گام های تشخیص نفوذ در ویندوز (قسمت اول)

مقدمه

این مقاله گامهایی را برای تشخیص این موضوع که آیا سیستم ویندوز شما مورد سوء استفاده قرار گرفته است یا خیر مشخص می کند. مدیران سیستم می توانند از این اطلاعات برای تشخیص انواع مختلفی از نفوذها استفاده کنند. عبارت «سیستم ویندوز» در این مقاله به سیستمهایی اشاره می کند که از ویندوز XP و ویندوز Server 2003 استفاده می کنند. اگر در برخی موارد بین نسخه های مختلف ویندوز تفاوتی وجود داشته باشد، این مقاله صراحتا به آن اشاره خواهد کرد. این نکته مهم است که بین لغتهای auditing و مانیتور کردن (monitoring) که در این مقاله مورد استفاده قرار می گیرند تفاوت قائل شوید. auditing به عملیات ثبت کردن، گزارش نوشتن و یا جمع آوری اطلاعات گفته می شود در حالیکه مانیتور کردن، به عملیات بررسی اطلاعات جمع آوری شده برای تشخیص برخی وقایع گفته می شود. این مقاله با فرض آشنایی کاربر با سیستم عامل های ویندوز نوشته شده است. اطلاعات لازم برای مطالعه این مقاله عبارتند از:

1. داشتن اطلاعات در مورد چگونگی اجرای دستورات در محیط سیستم محلی LocalSystem
2. آشنایی با سیستمهای فایل ویندوز (به خصوص NTFS)
3. آشنایی با رجیستری ویندوز
4. اطلاعاتی در مورد مدیریت سیستمهای ویندوز

همچنین در این مقاله از کلمات زیر برای اشاره به بخشهای مختلف رجیستری استفاده می شود:

HKCR HKEY_CLASSES_ROOT
HKLM HKEY_LOCAL_MACHINE
HKU HKEY_USERS
HKCU HKEY_CURRENT_USER
HKCC HKEY_CURRENT_CONFIG

توصیه های عمومی مرتبط با تشخیص نفوذ

ثبت اطلاعات و نظارت پیشگیرانه یک گام لازم در عملیات تشخیص نفوذ است. ثبت اطلاعات در مورد دسترسی به داده هایی که قبلا در مورد آنها هشدار داده شده است و یا سیستمهایی که مورد سوء استفاده قرار گرفته اند بی تاثیر است و چنین گزارشهایی باید غیر قابل اعتماد فرض شوند. زمانی که به دنبال علائمی مبنی بر وقوع نفوذ می گردید، تمامی سیستمهای شبکه محلی را امتحان کنید. زیرا در بیشتر مواقع اگر یک سیستم مورد سوء استفاده قرار گرفته باشد، سایر سیستمهای روی شبکه نیز مورد سوء استفاده قرار می گیرند. همچنین با تولیدکنندگان نرم افزارهای خود در مورد اصلاحیه های ارائه شده برای سیستم خود در تماس باشید.
نکته: تمامی عملیاتی که در طول تحقیقات انجام می گیرند باید مطابق با سیاستها و روشهای سازمان شما باشند.
پیش از شروع به تحلیل سیستمی که حدس می زنید مورد سوء استفاده قرار گرفته باشد، گامهای زیر را دنبال کنید:

1. اطمینان حاصل کنید که آماده مستند کردن هر کاری که انجام می دهید به همراه جزئیات آن کار هستید.
2. یک نسخه پشتیبان دیسک سخت خود تهیه نمایید.
3. اگر سازمان شما قصد دارد در مقابل نفوذها اقدامات قانونی انجام دهد، قبل از انجام هرکاری با مشاور حقوقی خود مشورت کنید.

علائم نفوذ به سیستم

• وجود Rootkit ها
  اخیرا Rootkitها در سیستمهای ویندوز بسیار مرسوم شده و متاسفانه به طور رایگان در دسترس بوده و به صورت فزاینده ای مورد استفاده قرار می گیرند. یک Rootkit نرم افزاری مانند یک تروجان است و نوعا برای انجام موارد زیر طراحی می شود:
  1. وجود خود را و در نتیجه این واقعیت را که سیستم مورد سوء استفاده قرار گرفته است پنهان می کند.
  2. اطلاعاتی مانند کلمات عبور کاربر را سرقت می کند.
  3. یک در پشتی (backdoor) روی سیستم نصب می کند که می تواند توسط افراد خرابکار برای دسترسی از راه دور مورد استفاده قرار گیرد.
  4. اجازه می دهد که سیستم به عنوان پایگاهی برای گسترش خرابکاریها مورد استفاده قرار گیرد.

در زیر برخی محصولات که می توانند به تشخیص Rootkit کمک کنند فهرست شده اند. این محصولات همواره باید با مجوز و اولویت SYSTEM اجرا گردند.
نکته: ممکن است برخی از این نرم افزارها باعث ناپایداری سیستم یا به هم ریختن کار سیستم شوند. بنابراین باید ابتدا در یک محیط ایزوله تست گردند.

1.  Rkdetect که از سایت http://securityvulns.ru/soft قابل دسترسی است.
2.  VICE که یک ابزار تشخیص است و از سایت http://www.rootkit.com قابل دسترسی است. (نیاز به ثبت کردن دارد(
3.  BartPE که یک سیستم عامل مبتنی بر CD قابل boot است و قابلیت اجرای فایلهای باینری Win32 را داراست:  http://nu2.ne/pebuilder
4.  WinPE مشابه BartPE است ولی واسط کاربر گرافیکی ندارد: http://microsoft.com/licensing/programs/sa/support/winpe.mspx

• فایلهای گزارشها را بررسی کنید
  این کار را در مورد ارتباطاتی که از محلهای غیرعادی برقرار می شود و نیز در مورد سایر فعالیتهای غیر معمول انجام دهید. شما می توانید از Event Viewer استفاده کنید یا به دنبال ورودهای غیرعادی، سرویسهای رد شده، و یا restartهای بدون دلیل بگردید.

اگر فایروال، وب سرور یا مسیریاب شما گزارشها را روی محلی به جز سیستمی که در حال تحقیق درباره آن هستید ثبت می کند، این گزارشها را نیز چک کنید.

به خاطر داشته باشید که تمام اینها شاهد کافی بر عدم نفوذ به سیستم شما نیستند. چرا که بسیاری از نفوذگران برای حذف ردپای خود، فایلهای گزارش را نیز پاک می کنند.

• حسابهای کاربری و گروههای غیر عادی را بررسی کنید.
  شما می توانید «Local Users and Groups»  یا(lusrmgr.msc)  را از یک سیستم عضو دامنه یا یک کامپیوتر منفرد و یا از طریق دستورات  «net user»، «net group»  و  «net localgroup» مورد استفاده قرار دهید.

در یک کنترل کننده دامنه، «Active Directory Users and Computers»  یا(dsa.msc)  می تواند برای مشاهده و بررسی حسابهای دامنه مورد استفاده قرار گیرد.

• تمامی گروهها را در مورد عضویت ناخواسته برخی اعضا بررسی کنید.
  برخی گروههای درون ساختی (built-in) مجوزهای مخصوصی به اعضای آن گروهها می دهند.

برای مثال، اعضای گروه Administrators می توانند هرکاری که مایلند روی سیستم محلی انجام دهند، Backup operatorها می توانند هر فایلی را از روی سیستم بخوانند و کاربران Power می توانند اشتراک ایجاد نمایند. مراقب عضویت غیر مجاز اعضا در این گروهها باشید.

• به دنبال حقوق غیر مجاز کاربران بگردید.
  برای آزمایش کردن حقوق کاربران از ابزار User Manager در قسمت Policies در بخش User Rights استفاده نمایید.

28 حق کاربری مختلف وجود دارد که می تواند به کاربران یا گروهها تخصیص داده شود.

به طور معمول تنظیمات پیش فرض برای این حقوق امن است. اطلاعاتی در مورد مجوزهای پیش فرض تخصیص یافته به حسابهای کاربران برای ویندوز XP را می توانید در این قسمت ببینید وهمچنین می توانید مجوزهای کاربران را با استفاده از ntrights.exe با کمک این قسمت بررسی کرده یا تغییر دهید.

• به دنبال برنامه های بدون مجوزی بگردید که به طور خودکار آغاز به کار می کنند.
  یک فرد نفوذگر می تواند یک برنامه را که در پشتی (Back door) ایجاد می کند، آغاز نماید. بنابراین:

1. فولدرهای Startup را بررسی کنید.

تمامی بخشهای موجود در فولدرهای

 « C:Documents and Settings%username%Start MenuProgramsStartup»

 را بررسی نمایید.

شما همچنین می توانید تمامی shortcutها را از طریق منوی  Start، Programs،  Stratup چک کنید. توجه داشته باشید که دو فولدر Startup وجود دارد. یکی برای کاربران محلی و یکی برای تمامی کاربران.

زمانی که یک کاربر وارد سیستم می شود، تمامی برنامه ها در All Users و فولدر users startup شروع به اجرا می کنند. به همین دلیل مهم است که تمامی فولدرهای startup را در مورد برنامه های مشکوک چک کنید.

2. رجیستری را بررسی کنید.

بیشترین مکانهایی که برای آغاز برنامه ها در رجیستری مورد استفاده قرار می گیرند عبارتند از:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceSetup
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonUserinit
HKLMSoftwareMicrosoftWindows NTCurrentVersionWindows
HKLMSystemCurrentControlSetControlSession ManagerKnownDLLs
HKLMSystemControlSet001ControlSession ManagerKnownDLLs
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnceEx
HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnceSetup
HKCUSoftwareMicrosoftWindowsCurrentVersionRunServices
HKCUSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKCUSoftwareMicrosoftWindowsNTCurrentVersionWindowsload
HKCUSoftwareMicrosoftWindowsNTCurrentVersionWindows

3. سرویسهای ناشناخته را بررسی کنید.

برخی برنامه های در پشتی (backdoor) خودشان را به عنوان سرویسی نصب می کنند و زمانی که سیستم بالا می آید، آغاز به کار می کند.

سپس این سرویسها تحت عنوان هر کاربری با حق کاربری

 «Logon as a Service»اجرا خواهند شد. سرویسهایی را که به صورت خودکار شروع به اجرا می کنند چک کنید و اطمینان حاصل کنید که همگی لازم و ضروری هستند. همچنین بررسی کنید که فایل اجرایی سرویس، یک تروجان یا یک برنامه در پشتی (backdoor) نباشد.

 دستور زیر اطلاعات مربوط به سرویسهای نصب شده را روی یک فایل به فرمت html خواهد نوشت:

wmic /output:C:services.htm service get /format:hform

این دستور روی ویندوز XP و نسخه های بعدی ویندوز کار می کند. به علاوه، این دستور می تواند از طریق یک سیستم ویندوز XP برای چندین سرویس مختلف در سیستمهای مختلفی که از WMI استفاده می کنند، مورد استفاده قرار گیرد. برای اطلاعات بیشتر در مورد WMI و ابزار خط دستور WMI (WMIC) مستند زیر را مشاهده نمایید:

Windows Management Instrumentation Command-line

4. فایلهایی مانند  Autoexec.bat، Autoexec.nt، config.sys، system.ini و win.ini را در مورد ایجاد تغییرات غیر مجاز چک کنید.

این فایلها می توانند در زمان بالا آمدن سیستم برای شروع کردن برنامه ها مورد استفاده قرار بگیرند.

• فایلهای باینری سیستم خود را در مورد تغییراتشات بررسی کنید.
  نسخه های سیستم خود را با کپی هایی که می دانید تغییر نکرده اند چک کنید.

در اعتماد به  backupها محتاط باشید. زیرا آنها نیز می توانند حاوی بدافزار باشند.

برنامه های تروجان می توانند اندازه فایل و timestampی مشابه نسخه قانونی داشته باشند. بنابراین، صرفا چک کردن ویژگیهای فایل و timestampهای مرتبط با برنامه ها برای تصمیم گیری در مورد اینکه آیا برنامه ها جابه جا شده اند یا نه کافی نیست. به جای آن، از یک ابزار مانند WinMD5Sum یا یک IDS مانند GFI LanSIM یا سایر ابزارهای checksum رمزنگاری مانند Tripwire استفاده کنید تا این برنامه های تروجان را تشخیص دهید. همچنین می توانید از ابزاری (برای مثال PGP) برای ایجاد امضای رمز شده در خروجی WinMD5Sum یا LanSIM  برای مراجعه های بعدی استفاده کنید.

ویندوز XP همچنین شامل بخشی به نام "Windows File Protectrion"  یا(WFP)  است.

  WFP فایلهای حیاتی سیستم را در مورد تغییرات و جا به جا شدن آنها چک می کند.

 از امضای فایلها استفاده کرده و فایلهای تولید شده را بر اساس کد امضا فهرست می کند و به این ترتیب تشخیص می دهد که آیا فایلهای محافظت شده تغییر کرده اند یا خیر. جایگزینی فایلهای محافظت شده سیستم توسط روشهای محدودی قابل انجام است.

 این روشها عبارتند از:

1. نصب Widows Service Packبا استفاده از Update.exe
2. نصب Hotfixها با استفاده از Hotfix.exe یا Update.exe
3. به روز رسانیهای سیستم عامل با استفاده از Winnt32.exe
4. Windows Update

 WFP ابزاری به نام System File Checker  یا(sfc.exe)  را برای مدیریت Windows File Protection فراهم می کند.

برای اطلاعات بیشتر در مورد Windows File Protection، می توانید اسناد زیر را مطالعه کنید:
شرح ویژگی Widows File Protection
شرح System File Checker در XP و Server 2003
استفاده از آنتی ویروس و نرم افزار تشخیص ابزارهای جاسوسی نیز می تواند به شما کمک کند تا ویروسهای کامپیوتری، درهای پشتی (backdoor)، و برنامه های تروجان را روی سیستم خود پیدا کنید.

به خاطر داشته باشید که برنامه های خرابکار بطور مداوم در حال تولید هستند، بنابراین به روز بودن این نرم افزارها از اهمیت زیادی برخوردار است.
منبع:
http://www.auscert.org.au

فسا-پسا