Начальнику службы
внутренне безопасности,
Альтер Эго,
от старшего офицера
аналитического отдела верхней подкорки,
Хэнг Овера.
Служебная записка
Abstract
Данный документ содержит анализ успешной сетевой атаки DoS (отказ в
обслуживании) на центральный кластер серверной фермы предприятия - хост
offtopic.
Clinical course
В 12:00 на хост offtopic пришел запрос на установление соединение от хоста
smok. Поскольку данный хост находится в списке доверенных систем,
дополнительной аутентификации проведено не было.
Далее хост smok. послал сообщение на порт LDAP-locator хоста offtopic. в
котором содержалось запрос на разрешение доступа к порту номер 40 (согласно
WKDL соответствует приложению vodka). Поскольку вычислительные ресурсы
хоста offtopic. были заняты высокоприоритетными процессами washing и
cleaning, запрос был поставлен в низкоприоритетную очередь соединений.
Злоумышленник попытался повысить приоритет вызова. В 12:45 с хоста smok.
поступил дополнительный запрос на аутентификацию для получения в системе
статуса bro. В качестве аутентификационных данных был предъявлен
легальный сертификат стандарта X.0.5 выданный доверенным центром
сертификации. После проверки списка отозванных сертификатов в публичном
списке хоста BABY.ZLO и подтверждении валидности сертификата хост offtopic.
присвоил сессии хоста smok. уровень привилегий bro, после чего отменил
правила фильтрации и начал принимать пакеты на 40й порт. В 13:00 дежурный
администратор, обнаружив резкое падение производительности системы,
попытался в оперативном порядке установить свободно распространяемую
систему фильтрации пакетов BORZCH, однако это привело только к
увеличению трафика на 40й порт. В 14:45 очередь пакетов на порт vodka
неожиданно закончилась. К этому моменту взаимный трафик двух систем
составил около 500 мл. Исходя из анализа трафика можно предположить,
что за это время в систему был внедрен многопоточный бестелесный сетевой
червь класса Flagman. В этот момент система offtopic., вероятно по инициативе червя установила
встречное соединение с хостом smok. по 4му порту протокола LDAP (согласно
IANA - light beer absorption protocol), на что smok, ответил дополнительным
соединением на 40й порт хоста offtopic. Дальнейшее действия злоумышленника
тщательно удалены из системных журналов, однако на основе данных
мониторинга производительности можно сделать вывод о том, что злоумышленник
пользуясь полученным статусом, осуществил переполнение входного буфера LDAP
системы offtopic., что в 22:20 привело к переходу системы в состояние
blackout. Поскольку хост, используемый злоумышленником не использовал
технику фильтрации трафика и маскировки адреса, т.е. являлся полноценным
участником взаимодействия, в результате атаки он так же был полностью
выведен из строя. По оценкам экспертов, общий трафик по 40му порту к концу
атаки достиг 1500 мл.
Recovery
К хосту offtopic. были предприняты стандартные процедуры восстановления:
- Загрузка в режиме Cold Shower;
- Установка временных обновлений системы безопасности Lime и Coffee.
К 12:00 следующего после атаки дня работоспособность системы была полностью
восстановлена.
Recommendations
Поскольку полное отключение протокола LDAP в системах класса
offtopic. может привести к заметному снижению производительности или переходу системы
в состояние GAS, рекомендуется перенаправить обработку данных 40 порта
на приложение cognac, являющиеся более защищенной версией протокола vodka,
имеющей дополнительные средства авторизации, аутентификации и аудита.
Кроме того, желательна установка на хост системы обнаружения атак
реализующей фильтрацию трафика LDAP с использованием stateful технологий. В
качестве примера можно привести систему Girlfriend. В зависимости от
комплектации стоимость поставки данной системы может сильно колебаться,
однако вычислительные ресурсы, затрачиваемые хостами на обработку
несанкционированного LDAP-трафика приводят к значительным потерям
финансовым, что продемонстрировано данной атакой. Не рекомендуется
использование программных продуктов Whore, которые, как показали результаты
независимых исследований, не только не выполняют фильтрацию LDAP-трафика,
но и сами могут являться его источником. Кроме того, данные продукты
проходят лишь поверхностное тестирование перед инсталляцией, что может
привести к сбоям в работе системы или проникновению вируса.
LDAP . local drink alcohol protocol. Высокопроизводительный многоцелевой
протокол уровня приложений стека P&D (pour and drink). В системах human
beings стандартной конфигурации обладает большими возможностями по доступу
к внутренним ресурсам.
WKDL . well-known drinks list. Список ведётся комитетом IANA . Internet
Authority of Never Abstinent.
bro. - пользователь, имеющий высокоприоритетный доступ к подсистеме
LDAP.
BORZCH - BrOz.s Rests Zombie CHop-suey
мл. - единица измерения информации в протоколе P&D.
GAS. go away suckers. Состояние систем humans beings
характеризующееся невозможностью удаленного и локального подключения к
системе. Зачастую требует полной переинсталляции системы или проведения
восстановительных мероприятий класса DURKA.