Download - Hva gjøres av sikkerhetsarbeid på USIT?

© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI

UNIVERSITETET I OSLOUSIT

Side 1

Hva gjøres av sikkerhetsarbeid på USIT?

Elisabeth Høidal Strøm

Usit/sas/os



Side 2

Hva gjør vi?

• Daily – maskinene rapporterer fra innsiden• Scanorama – maskinene scannes fra

utsiden• Labrea – honeypot• (Synderlister – legger ut lister av og til over

DCOM-sårbare maskiner)



Side 3

Usit-daily



Side 4

Hva er Usit-daily? (1)• Script som kjøres hver natt mellom 0000-

0600.• Maskinene rapporterer selv fra ”innsiden”.• Skal kjøre på alle maskiner i domenet.• Krav at alle maskiner er i domenet.• Tidligere todelt bruksområde:- patche – utgår (unntak, W2K pre SP3)- Logge og rapportere nyttig informasjon fra

maskinene.



Side 5

Hva er usit-daily (2):• Fra daily kjøres et loggescript som henter ut diverse

informasjon fra maskinen.• Resultatet lagres i en lokal fil på maskinen:

C:\etc\daily\logs\<maskinnavn>.log• Resultatet kopieres over til en sentral server

(serimne).• Filene skrives over for hver gang usit-daily kjører.• Rapportscript generer rapport ut fra loggfilene og

sender daglige raporterer til pcadm, om mistenkelige ting på en maskinen.

• Utvidet rapportscript kan nå sende mail til lita.



Side 6

Hensikt:• Oversikt

-lettere å holde kontroll på maskinene i domenet

-lette opprydning for oss og lita (dnsnavn,

maskiner utenfor domenet, osv..)• Sikkerhet

-ta tak i hacking/virus/orm-incidenter, fange opp

maskiner som tas på samme måte.

-patchestatus



Side 7

Hva logges? (1)• OS-informasjon (versjon,type,språk,sp,patcher)• Patchestatus (hfnetchk)• F-secure versjon• F-secure sist oppdatert• IP-konfigurasjonen• Diverse info, bla patcher (srvinfo)• Diskbruk • Shares på maskinen • Porter som maskinen lytter til/har åpne: (Netstat og fport)



Side 8

Hva logges? (2)• Servicer som er startet• Servicer som er installert (psservice)• Prosesser som går og path de kjøres fra (tlist)• Medlemmer av administratorgruppen• Informasjon om "guestaccount”, om den er

”active”• Medlemmer av guestgruppen• Profiler på maskinen (de som har være

innlogget)



Side 9

Hva logges? (3)• Om maskinen er installert med mkdisk, xp-

løsningen eller annet• Lokale innlogginger • Feilaktige administratorinnlogginger (mer

enn 5 på rad)• Søk etter en rekke "mistenkelige filer"

finnes på maskinen. Typisk signaturfiler fra kjente hackerangrep og hackerverktøy.

• innholdet i win.ini og boot.ini



Side 10

Hva logges? (4)

• subnøkler og verdier fra winlogon i registry• subnøkler og verdier fra run i registry• subnøkler og verdier fra runonce i registry• subnøkler og verdier fra startup i registry



Side 11

Hvordan installere usit-daily?

• Automatisk via domene (for W2K og XP)

=>boot av maskin = installasjon av usit-daily

• (Manuelt: \\wsh\us$\pc-daily\install-daily.bat )



Side 12

Nytt: dailylight• Kortversjon av daily: -OS-informasjon -patchestatus med hfnetchk -f-secure-versjon -f-secure sist oppdatert -sist kjørt daily• Kjører på startup av maskin dersom

hoveddaily ikke har kjørt siste døgnet.• Skriver resultat til sentral server (serimne)



Side 13

Hensikt med dailylight

• Kan kjøre ”on demand” ved behov• Fange opp maskiner som blir skrudd av om

natten• Rapportdelen av daily bruker lightloggen

dersom denne er nyest.



Side 14

Rapportene



Side 15

Daily-rapport• Har en liste over OU’er med tilhørende e-

postadresser og hva som skal sendes i hver rapport.

• Henter liste over maskiner fra AD• Leser daily-loggene på serimne• Lager rapport• Sender e-post og lagrer rapporten og en

fullstendig rapport lokalt



Side 16

Header• ##################################

#####• Rapport fra USIT-daily • Wed Sep 24 10:59:53 2003

• USIT • LDAP://OU=usit,DC=uio,DC=no

• Kontakt: [email protected]

• ##################################

#####



Side 17

Diverse tall 1• ######################################

# • Diverse tall fra daily • ######################################

#• Windows 2000 Servere: 43• Windows 2003 Servere: 11• Windows 2000: 14• Windows XP: 90• Windows 2000 som mangler SP3: 0• Windows XP som mangler SP1: 0• Ukjent OS: 0• Windows 2000 tjener/arbeidsstasjon: 0• Maskiner med semreg-image: 0• Bruker USITs XP-image: 69



Side 18

Diverse tall 2• Maskiner som mangler Office-update-patcher: 21• Maskiner som mangler viktige patcher: 10• Maskiner totalt i dette OU'et: 240• Maskiner som har daily-rapport: 160• Maskiner som ikke har daily-rapport siste uke og ikke aktiv:

27• Maskiner som ikke har daily-rapport, men aktiv i domenet:

53• Maskiner som hvor nyeste daily er 7 dager eller eldre: 0• Maskiner som har kjørt daily i dag: 153• Maskiner som har kjørt daily siste uke: 156• Maskiner som kun har light-versjon av daily-rapport: 5• Maskiner med mistenkelige filer: 7



Side 19

Diverse tall 3• Maskiner som har hatt lokale innlogginger: 1• Maskiner som har guestaccount active: 0• Maskiner hvor guest er med i admingruppe: 0• Maskiner som har hatt mer enn 5 lokale

administratorinnlogginer: 0• DNS stemmer ikke med maskinnavn: 8• DNS stemmer ikke med maskinnavn (og er ikke

dhcp): 2• Maskiner med ikke-engelsk windows: 0• Maskiner som brukte for lang tid på eklefilerleting:

26• Maskiner som gjør rare ting under eklefilersjekk: 0• Maskiner laget med mkdisk: 0



Side 20

Ekle filer• ####################################

###########• Maskiner med mistenkelige filer • ####################################

###########• EKKEL (129.240.255.666) har følgende mistenkelige filer:

• • sfind.exe: Found in (c:/tools/)• sfind.exe: Found in (c:/recycler/S-1-5-21-4146745624-

1268266741-2650905777-1030/COM1/a/)• svchost.exe: Found in specified dir (c:/winnt/system32/wins)



Side 21

DNS og maskinnavn• ##########################

#############• DNS stemmer ikke med maskinnavn (og er

ikke dhcp)• ##########################

#############• DNSnavn: liseberg Maskinnavn: EXCALIBUR IP:

129.240.12.34 • DNSnavn: <ikke dnsnavn> Maskinnavn: WAKE IP:



Side 22

Servere• ###############################

################• Windows 2000 Servere • ###############################

################• ACS (129.240.11.201) med SP4• ALGOL (129.240.130.86) med SP4• ARSENIKK (129.240.13.200) med SP4• CUBUS (129.240.130.69) med SP4• UFF (129.240.255.666) med SP3



Side 23

Ikke daily, aktiv i domenet• ##################################

#############• Maskiner som ikke har ny daily-rapport, men aktiv i

domenet siste uke• ##################################

#############• FYSJ Sist i domenet: Wed Sep 24 14:52:59 2003• URK Sist i domenet: Wed Sep 24 11:43:33 2003• FEIL Sist i domenet: Wed Sep 24 14:53:17 2003• MYSTISK Sist i domenet: Wed Sep 24 08:11:00 2003



Side 24

Ikke daily, ikke aktiv i domenet• ###############################

################• Maskiner som ikke har daily-rapport og ikke aktiv i

domenet siste uke• ###############################

################• ATTILA-VM Sist i domenet: Fri Aug 29 14:53:25

2003• BAALZ Sist i domenet: Mon Aug 11 20:01:48 2003• bastard Sist i domenet: Aldri



Side 25

Patcher som mangler (1)• ########################################

############• Maskiner som mangler viktige patcher• Følgende patcher blir ikke rapportert:• Q828750: Problemer med installering av patch (XP)• Q330944: Problemer med installering av patch (XP)• Q329419: Mange falske positive på W2K SP4• ########################################

############• Upatchetpc1:• WINDOWS XP PROFESSIONAL SP1: Q324096• Upatchetpc2:• WINDOWS MEDIA PLAYER 7.0 GOLD: Q287045• Upatchetpc3:• WINDOWS 2000 PROFESSIONAL SP3: Q296441 Q814078

Q823559



Side 26

Patcher som mangler (2)• ##################################

#############• Maskiner som mangler Office-update-patcher• ##################################

#############

• UPATCHETPC1 (• OFFICE 2000 GOLD: Q256167• EXCEL 2000 GOLD: Q241901• UPATCHETPC1 (• OFFICE 2000 SP3: Q824993 Q822035• WORD 2000 SP3: Q824936



Side 27

Hva må til for å få rapport?

• Alle maskiner må ligge i et fornuftig OU. – Flere OU’er går greit.– Maskiner i noDNS eller Computers er ikke greit

• Gi beskjed om hvilken driftsliste rapporten skal gå til og hvilke OU’er det gjelder.

• Alle maskiner skal være i domenet, alle maskiner i domenet skal kjøre daily.



Side 28

Spørsmål og svar



Side 29

Feilsøking / kjente feil• Spørsmål: Hvorfor blir ikke maskinen

patchet?• Svar: Daily patcher ikke, med unntak av

Windows 2000 før service pack 3.



Side 30

Feilsøking / kjente feil• Spørsmål: Maskinen er patchet, men daily

hevder den mangler viktige patcher. Hvorfor?• Svar:

– Windows Update sjekker ikke office-patcher.

– Hfnetchk gir rare resultater på noen maskiner. Vi jobber med å finne en løsning på problemet.



Side 31

Feilsøking / kjente feil

• Spørsmål: Maskinen har daily og at-jobb installert, men dukker ikke opp i rapportene. Hvorfor?

• Svar: Klonede maskiner får problemer med rettigheter for kjøring av daily-jobben.

Foreløpig må dette rettes opp maunelt ved å slette c:\etc\daily og at-jobben, slik at daily reinstalleres ved boot.



Side 32

Feilsøking / kjente feil• Spørsmål: Daily er ikke installert,

maskinen har ikke at-jobb og ingenting blir installert ved oppstart.

• Svar: Daily trenger skrivetilgang for å virke. Sjekk at SYSYEM har skrivetilgang i c:\etc-mappen.



Side 33

Feilsøking / kjente feil• Spørsmål: Jeg har satt maskinen til ikke å

boote med ”noboot.txt”. Men den booter av og til om natten likevel. Hvorfor?

• Svar: Noboot.txt gjelder ikke lenger. Den er fra da daily patchet. Nå patches det via windows update og noen av patchene trenger reboot av maskinen. Det er dessverre ingen måte å skille ut at noen maskiner ikke skal bootes på denne måten.



Side 34

Feilsøking / kjente feil• Spørsmål: Maskinen kjører daily og har

loggfil lokalt, men dukker ikke opp i rapportene. Hvorfor?

• Svar: Sjekk at daily får kjøre ferdig. På slutten av loggfilen at det står når daily avsluttet. Hvis andre at-jobber kjører om natten og f.eks shutter ned maskinen vil dette avbryte dailykjøringen og dermed ikke avlevere rapport til serimne.



Side 35

Flere ting…

• Daily er under utvikling (og kommer alltid til å være det…)

• Det er litt barnesykdommer ennå..• Hvis noe virker galt, er det sannsynligvis det – gi oss

beskjed• Hvis du det er noe du savner – gi oss beskjed• Webrapporter? • Dokumentasjonen på web er under oppdatering..• Jobber med et vektesystem for maskiner det bør

taes tak i.



Side 36

Scanorama



Side 37

Scannorama• Er et system for portscanning.• Rapporterer fra maskinene slik de ser ut fra

”utsiden”.• Hovedtanke:

Skann etter evne, søk etter behov • Er foreløpig i test-drift



Side 38

Bakgrunn• Ønsker å se etter sårbare tjenester eller indikasjoner

på kompromitterte maskiner.• Normal skanning etter kjente bakdører gir ofte

mange falske positive treff på ikkerelevante maskiner.

• Ofte ute etter å finne kombinasjoner av parametre. (f.eks kombinasjoner av porter eller kombinasjoner av operativsystem og åpne porter)

• Korrelering av data fra forskjellige kilder gir større muligheter til å finne interessante data ute å drukne i store mengder uinteressant informasjon.



Side 39

Systemet1) Skanneren – nmap står for portscanningen og

lagrer resultatene i XML-format.- Pingskann: For å registrere maskinene I databasen- Standardskann: Etter kjente

porter/tjenester/bakdører/skumle ting/med mer- OS-skann: Forsøk på å gjette OS’et til maskinen

2) Bannergrabbing - Netcat, HEAD og dig, brukes for å kontakte porter og finne ut tjenester som kjører på dem.

3) Databasen - PostgreSQL brukes foreløpig ikke så mye. Tenk å tas i bruk når systemet vokser. (Ta vare på historikk og varsle endringer)



Side 40

Planlagte utvidelser:• Web-grensesnitt for rapporter • Automatisering av mail til maskin-

ansvarlige • Historikk og baseline-sjekking • Automatisk mailrapportering • Sjekk av MAC-adresse (data fra IP-Watch) • Klareringsfunksjon som forteller systemet

hvordan en maskin skal se ut.



Side 41

Labrea



Side 42

LaBrea (honeypot)

• Svarer på alle porter på 2 hele subnett.• Både TCP og UDP.• Er på et av de tidlige (lave subnettene).• Tar laaang tid å portskanne.• Leverer logger og mailrapport videre

(spesielt fokus på portskann fra UiO maskiner).

• Påsikt skal det logges til dshield.org

Download - Hva gjøres av sikkerhetsarbeid på USIT?

Top Related