Download - Hva gjøres av sikkerhetsarbeid på USIT?
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 1
Hva gjøres av sikkerhetsarbeid på USIT?
Elisabeth Høidal Strøm
Usit/sas/os
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 2
Hva gjør vi?
• Daily – maskinene rapporterer fra innsiden• Scanorama – maskinene scannes fra
utsiden• Labrea – honeypot• (Synderlister – legger ut lister av og til over
DCOM-sårbare maskiner)
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 3
Usit-daily
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 4
Hva er Usit-daily? (1)• Script som kjøres hver natt mellom 0000-
0600.• Maskinene rapporterer selv fra ”innsiden”.• Skal kjøre på alle maskiner i domenet.• Krav at alle maskiner er i domenet.• Tidligere todelt bruksområde:- patche – utgår (unntak, W2K pre SP3)- Logge og rapportere nyttig informasjon fra
maskinene.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 5
Hva er usit-daily (2):• Fra daily kjøres et loggescript som henter ut diverse
informasjon fra maskinen.• Resultatet lagres i en lokal fil på maskinen:
C:\etc\daily\logs\<maskinnavn>.log• Resultatet kopieres over til en sentral server
(serimne).• Filene skrives over for hver gang usit-daily kjører.• Rapportscript generer rapport ut fra loggfilene og
sender daglige raporterer til pcadm, om mistenkelige ting på en maskinen.
• Utvidet rapportscript kan nå sende mail til lita.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 6
Hensikt:• Oversikt
-lettere å holde kontroll på maskinene i domenet
-lette opprydning for oss og lita (dnsnavn,
maskiner utenfor domenet, osv..)• Sikkerhet
-ta tak i hacking/virus/orm-incidenter, fange opp
maskiner som tas på samme måte.
-patchestatus
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 7
Hva logges? (1)• OS-informasjon (versjon,type,språk,sp,patcher)• Patchestatus (hfnetchk)• F-secure versjon• F-secure sist oppdatert• IP-konfigurasjonen• Diverse info, bla patcher (srvinfo)• Diskbruk • Shares på maskinen • Porter som maskinen lytter til/har åpne: (Netstat og fport)
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 8
Hva logges? (2)• Servicer som er startet• Servicer som er installert (psservice)• Prosesser som går og path de kjøres fra (tlist)• Medlemmer av administratorgruppen• Informasjon om "guestaccount”, om den er
”active”• Medlemmer av guestgruppen• Profiler på maskinen (de som har være
innlogget)
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 9
Hva logges? (3)• Om maskinen er installert med mkdisk, xp-
løsningen eller annet• Lokale innlogginger • Feilaktige administratorinnlogginger (mer
enn 5 på rad)• Søk etter en rekke "mistenkelige filer"
finnes på maskinen. Typisk signaturfiler fra kjente hackerangrep og hackerverktøy.
• innholdet i win.ini og boot.ini
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 10
Hva logges? (4)
• subnøkler og verdier fra winlogon i registry• subnøkler og verdier fra run i registry• subnøkler og verdier fra runonce i registry• subnøkler og verdier fra startup i registry
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 11
Hvordan installere usit-daily?
• Automatisk via domene (for W2K og XP)
=>boot av maskin = installasjon av usit-daily
• (Manuelt: \\wsh\us$\pc-daily\install-daily.bat )
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 12
Nytt: dailylight• Kortversjon av daily: -OS-informasjon -patchestatus med hfnetchk -f-secure-versjon -f-secure sist oppdatert -sist kjørt daily• Kjører på startup av maskin dersom
hoveddaily ikke har kjørt siste døgnet.• Skriver resultat til sentral server (serimne)
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 13
Hensikt med dailylight
• Kan kjøre ”on demand” ved behov• Fange opp maskiner som blir skrudd av om
natten• Rapportdelen av daily bruker lightloggen
dersom denne er nyest.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 14
Rapportene
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 15
Daily-rapport• Har en liste over OU’er med tilhørende e-
postadresser og hva som skal sendes i hver rapport.
• Henter liste over maskiner fra AD• Leser daily-loggene på serimne• Lager rapport• Sender e-post og lagrer rapporten og en
fullstendig rapport lokalt
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 16
Header• ##################################
#####• Rapport fra USIT-daily • Wed Sep 24 10:59:53 2003
• USIT • LDAP://OU=usit,DC=uio,DC=no
• Kontakt: [email protected]
• ##################################
#####
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 17
Diverse tall 1• ######################################
# • Diverse tall fra daily • ######################################
#• Windows 2000 Servere: 43• Windows 2003 Servere: 11• Windows 2000: 14• Windows XP: 90• Windows 2000 som mangler SP3: 0• Windows XP som mangler SP1: 0• Ukjent OS: 0• Windows 2000 tjener/arbeidsstasjon: 0• Maskiner med semreg-image: 0• Bruker USITs XP-image: 69
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 18
Diverse tall 2• Maskiner som mangler Office-update-patcher: 21• Maskiner som mangler viktige patcher: 10• Maskiner totalt i dette OU'et: 240• Maskiner som har daily-rapport: 160• Maskiner som ikke har daily-rapport siste uke og ikke aktiv:
27• Maskiner som ikke har daily-rapport, men aktiv i domenet:
53• Maskiner som hvor nyeste daily er 7 dager eller eldre: 0• Maskiner som har kjørt daily i dag: 153• Maskiner som har kjørt daily siste uke: 156• Maskiner som kun har light-versjon av daily-rapport: 5• Maskiner med mistenkelige filer: 7
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 19
Diverse tall 3• Maskiner som har hatt lokale innlogginger: 1• Maskiner som har guestaccount active: 0• Maskiner hvor guest er med i admingruppe: 0• Maskiner som har hatt mer enn 5 lokale
administratorinnlogginer: 0• DNS stemmer ikke med maskinnavn: 8• DNS stemmer ikke med maskinnavn (og er ikke
dhcp): 2• Maskiner med ikke-engelsk windows: 0• Maskiner som brukte for lang tid på eklefilerleting:
26• Maskiner som gjør rare ting under eklefilersjekk: 0• Maskiner laget med mkdisk: 0
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 20
Ekle filer• ####################################
###########• Maskiner med mistenkelige filer • ####################################
###########• EKKEL (129.240.255.666) har følgende mistenkelige filer:
• • sfind.exe: Found in (c:/tools/)• sfind.exe: Found in (c:/recycler/S-1-5-21-4146745624-
1268266741-2650905777-1030/COM1/a/)• svchost.exe: Found in specified dir (c:/winnt/system32/wins)
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 21
DNS og maskinnavn• ##########################
#############• DNS stemmer ikke med maskinnavn (og er
ikke dhcp)• ##########################
#############• DNSnavn: liseberg Maskinnavn: EXCALIBUR IP:
129.240.12.34 • DNSnavn: <ikke dnsnavn> Maskinnavn: WAKE IP:
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 22
Servere• ###############################
################• Windows 2000 Servere • ###############################
################• ACS (129.240.11.201) med SP4• ALGOL (129.240.130.86) med SP4• ARSENIKK (129.240.13.200) med SP4• CUBUS (129.240.130.69) med SP4• UFF (129.240.255.666) med SP3
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 23
Ikke daily, aktiv i domenet• ##################################
#############• Maskiner som ikke har ny daily-rapport, men aktiv i
domenet siste uke• ##################################
#############• FYSJ Sist i domenet: Wed Sep 24 14:52:59 2003• URK Sist i domenet: Wed Sep 24 11:43:33 2003• FEIL Sist i domenet: Wed Sep 24 14:53:17 2003• MYSTISK Sist i domenet: Wed Sep 24 08:11:00 2003
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 24
Ikke daily, ikke aktiv i domenet• ###############################
################• Maskiner som ikke har daily-rapport og ikke aktiv i
domenet siste uke• ###############################
################• ATTILA-VM Sist i domenet: Fri Aug 29 14:53:25
2003• BAALZ Sist i domenet: Mon Aug 11 20:01:48 2003• bastard Sist i domenet: Aldri
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 25
Patcher som mangler (1)• ########################################
############• Maskiner som mangler viktige patcher• Følgende patcher blir ikke rapportert:• Q828750: Problemer med installering av patch (XP)• Q330944: Problemer med installering av patch (XP)• Q329419: Mange falske positive på W2K SP4• ########################################
############• Upatchetpc1:• WINDOWS XP PROFESSIONAL SP1: Q324096• Upatchetpc2:• WINDOWS MEDIA PLAYER 7.0 GOLD: Q287045• Upatchetpc3:• WINDOWS 2000 PROFESSIONAL SP3: Q296441 Q814078
Q823559
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 26
Patcher som mangler (2)• ##################################
#############• Maskiner som mangler Office-update-patcher• ##################################
#############
• UPATCHETPC1 (• OFFICE 2000 GOLD: Q256167• EXCEL 2000 GOLD: Q241901• UPATCHETPC1 (• OFFICE 2000 SP3: Q824993 Q822035• WORD 2000 SP3: Q824936
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 27
Hva må til for å få rapport?
• Alle maskiner må ligge i et fornuftig OU. – Flere OU’er går greit.– Maskiner i noDNS eller Computers er ikke greit
• Gi beskjed om hvilken driftsliste rapporten skal gå til og hvilke OU’er det gjelder.
• Alle maskiner skal være i domenet, alle maskiner i domenet skal kjøre daily.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 28
Spørsmål og svar
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 29
Feilsøking / kjente feil• Spørsmål: Hvorfor blir ikke maskinen
patchet?• Svar: Daily patcher ikke, med unntak av
Windows 2000 før service pack 3.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 30
Feilsøking / kjente feil• Spørsmål: Maskinen er patchet, men daily
hevder den mangler viktige patcher. Hvorfor?• Svar:
– Windows Update sjekker ikke office-patcher.
– Hfnetchk gir rare resultater på noen maskiner. Vi jobber med å finne en løsning på problemet.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 31
Feilsøking / kjente feil
• Spørsmål: Maskinen har daily og at-jobb installert, men dukker ikke opp i rapportene. Hvorfor?
• Svar: Klonede maskiner får problemer med rettigheter for kjøring av daily-jobben.
Foreløpig må dette rettes opp maunelt ved å slette c:\etc\daily og at-jobben, slik at daily reinstalleres ved boot.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 32
Feilsøking / kjente feil• Spørsmål: Daily er ikke installert,
maskinen har ikke at-jobb og ingenting blir installert ved oppstart.
• Svar: Daily trenger skrivetilgang for å virke. Sjekk at SYSYEM har skrivetilgang i c:\etc-mappen.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 33
Feilsøking / kjente feil• Spørsmål: Jeg har satt maskinen til ikke å
boote med ”noboot.txt”. Men den booter av og til om natten likevel. Hvorfor?
• Svar: Noboot.txt gjelder ikke lenger. Den er fra da daily patchet. Nå patches det via windows update og noen av patchene trenger reboot av maskinen. Det er dessverre ingen måte å skille ut at noen maskiner ikke skal bootes på denne måten.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 34
Feilsøking / kjente feil• Spørsmål: Maskinen kjører daily og har
loggfil lokalt, men dukker ikke opp i rapportene. Hvorfor?
• Svar: Sjekk at daily får kjøre ferdig. På slutten av loggfilen at det står når daily avsluttet. Hvis andre at-jobber kjører om natten og f.eks shutter ned maskinen vil dette avbryte dailykjøringen og dermed ikke avlevere rapport til serimne.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 35
Flere ting…
• Daily er under utvikling (og kommer alltid til å være det…)
• Det er litt barnesykdommer ennå..• Hvis noe virker galt, er det sannsynligvis det – gi oss
beskjed• Hvis du det er noe du savner – gi oss beskjed• Webrapporter? • Dokumentasjonen på web er under oppdatering..• Jobber med et vektesystem for maskiner det bør
taes tak i.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 36
Scanorama
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 37
Scannorama• Er et system for portscanning.• Rapporterer fra maskinene slik de ser ut fra
”utsiden”.• Hovedtanke:
Skann etter evne, søk etter behov • Er foreløpig i test-drift
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 38
Bakgrunn• Ønsker å se etter sårbare tjenester eller indikasjoner
på kompromitterte maskiner.• Normal skanning etter kjente bakdører gir ofte
mange falske positive treff på ikkerelevante maskiner.
• Ofte ute etter å finne kombinasjoner av parametre. (f.eks kombinasjoner av porter eller kombinasjoner av operativsystem og åpne porter)
• Korrelering av data fra forskjellige kilder gir større muligheter til å finne interessante data ute å drukne i store mengder uinteressant informasjon.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 39
Systemet1) Skanneren – nmap står for portscanningen og
lagrer resultatene i XML-format.- Pingskann: For å registrere maskinene I databasen- Standardskann: Etter kjente
porter/tjenester/bakdører/skumle ting/med mer- OS-skann: Forsøk på å gjette OS’et til maskinen
2) Bannergrabbing - Netcat, HEAD og dig, brukes for å kontakte porter og finne ut tjenester som kjører på dem.
3) Databasen - PostgreSQL brukes foreløpig ikke så mye. Tenk å tas i bruk når systemet vokser. (Ta vare på historikk og varsle endringer)
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 40
Planlagte utvidelser:• Web-grensesnitt for rapporter • Automatisering av mail til maskin-
ansvarlige • Historikk og baseline-sjekking • Automatisk mailrapportering • Sjekk av MAC-adresse (data fra IP-Watch) • Klareringsfunksjon som forteller systemet
hvordan en maskin skal se ut.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 41
Labrea
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLOUSIT
Side 42
LaBrea (honeypot)
• Svarer på alle porter på 2 hele subnett.• Både TCP og UDP.• Er på et av de tidlige (lave subnettene).• Tar laaang tid å portskanne.• Leverer logger og mailrapport videre
(spesielt fokus på portskann fra UiO maskiner).
• Påsikt skal det logges til dshield.org