Если вас хакнули… Жизнь после взлома, часть первая

Статья предназначена для рядовых юзеров, не являющихся специалистами в области компьютерной безопасности, но волею судьбы ставших мишенью компьютерной атаки, а также тех, кто не хочет пополнить собой список жертв хакеров.

Введение

Это все-таки случилось… Скорее всего вы прочитали об этом на своей любимой домашней страничке, которую теперь в таком испохабленном состоянии стыдно кому-либо показать. А может быть, вам позвонил неизвестный и сообщил это неприятное известие по телефону, причем АОН вместо номера собеседника выдавал что то непонятное - то ли меняющиеся цены на Нью-Йоркской бирже, то ли расстояние от Земли до Марса, а может и функцию половой активности сусликов в Каракумской пустыне. Может быть, вы прочли это в полученном сегодня электронном письме, наряду со всяким рекламным и религиозным мусором… Хотя не исключено, что вы и сами догадались об этом: ВАС ХАКНУЛИ!!!

Что-то действительно было не так с компьютером в последние дни. Вы не можете сказать точно, что именно вас раздражало или настораживало, но было ощущение чего-то неправильного: вялая, «тормозная» работа, неожиданные зависания и перезагрузки, к тому же можно припомнить и аномально высокую загрузку процессора тогда, когда вы вроде бы ничего особенного не делали, или слишком большую сетевую активность, появляющиеся непонятные временные файлы, или наоборот, отсутствие каких-нибудь файлов. Короче, сейчас вы думаете, что надо было раньше обо всем догадаться и принять какие-нибудь меры. А сейчас…

Конечно, надо было и соображать быстрее, да а и меры предпринимать заранее. Но, как говорится, «умная мысля приходит опосля». Вернемся к настоящему. Для начала, надо успокоить себя – от компьютерного взлома еще ни один «чайник» не умирал. Ну разве что до смерти упившись по данному поводу. К тому же, вы ведь не считаете себя совсем уж «чайником»? Во вторых, надо задать себе сразу три важных вопроса: было ли на компьютере что-то ценное, и если было, то сохранилось ли? Как злоумышленник смог проникнуть? И что надо сделать, чтобы подобного не повторилось? Порядок поиска ответов на эти вопросы может быть любым, но, на мой взгляд, проще всего сначала ответить на первый.

Фактически каждый человек, имеющий в своем распоряжении компьютер, свято убежден, что на нем имеется масса полезной и ценной информации, без которой он чуть ли не сможет дальше жить. Встречающиеся иногда поломки винчестеров, приводящие к потере всего содержимого HDD, показывают, что в подавляющемся большинстве случаев это не так, и важность информации была существенно преувеличена человеком, что он прекрасно может обходиться и без нее, и уже через пару-тройку недель новый винчестер будет забит такой же «ценной» для данного человека информацией. Подумаем логически. Вряд ли хакеру могли потребоваться сэйвы вашего перекаченного героя из Diablo 2 или коллекция ботов для Counter Strike, еще меньше ему нужно содержимое вашей видеотеки (фильмы он и так может легко достать, да и скачивать их от вас по Интернету – занятие для мазохистов). Фактически, ценность для постороннего человека могут предоставлять только файлы, содержащие какую-либо финансовую, технологическую и другую секретную информацию о фирмах, организациях и их разработках. Гораздо реже мишенью могут являться файлы, содержащие чувствительную, интимную информацию о конкретных частных лицах.

Если на вашем компьютере не было подобной информации – можете спать спокойно. Если же такая информация все же содержалась – проверьте, не уничтожена ли или не изменена ли она, а также попытайтесь сообразить, в руках кого из ваших конкурентов/врагов/знакомых она может оказаться наиболее опасной, кому выгоден этот взлом, а также, наверное, стоит заранее обдумать ваши действия на каждый из таких вариантов развития событий. Хотя, существует большая вероятность (приближается к 100%), того, что хакер либо не обратил внимания на эту информацию, либо не посчитал ее ценной для кого-нибудь, либо просто не смог ею распорядиться.

Как хакер смог проникнуть? Это уже более интересный и конкретный вопрос. Злоумышленник мог использовать самые разные способы внедрения: автоматизированные rootkits, трояны, вирусы и разнообразные эксплоиты, весь арсенал которых предназначен для одной конкретной цели - преодолеть вашу защиту. Обнаружение и удаление этих программ является подчас очень непростой задачей, требующей значительных затрат времени и нервов, а иногда и уничтожения и переустановки целых приложений.

В этой статье для начала посмотрим, какие методы могут использоваться, чтобы вернуть вашу систему в рабочее состояние (если такого не наблюдается), а также воспрепятствовать новым атакам хакера. Ведь в данном случае глупо уповать на принцип «две бомбы в одну воронку не падают», скорее мы имеем обратную ситуацию – система, показавшая однажды свою слабость в защите, будет обязательно проверяться снова и снова на самые разные уязвимости. Кроме того, среди хакеров довольно распространен принцип «отведал сам – поделись с другом», что способствует быстрому распространении информации об уязвимости и уязвимых системах.

Backup и улики

Я не собираюсь здесь распинаться, насколько важно делать резервные копии вашей системы. После взлома большинство людей сами поймут ценность этого, если и не на собственном опыте, то на примере своих знакомых жертв хакерских атак. Ведь если вам не удастся установить и устранить причину и восстановить взломанную систему, то вы можете потерять данные последних нескольких месяцев, потратить уйму драгоценного времени на простой в работе, заново инсталлировать все программы. Альтернативой backup традиционно является форматирование дисков и установка всего «с нуля». Причина? Трудно сразу определить глубину нарушения безопасности. Было ли это действие простого, автоматизированного эксплоита, разработанного для замены web-страницы? Или сложное, хорошо продуманное и организованное нападение, построенное для установки в вашей системе многочисленных троянов и черных ходов? В таких атаках замену web-странички часто используют для отвлечения внимания от основных действий хакера. Правильный backup превращает весь кошмар взлома в простое временное неудобство, так как вы можете восстановить резервные файлы с минимальным временем простоя.

Второе обязательное действие в случае имевшего место взлома компьютера или сети организации (в случае домашнего компьютера – по желанию владельца) – это обработка инцидента. В этой статье содержатся общие методы обнаружения и удаления вредного кода, независимо от операционной системы и эксплоита. Основная цель состоит в том, чтобы помочь читателям найти те основные действия, которые надо совершить, чтобы вернуть систему в нормальный действующий вид. Если же вы или ваша организация планирует детально исследовать инцидент, необходимо выполнение которых процедур. Образ взломанной системы должен быть создан немедленно. Почему? Большинство нападений оставляет многочисленные следы, «отпечатки пальцев»: логи, измененные файлы, время всех соединений с вашей системой. Любой вид злонамеренной деятельности может оставить такие следы, которые могут использоваться в качестве улик, вещественных доказательств, как и в любых других видах преступлений. К счастью, цифровой характер нашей работы позволяет нам быстро создать любое число копий для будущего изучения. Перед началом любого восстановления, отключитесь от сети и создайте точную копию системы, в таком виде, как вы ее нашли. В процессе восстановления тщательно регистрируете вашу работу. Сама регистрация станет свидетельством того, как вы провели ваше расследование.

Что-то неправильно – определение возможности злонамеренного кода

Хотя некоторые эксплоиты и разработаны для того, чтобы в явном виде заявить об успехе взлома (или насмехаться над жертвой), работа подавляющего большинства из них остается на первый взгляд незаметной. Нетрудно сообразить, что они остаются тихими по причине проведения какой-то особо важной тайной деятельности. Поэтому такой код трудно обнаружить. Известен случай, когда код очень долго оставался в компьютерной системе банка и незначительно округлял в пользу хакера операции с крупными суммами - ничтожная ошибка учета в несколько центов ни у кого не вызывала подозрений!

В нашем случае признаками проблемы также могут являться даже незначительные аномалии. Так, в крупной российской корпорации один из офисных сотрудников утверждал, что у него не всегда с первого раза получается войти в систему с его компьютера. Все остальные загружались без проблем. От сотрудника долго отмахивались, так как проблемы никто не видел. Когда же, в конце концов, специалисты решили исследовать причину ошибки, выяснили, что в сценарий запуска на данной машины встроен троян-шпион. Если у вас имеется чувство, что что-то работает неправильно, стоит внимательно изучить проблему. К сожалению, часто оказывается, что ваши подозрения были оправданы.

Что говорят логи?

Если все-таки что-то вызывает вашу тревогу, с чего начать? Если есть возможность, отключите систему от остальной сети и поработайте автономно. Это гарантирует, что никакой дальнейший ущерб не будет распространяться. К сожалению, зачастую у вас не будет такой роскоши. Некоторые компьютеры и особенно серверы слишком важны в работе организации, чтобы по первому подозрению снять их с работы. Однако, как только действительно подтверждается инцидент, немедленно без малейших колебаний сделайте систему автономной, чтобы уменьшить ущерб.

Само исследование должно начаться с полной экспертизы файлов системного журнала. Особенно стоит просмотреть записи логов, события системы и административные действия. К сожалению, в таких записях нет комментариев, что мол это – обычная работа, а вот это – действия злоумышленника. Странные времена соединений, незапланированные перезагрузки, неудачные попытки соединений и внеплановые административные процедуры вызовут подозрения, но многого вам не расскажут. Для большей глубины поиска пробуйте рассмотреть логи прикладных программ типа созданных FTP, почтой, web или базами данных демонами. Эти файлы уже могут сообщить много интересного и конкретного.

Теперь плохие новости. Многие опытные злоумышленники изменяют, чистят или полностью уничтожают после атаки файлы системного журнала. Если вы не осуществляете запись логов на отдельный сервер, то зачастую у вас мало что останется для изучения. Но все равно процесс обзора не должен отвергаться. Хакеру очень трудно полностью замаскировать все следы, и только самые виртуозы (их не более двух десятков во всем мире) способны полностью оставаться незамеченными. Вторичные логи, типа определенных файлов приложений, способны фиксировать неопределенные события. Местоположение таких файлов изменяется в разных операционных системах, в отличие от системных логов, так что подавляющее большинство хакеров либо оставляет их, а часть даже не знает о их существовании и местоположении в конкретной OS.

Как это проявляется?

Следующим шагом в процессе анализа должно стать наблюдение за аномалиями в поведении системы. Цель состоит в том, чтобы обнаружить аномалии или изменения в запущенной конфигурации системы. Для начала, надо определить, какие процессы происходят и определить их назначение, то есть вы должны выучить, почему запущена та или иная программа при работе вашей системы. Когда ситуация вдруг меняется, вы легко определите, что конкретно изменилось и что было запущено. В наблюдаемые статистики включите: использование процессора, частоту или расписание запуска программ, и владельца процессов. Также стоит знать, что эксплоит может входить в состав стандартного процесса или называть себя тем же именем. Так что требуется внимание и усердие в изучении. Представьте, что это – своего рода охота. И как в любой другой охоте сперва требуется много времени, чтобы обнаружить свою добычу. Хакеры редко облегчают эту работу нам, но обученным глазом при определенном терпении и надлежащих инструментах, мы можем найти их ошибки. Ведь хакеры ошибаются. Причем гораздо чаще рядового пользователя, так как обычно используют свежие, не до конца отработанные методы, программы или приемы, к тому же вынуждены действовать во многих случаях практически вслепую. И тогда вы сами удивитесь, насколько вы будете рады увидеть злоумышленника в своей системе, будете бояться нечаянно его спугнуть или чем-то выдать себя. Азарт, который трудно с чем-то сравнить.

Продолжение следует ….