.png)
KB000002
W myśl hasła:
warto regularnie monitorować ruch sieciowy w domach, aby zapobiec nie autoryzowanej, nie pożądanej działalności osób/robotów z zewnątrz. Chociaż nie istnieje uniwersalny wzorzec, który w każdej sytuacji pozwala jednoznacznie identyfikować aktywność szpiegowską, zaleca się podejmowanie dostępnych kroków, takich jak kontrola aktywności serwerów Command and Control (C2), aby sprawdzić, czy nie są one obecnie aktywne na naszym hoście.
Jak w prosty sposób
sprawdzić podejrzaną aktywność?
Otwórz terminal ( CTRL + ALT + T ) i uruchom polecenie:
[ Jeśli wiesz która kolumna zawiera PID ]
lsof -i | grep 'ESTABLISHED'
[ jeśli potrzebujesz nagłówków w kolorze ]
(lsof -i -nP | grep -m 1 'COMMAND\|PID\|USER\|FD\|TYPE\|DEVICE\|SIZE/OFF\|NODE\|NAME'; lsof -i -nP | grep 'ESTABLISHED')[ jeśli wystarczą ci same nagłówki ]
lsof -i -nP | awk 'NR==1 || /ESTABLISHED/'Używamy selektywnie stanu 'ESTABLISHED', dlatego że informuje to nas o trwałym i ustanowionym połączeniu. C2 podczas wykonywania operacji, wymaga tego.
Przykład dziwnej pozycji która powinna nas zainteresować to:
Powiedzmy że zauważasz, iż proces 'python3', który jest ogólnym interpreterem Pythona, nawiązuje jakieś zewnętrzne połączenie sieciowe np. C&C. I teraz tak: o ile wiadomo że Python używany jest do legalnych zadań, o tyle w różnych scenariuszach, zwłaszcza gdy nie jesteś programistą, powinno zostać to poddane prostej analizie:
a kto,
a skąd
a jak,
a po co,
a od kiedy
Jak przeprowadzić proste dochodzenie
podejrzanej aktywności z udziałem C&C?
Krok 1: Sprawdź katalog roboczy z plikiem
sudo pwdx <numer PID>[ W razie potrzeby rozszerz powyższe wyniki o informację o procesie ]
ps -f -p <numer PID>Krok 2: Pozyskaj dane o połączeniu
lsof -p <numer PID>Krok 3: Uruchom monitoring połączenia
sudo strace -p <numer PID>Zdarza się czasami, że backdoory itp. pozostawiają plik typu 'dziennik.log', który wykorzystywany jest do operacji typu 'debbuging'. Mając zgromadzone dane, przeszukaj katalog roboczy i po znalezieniu odczytaj zawartość np. za pomocą poniższego plecenia:
tail -f /path/to/filePODSUMOWUJĄC
Kontrola ruchu sieciowego, w poszukiwaniu dziwnych aktywności ze statusem 'ESTABLISHED' może pomóc w wychwyceniu działania Command & Control i przerwanie eksfiltracji danych na skompromitowanym urządzeniu poprzez odłączenie go od sieci i prądu. To w gruncie rzeczy, stanowi pierwszy krok.
Wszystkie powyższe dane należy zgromadzić i przesłać do CERT Polska wraz z opisem sytuacji za pomocą formularzy dostępnych na https://incydent[.]cert.pl/#!/lang=pl
Może się okazać że zostaniesz poinformowany o konieczności zgłoszenia się do specjalnego oddziału komendy. Jest to normalna procedura.
Comments