Ha un incentivo per assicurarsi che la società funzionerà bene tra 5 anni.

Mi sembra che il problema esista anche prima che l'amministratore lasci. È solo che si nota il problema più in quel momento.

-> Uno ha bisogno di un processo per controllare ogni cambiamento, e parte del processo è che i cambiamenti vengono applicati solo attraverso di esso.

Assicurati di dirlo a tutti i membri dell'azienda una volta che se ne sono andati. Ciò eliminerà il vettore di attacco di ingegneria sociale. Se la società è grande, assicurati che le persone che hanno bisogno di sapere, lo sappiano.

Se l'amministratore era anche responsabile del codice scritto (sito Web aziendale, ecc.), Dovrai eseguire anche un controllo del codice.

Ce n'è uno grande che tutti hanno lasciato fuori.

Ricorda che non ci sono solo sistemi.

• I venditori sanno che la persona non fa parte del personale e non dovrebbe avere accesso (colo, telco)
• Esistono servizi ospitati esterni che possono avere password separate (exchange, crm)
• Potrebbero avere del ricatto comunque (va bene, questo sta iniziando a raggiungere un po '...)

A meno che tu non sia davvero paranoico, il mio suggerimento sarebbe semplicemente di eseguire diversi strumenti di scansione TCP / IP (tcpview, WireShark ecc.) Per vedere se c'è qualcosa di sospetto che tenta di contattare il mondo esterno.

Modifica le password dell'amministratore e assicurati che non vi siano account amministratore "aggiuntivi" che non devono necessariamente essere presenti.

Inoltre, non dimenticare di modificare le password di accesso wireless e controllare le impostazioni del software di sicurezza (in particolare AV e Firewall)

Controlla i log sui tuoi server (e sui computer su cui lavorano direttamente). Cerca non solo il loro account, ma anche account che non sono amministratori noti. Cerca buchi nei tuoi registri. Se un registro eventi è stato cancellato di recente su un server, è sospetto.

Controlla la data modificata sui file sui tuoi server web. Esegui uno script rapido per elencare tutti i file modificati di recente e rivederli.

Controlla la data dell'ultimo aggiornamento su tutti i criteri di gruppo e gli oggetti utente in AD.

Verificare che tutti i backup funzionino e che i backup esistenti esistano ancora.

Controllare i server in cui si stanno eseguendo i servizi Copia Shadow del volume per la cronologia precedente mancante.

Vedo già un sacco di cose buone elencate e volevo solo aggiungere queste altre cose che puoi controllare rapidamente. Ne varrebbe la pena di fare una recensione completa di tutto. Ma inizia dai luoghi con le modifiche più recenti. Alcune di queste cose possono essere verificate rapidamente e possono sollevare alcune bandiere rosse iniziali per aiutarti.

Fondamentalmente, direi che se hai un BOFH competente, sei condannato ... ci sono molti modi per installare bombe che sarebbero inosservate. E se la tua compagnia viene utilizzata per espellere "militari" da coloro che vengono sparati, assicurati che la bomba verrà piazzata bene prima del licenziamento !!!

Il modo migliore è ridurre al minimo i rischi di avere un amministratore arrabbiato ... Evita il "licenziamento per la riduzione dei costi" (se è un BOFH competente e vizioso, le perdite che potresti subire saranno probabilmente molto più grandi di quelle che otterrai il licenziamento) ... Se ha commesso un errore inaccettabile, è meglio che lo ripari (non pagato) come alternativa al licenziamento ... La prossima volta sarà più prudente a non ripetere l'errore (che sarà un aumento nel suo valore) ... Ma assicurati di raggiungere il buon obiettivo (è comune che le persone non competenti con un buon carisma rifiutino la propria colpa a quella competente ma meno sociale).

E se stai affrontando un vero BOFH nel peggiore dei modi (e che quel comportamento è la ragione del licenziamento), è meglio essere pronti a reinstallare da zero tutto il sistema con cui è stato in contatto (il che probabilmente significa ogni singolo computer).

Non dimenticare che una singola modifica a un bit può causare il caos dell'intero sistema ... (bit setuid, Jump se Carry to Jump if No Carry, ...) e che anche gli strumenti di compilazione potrebbero essere stati compromessi.

Buona fortuna se sa davvero qualcosa e imposta qualcosa in anticipo. Anche un dimwit può chiamare / e-mail / fax il telco con disconnessioni o persino chiedere loro di eseguire schemi di prova completi sui circuiti durante il giorno.

Scherzi a parte, mostrare un po 'd'amore e qualche grande alla partenza riduce davvero il rischio.

Oh sì, nel caso in cui chiamino per "ottenere una password o qualcosa del genere", ricorda loro la tua tariffa 1099 e il minimo di 1 ora e 100 spese di viaggio per chiamata, indipendentemente dal fatto che tu debba essere ovunque ...

Ehi, è lo stesso del mio bagaglio! 1,2,3,4!

Ti suggerisco di iniziare dal perimetro. Verifica le configurazioni del firewall assicurati di non avere punti di ingresso non previsti nella rete. Assicurati che la rete sia fisicamente sicura contro il suo rientro e l'accesso a qualsiasi computer.

Verifica di disporre di backup perfettamente funzionanti e ripristinabili. Buoni backup ti impediranno di perdere dati se fa qualcosa di distruttivo.

Verifica di tutti i servizi consentiti attraverso il perimetro e assicurarsi che gli sia stato negato l'accesso. Assicurarsi che tali sistemi dispongano di meccanismi di registrazione funzionanti.

Elimina tutto, ricomincia;)

Brucialo ... brucia tutto.

È l'unico modo per esserne sicuri.

Quindi, brucia tutti i tuoi interessi esterni, registrar di domini, fornitori di pagamenti con carta di credito.

Ripensandoci, forse è più facile chiedere a qualsiasi compagno Bikie di convincere l'individuo che è più salutare per loro non disturbarti.

Presumibilmente, un amministratore competente da qualche parte lungo la strada ha creato quello che viene chiamato BACKUP della configurazione del sistema di base. Sarebbe anche sicuro supporre che ci siano backup eseguiti con un livello ragionevole di frequenza che consenta di ripristinare un backup sicuro noto.

Dato che alcune cose non cambiano, è una buona idea per eseguire dal backup virtualizzato, se possibile, fino a quando è possibile garantire l'installazione principale non è compromessa.

Supponendo che il peggio diventi evidente, si fonde ciò che si è in grado di fare e si inserisce manualmente il resto.

Sono scioccato che nessuno abbia mai parlato di un backup sicuro prima di me stesso. Ciò significa che dovrei inviare il mio curriculum ai dipartimenti Risorse umane?

Prova a prendere il suo punto di vista.

Conosci il tuo sistema e cosa fa. Quindi potresti provare a immaginare cosa potrebbe essere inventato per connettersi dall'esterno, anche quando non sei più un amministratore di sistema ...

A seconda di come sono le infrastrutture di rete e di come tutto ciò funziona, sei la persona migliore che potrebbe sapere cosa fare e dove potrebbe trovarsi.

Ma mentre sembri parlare da un bofh sperimentato , devi cercare vicino ovunque ...

Tracciamento della rete

Poiché l'obiettivo principale è prendere il controllo remoto del tuo sistema, attraverso la tua connessione Internet, puoi guardare (anche sostituire perché potrebbe essere danneggiato anche lui!) Il firewall e provare a identificare ogni connessione attiva.

La sostituzione del firewall non garantirà una protezione completa ma assicurerà che nulla venga lasciato nascosto. Quindi, se si osserva il pacchetto inoltrato dal firewall, è necessario visualizzare tutto, incluso il traffico indesiderato.

Puoi usare tcpdumpper tracciare tutto (come fa Paranoid negli Stati Uniti;) e sfogliare i file di dump con strumenti avanzati come wireshark. Prenditi un po 'di tempo per vedere cosa è questo comando (hai bisogno di 100 GB di spazio libero su disco):

tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &

Non fidarti di tutto

Anche se trovi qualcosa, non sarai sicuro di essere stato trovato cose brutte!

Infine, non sarai molto silenzioso prima di aver reinstallato tutto (da fonti attendibili!)

Se non riesci a ripetere il server, la prossima cosa migliore è probabilmente bloccare i firewall il più possibile. Seguire ogni singola connessione in entrata possibile e assicurarsi che sia ridotta al minimo assoluto.

Cambia tutte le password.

Sostituisci tutte le chiavi ssh.

Generalmente è abbastanza difficile ...

ma se si tratta di un sito Web, dai un'occhiata al codice proprio dietro il pulsante Accedi.

Abbiamo trovato una cosa di tipo "if username = 'admin'" una volta ...

In sostanza, rendere inutile la conoscenza delle precedenti persone IT.

Cambia tutto ciò che puoi cambiare senza influire sull'infrastruttura IT.

Cambiare o diversificare i fornitori è un'altra buona pratica.