Реагирование на инциденты
Итак, мы смогли настроить систему обнаружения атак, и на ее консоли появилось первое сообщение. Что дальше? Как вы должны среагировать на это сообщение? Пропустить, как незначащее, или со всех ног бежать разбираться, что же случилось? Процесс принятия решения о действиях в случае обнаружения атак и их выполнение и называется реагированием на инциденты.
Исторически сложилось так, что обнаружение атак и реагирование на них были самостоятельными процессами. Однако постепенно грань между ними стиралась, и представить сейчас современные системы обнаружения атак без таких механизмов просто невозможно. При этом реагирование может быть двояким. Первый тип реагирования уже не раз упоминался выше и заключается в реализации некоторых действий в ответ на зафиксированное событие. Например, это может быть реконфигурация межсетевого экрана или уведомление администратора об атаке. Можно видеть, что данный вариант реагирования оперирует только событиями безопасности, которые были описаны во главе 2. Но представим себе ситуацию, когда кто-то начинает против вашей сети атаку типа "отказ в обслуживании", подменяя при этом свой реальный адрес. Этот пример уже был описан выше. В таком случае необходимо иметь механизм или процедуру идентификации точного адреса злоумышленника, чтобы быть уверенным, что ваша система обнаружения атак не заблокирует санкционированного пользователя. Способность определить источник инцидента очень важна, иначе реагирование на него может привести к возникновению нового инцидента. Примером такого инцидента может служить блокировка учетной записи при превышении определенного числа неудачных попыток регистрации в системе. Злоумышленник, желающий заблокировать работу того или иного пользователя, может несколько раз попытаться зарегистрироваться под его именем. В результате учетная запись пользователя будет заблокирована. Кстати, об этом надо помнить при использовании систем анализа защищенности, исследующих стойкость системы парольной защиты.
Пример из жизни
В моей практике был случай, когда один из заказчиков с помощью Internet Scanner проверял узел, который выполнял функции контроллера домена. Настройки подсистемы управления учетными записями были таковы, что блокировка учетной записи (см. рис. 4.1) осуществлялась после третьей неправильной попытки регистрации в системе. Internet Scanner, проверяя контроллер домена, привел к ситуации, когда все учетные записи пользователей домена оказались заблокированными.
Следовательно, способность дифференцировать источники атаки очень важна для выбора того или иного варианта реагирования. Рассмотренный выше случай достаточно прост, но это не значит, что проблема не актуальна. В доказательство можно привести более серьезный пример. Например, в фильме "Военные игры" молодой вундеркинд "влез" в компьютерную военную систему и имитировал "вторжение" неприятеля на территорию США. Компьютер Министерства обороны посчитал все это за "чистую монету" и предпринял ответные действия в виде приведения Вооруженных Сил США в боевую готовность. Всего несколько секунд отделяло мир от начала ядерной катастрофы. И этот пример не выдумка режиссеров. Такая ситуация может возникнуть и сейчас.
Необходимо заметить, что многие инциденты приводят к тому, что не меньше форм реагирования на эти инциденты становятся неприменимыми. Например, нашумевший в 1988 году "червь Морриса" заблокировал многие узлы Internet, которые использовались специалистами разных стран в области безопасности для координации своих действий. При этом электронная почта была единственным средством общения между ними. Аналогичный случай произошел в США совсем недавно, когда из-за аварии вышло из строя большое количество пейджеров, на которые передавались сообщения об инцидентах для многих групп реагирования (Response Team). Надежный вариант реагирования не должен зависеть от воздействия атаки.
Итак, надеюсь, что необходимость однозначной идентификации источника атаки не вызывает сомнений. Но если вновь обратиться к главе 2, то мы заметим, что модель атаки не оперирует понятием "источник", — оно возникает только в модели "инцидент". И именно с этим связан тот факт, что современные системы обнаружения атак не могут однозначно идентифицировать источник несанкционированной деятельности. Решить данную задачу поможет процесс реагирования на инциденты, который также позволяет быстро и своевременно предпринять соответствующие ответные действия.
Как уже вкратце упоминалось в главе 7, первое, что необходимо сделать до начала эксплуатации системы обнаружения атак, — это определить, кто будет ее эксплуатировать и контролировать? Вряд ли оправдано использовать высококвалифицированного эксперта, сидящего за консолью системы обнаружения атак и ожидающего появления сигнала тревоги. В большинстве случаев такую функцию выполняет "не подкованный" в области сетевой безопасности оператор, который может даже и не знать, что такое Ping of Death или Windows OOB. Многие современные системы обнаружения атак ранжируют все обнаруживаемые события по степени риска, но практически ни одна из них не дает советов, что делать в случае обнаружения такой атаки.
Поэтому необходимо разработать и утвердить документы, описывающие все действия, которые следует выполнять операторам при обнаружении атак.
При этом на одно и то же нападение, в зависимости от сопутствующих факторов, реагирование может быть разным. Например, вы зафиксировали сканирование портов вашего межсетевого экрана. Если он настроен хорошо, то это не очень серьезная угроза, которая требует только фиксации адреса нарушителя. Но если ваш межсетевой экран поддерживает возможность создания VPN, и сканирование портов осуществляется от вашего партнера, с которым у вас установлено защищенное соединение, то такой случай является значительно более неприятным по сравнению с предыдущим. Это означает, что или сеть вашего партнера была скомпрометирована, или кто-то из его сотрудников пытается вторгнуться в вашу сеть. Рассматриваемый инцидент требует более серьезного изучения и уже не входит в компетенцию оператора, который по своей неопытности не может делать различий между этими вариантами. Без наличия соответствующего руководящего документа он просто может не обратить должного внимания на второй случай.
И даже для достаточно опытного операторы многие сообщения системы обнаружения атак являются сущей "китайской грамотой". Например, на консоль выдается сообщение об обнаружении использования уязвимости "dot-dot" или переполнении буфера демона statd. Система обнаружения атак должна описывать каждое из замеченных ею событий. Пока не все современные средства защиты могут похвастаться этим. По результатам многих испытаний лучшей системой, "объясняющей" каждую из атак, являются RealSecure компании ISS. Щелчок кнопкой мыши на сообщении, соответствующем каждой из обнаруженных атак, открывает окно с подробной интерпретацией каждой атаки, начиная с описания механизма работы и подверженных этой атаке операционных систем и заканчивая случаями ложного обнаружения атаки и мерами, позволяющими в дальнейшем устранить возможность ее реализации. Компании Cisco и ISS разрешают самим пользователям настраивать выдаваемые сообщения, что существенно облегчает использование этих систем у заказчика.
Теперь допустим, что оператор смог правильно идентифицировать и зарегистрировать атаку. Он определил, что атака не ложная и имеет высокую степень риска. А что дальше? Какие действия он должен выполнить при переходе обнаруженного события в реальный инцидент? Например, злоумышленник, /используя уязвимость Web-сервера, смог получить на нем права администратора и изменить заглавную HTML-страницу в виртуальном представительстве вашей компании. Что должен сделать оператор в этом случае? Отключить Web-сервер от сети и позвонить Web-мастеру? Переустановить операционную систему и ПО Web-сервера? Добавить автоматическое блокирование соединения с зарегистрированным IP-адресом для предотвращения любых будущих атак с данного адреса? Или же?..
Обработка инцидентов — очень сложный механизм, реализовать который самостоятельно системе обнаружения атак не под силу. В лучшем случае она сможет в зависимости от цели, типа и степени риска атаки выполнить то или иное действие. Например, разорвать соединение с атакующим узлом или реконфигурировать маршрутизатор или межсетевой экран. Но, во первых, правильно принять решение о том, КАК надо реагировать на обнаруженное событие, должен человек, а уж система обнаружения атак — просто исполнитель этого решения. А во-вторых, автоматическая реакция может обернуться негативной стороной, как это уже было не раз продемонстрировано выше.
Все вышесказанное подводит нас к мысли, что функции реагирования на инциденты должны быть возложены на специальную команду, которая согласно [Jet2-00], "выполняет, координирует и поддерживает реагирование на нарушения, затрагивающие информационные системы в пределах определенной зоны ответственности". Данная группа, называемая группой реагирования на инциденты безопасности (Computer Security Incident Response Team, CSIRT), должна действовать в рамках описанных в политике безопасности процедур. В первую очередь должно быть определено, что входит в компетенцию группы реагирования на инциденты, чтобы не получилось ситуации, когда CSIRT дублирует функции отдела автоматизации, в который пользователи обращаются по всякому важному и неважному поводу. Главным образом, вы должны реализовать ряд нижеперечисленных эффективных защитных мер.
· В процессе создания группы реагирования на инциденты вы должны обозначить круг лиц, которые должны привлекаться всякий раз, когда зафиксирован инцидент. Необязательно (хотя и крайне желательно), чтобы эти специалисты занимались только реагированием на инциденты – ведь не каждый же день вы подвергаетесь атакам (если конечно вы — не очень известная компания или Internet-портал). Например, группа реагирования может состоять из сотрудников отдела телекоммуникаций, отдела автоматизации, отдела защиты информации и т. д.
· Необходимо разработать руководящие документы, описывающие варианты реагирования. Например, вы должны решить, позволять ли осуществлять атаку злоумышленнику в случае нападения или сразу прекратить ее. Иногда, для предоставления доказательств в суд или иную инстанцию, необходимо не прерывать атаку, а собирать дополнительную информацию об атакующем и его действиях. Для этого можно применять обманные системы, завлекающие злоумышленника в ловушку.
· Важно разработать руководящие документы, регламентирующие варианты связи с другими людьми в случае обнаружения атаки. Вы информируете об атаке своего руководителя и т. д. вплоть до руководства компании или распространяете сообщение также среди всех заинтересованных лиц по горизонтали? Вы принимаете участие в таких организациях, как RU-CERT при РосНИИРОС или нет? Вы сообщаете об атаке в Управление "Р" или иное соответствующее ведомство (отделы, аналогичные управлению "Р", созданы в ФСБ, МО и т. д.) или придерживаете информацию? Вы уведомляете об атаке ваших партнеров, которые подключены к вашей сети и также могут быть скомпрометированы? Вы скрываете факт атаки от СМИ или наоборот — афишируете его? Все эти вопросы требуют ответа.
· Оповестите свой персонал о создании группы реагирования на инциденты и ее функциях. Для этого, с одной стороны, можно разослать циркулярный документ, описывающий цели и задачи формируемой группы, а с другой — можно создать внутренний информационный Web-сервер, содержащий информацию о зафиксированных инцидентах, а также форму для заполнения ее пользователем в случае возникновения такой ситуации. Примером подобной формы является бланк, созданный отечественной или зарубежной группами реагирования на инциденты (http://www.cert.ru или ftp://info.cert.org/incident_reporting_form).
Группа реагирования на инциденты помимо функций, вытекающих из ее названия, может выполнять и другие действия [Brown1-98].
· Публиковать анонсы уязвимостей и атак, как это делает, например, Х-Force.
· Составлять технические отчеты о тех или иных уязвимостях или атаках.
· Проводить обучение.
· Выполнять анализ защищенности и риска.
· Осуществлять консалтинг в области безопасности.
· Разрабатывать средства для реагирования на инциденты и отслеживания злоумышленников.
Такие группы могут действовать в рамках всего сообщества Internet (например, CERT), в пределах одной страны (например, RU-CERT), в границах отдельного ведомства (например, CIAC), отдельного производителя или компании [Brown1-99]. В данной книге нас в первую очередь интересует именно последний вариант.
Можно выделить 6 этапов реагирования на инциденты [SANS1-98].
1. Подготовка. Данная стадия включает в себя разработку политики безопасности различных документов, уже описанных выше.
2. Идентификация. На этом этапе определяется, действительно ли произошел инцидент, и если он подтвержден, то определяются параметры данного инцидента (адрес злоумышленника, путь атаки, доказательства атаки и т. д.).
3. Сдерживание. Цель этапа — как можно быстрее локализовать инцидент и
не дать ему распространиться дальше.
4. Устранение. Данный этап предназначен для устранения проблемы
(например, уязвимости), приведшей к инциденту.
5. Восстановление. Результатом осуществляемых здесь действий является
полное восстановление системы после инцидента.
6. Обратная связь. На заключительном шаге подробно описывается и изучается зафиксированный инцидент с тем, чтобы в случае его повтора свое
временно предпринять ответные меры.
Подробное рассмотрение процесса реагирования на инциденты выходит за рамки рассмотрения данной книги, посвященной технологии обнаружения атак и системам, ее реализующим. Для более глубокого изучения затронутой темы я могу порекомендовать следующие источники: [Navy1-96] [Northcutt1-96], [NRL1-95], [Wack1-91], [Smith1-94], [Chen1-00], [Chen1-95], [Longstaff1-93], [Brownlee1-96].
Заключение
До недавнего времени специалисты в области безопасности сталкивались с несанкционированными действиями, которые могут быть отнесены к первым двум поколениям атак [Schneier1-00]. Первое поколение — так называемые физические атаки, которые направлены против компьютеров, коммуникационного оборудования и других физических устройств. Это было первое поколение атак, для борьбы с которыми были разработаны достаточно эффективные способы защиты (протоколы HSRP, VRRP, кластерные технологии и т. д.). Второе поколение атак — это нападения на логические составляющие информационных систем (операционные системы, программное обеспечение и т. д.), которые могут быть реализованы вследствие различных слабостей в алгоритмах и проектах, ошибках при реализации и в конфигурации.
Атака на Emulex Corp.
25 августа 2000 года служба распределения пресс-релизов Internet Wire получила сообщение от компании Emulex Corp., в котором говорилось, что исполнительный директор этой компании ушел в отставку. Служба Internet Wire, не проверив корректность данного сообщения, распространила его среди своих подписчиков. Некоторые другие службы также распространили данное сообщение, которое на самом деле являлось подделкой. В результате курс акций компании Emulex упал на 61% (со $113 до $43), чем не преминул воспользоваться злоумышленник, создавший ложный пресс-релиз.
Приведенный пример демонстрирует третье поколение атак, против которых практически бессильны современные автоматизированные средства защиты. Данная книга посвящена именно второму поколению атак и способам их обнаружения. В этой книге я попытался рассказать о том, на что стоит обращать внимание при создании инфраструктуры обнаружения атак. Однако, создав ее, вы еще не полностью обезопасили себя от атак. И это надо понимать. Система обнаружения атак, пусть даже самая эффективная, – это всего лишь основополагающее, но явно недостаточное условие для обеспечения эффективной информационной безопасности организации. Heобходимо провести целый спектр организационных и технических мероприятий для построения целостной системы защиты вашей организации. Это и анализ рисков, и разработка политики безопасности, и установка и настройка различных средств защиты (межсетевые экраны, системы анализа защищенности и т. д.), и обучение специалистов, и т. д.
Подводя итог, можно сказать, что система обнаружения атак — это больше, чем несколько сенсоров, установленных на различных узлах корпоративной сети. Эффективная и надежная система обнаружения атак позволяет собирать и анализировать информацию от множества удаленных системных и сетевых агентов на центральной консоли. Она позволяет сохранять эту информацию для более позднего анализа и предоставляет средства для проведения такого анализа. Эта система постоянно контролирует все установленные агенты и мгновенно реагирует в случае возникновения тревоги. И, наконец, система обнаружения атак не более чем "дорогостоящая игрушка", если у вас в штате нет экспертов в области защиты информации, которые знают, как использовать эту систему и как реагировать на постоянно растущую информационную угрозу. Использование всех этих компонентов в комплексе образует реальную и эффективную систему обнаружения атак [Пауэр1-00].
Итак, если вы хотите:
· иметь гарантии, что практически все существующие и вновь появляющиеся в сети уязвимости будут найдены;
· быть уверенными, что все системы сконфигурированы не противоречащим политике безопасности компании образом;
· твердо знать, что почти все потенциально враждебные уязвимости и атаки обнаруживаются вовремя и им своевременно противопоставляются соответствующие механизмы и средства защиты;
· обеспечить в реальном времени, не останавливая функционирование сети, реконфигурацию программного и аппаратного обеспечения сети в случае возникновения угрозы;
· поддержать своевременное уведомление ответственных за сетевую безопасность о возникающих проблемах;
· обеспечить анализ тенденций для более эффективного планирования защиты сети,
то решение этих проблем достигается за счет применения технологий обнаружения атак. Современное поколение систем обнаружения атак, описанных в книге, — это только начало пути. В будущем мы увидим, что эти системы будут сочетать обнаружение аномального поведения и злоупотреблений, и, смеем надеяться, что они постепенно начнут очень тесно интегрироваться с межсетевыми экранами и другими средствами защиты. Так что следите развитием технологий в этой области, и широко используйте их сегодня: сеть, которую вы спасаете, может быть вашей собственной [Ранум1-98].
Приложение 1
Список портов, используемых "троянскими конями"
| № | Порт | Название |
| Death | ||
| Senna Spy FTP Server | ||
| Back Construction, Blade Runner, Doly Trojan, Fore, Invisible FTP, Juggernaut 42, Larva, Motlv FTP, Net Administrator, Senna Spy FTP Server, Traitor 21, WebEx,WinCrash | ||
| Shaft | ||
| Fire Hacker, Tiny Telnet Server — TTS, Truva Atl | ||
| Ajan, Antigen, Email Password Sender—EPS, EPS II, Gip, Gris, Нарру99, Hpteam mail, I love you, Kuang2, Magic Horse, МВТ (Mail Bombing Trojan), Moscow Email trojan, Naebi, NewApt worm, Pro-Mail trojan, Shtirlitz, Stealth, Tapiras, Terminator, WinPC, WinSpy | ||
| Agent 31, Hackers Paradise, Masters Paradise | ||
| Deep Throat, Foreplay or Reduced Foreplay | ||
| DRAT | ||
| DRAT | ||
| DMSetup | ||
| CDK, Firehotcker | ||
| AckCmd, Back End, CGI Backdoor, Executor, Hooker, RingZero | ||
| RemoConChubo | ||
| Hidden Port | ||
| ProMail trojan | ||
| Invisible Identd Deamon, Kazimas | ||
| Нарру99 | ||
| JammerKillah | ||
| Net Controller | ||
| Farnaz | ||
| NetTaxi | ||
| 146 (TCP/UDP | Infector | |
| A-trojan |
(продолжение)
| № | Порт | Название |
| Backage | ||
| Breach | ||
| TCP Wrapper trojan | ||
| Hackers Paradise | ||
| Grlogin | ||
| RPC Backdoor | ||
| Rasmin | ||
| Ini-Killer, Net Administrator, Phase Zero, Phase-0, Stealth Spy | ||
| Secret Service | ||
| Attack FTP, Back Construction, Cain & Abel, NokNok, Satans Back Door – SBD, ServU, Shadow Phyre | ||
| SniperNet | ||
| DP trojan | ||
| GayOL | ||
| AimSpy, Undetected | ||
| WinHole | ||
| Dark Shadow | ||
| Deep Throat, Foreplay or Reduced Foreplay, WinSatan | ||
| Der Spaher / Der Spaeher | ||
| Der Spaher/Der Spaeher, Le Guardien, Silencer, WebEx | ||
| Doly Trojan | ||
| Doly Trojan | ||
| Doly Trojan | ||
| Doly Trojan | ||
| Doly Trojan | ||
| Vampire | ||
| NetSpy | ||
| BLA trojan | ||
| Rasmin | ||
| /sbin/initd |
(продолжение)
| № | Порт | Название |
| MiniCommand | ||
| AckCmd | ||
| WinHole | ||
| WinHole | ||
| WinHole | ||
| WinHole | ||
| Xtreme | ||
| Remote Administration Tool — RAT | ||
| Remote Administration Tool — RAT | ||
| Remote Administration Tool — RAT | ||
| Blood Fest Evolution, Remote Administration Tool - RAT | ||
| Psyber Stream Server — PSS, Streaming Audio Server, Voice | ||
| 1200 (UDP) | NoBackO | |
| 1201 (UDP) | NoBackO | |
| SoftWAR | ||
| Kaos | ||
| Ultors Trojan | ||
| BackDoor-G, SubSeven , SubSeven Apocalypse, Tiles | ||
| Voodoo Doll | ||
| Scarab | ||
| Project NEXT | ||
| Matrix | ||
| NETrojan | ||
| Millenium Worm | ||
| Bo dll | ||
| FTP99CMP | ||
| Trinoo | ||
| Shivka-Burka | ||
| Scarab |
(продолжение)
| № | Порт | Название |
| SpySender | ||
| Fake FTP | ||
| Opc BO | ||
| Bowl, Shockrave | ||
| Back Door, TransScout | ||
| Der Spaher / Der Spaeher, Insane Network | ||
| Der Spaher / Der Spaeher, Trojan Cow | ||
| Ripper Pro | ||
| WinHole | ||
| Bugs | ||
| 2140 (UDP) | Deep Throat, Foreplay or Reduced Foreplay | |
| Illusion Mailer | ||
| Nirvana | ||
| Hvl RAT | ||
| Xplorer | ||
| 2339 (TCP/UDP) | Voice Spy — OBS!!! namnen har bytt plats | |
| Doly Trojan | ||
| Striker trojan | ||
| WinCrash | ||
| Digital RootBeer | ||
| The Prayer | ||
| SubSeven , SubSeven 2.1 Gold | ||
| Phineas Phucker | ||
| 2989 (UDP) | Remote Administration Tool - RAT | |
| Remote Shut | ||
| WinCrash | ||
| RingZero | ||
| Masters Paradise |
(продолжение)
| № | Порт | Название |
| The Invasor | ||
| 3150 (UDP) | Deep Throat, Foreplay or Reduced Foreplay | |
| Terror trojan | ||
| Eclipse 2000, Sanctuary | ||
| Portal of Doom - POD | ||
| Total Solar Eclypse | ||
| Total Solar Eclypse | ||
| Skydance | ||
| WinCrash | ||
| Virtual Hacking Machine — VHM | ||
| BoBo | ||
| Prosiak, Swift Remote | ||
| File Nail | ||
| ICQ Trojan | ||
| ICQ Trogen (Lm) | ||
| Back Door Setup, BlazerS, Bubbel, ICKiller, Sockets des Troie | ||
| Back Door Setup, Sockets des Troie | ||
| Shaft, cd00r | ||
| Solo | ||
| One of the Last Trojans - OOTLT | ||
| WM Remote KeyLogger | ||
| Net Metropolitan | ||
| Net Metropolitan | ||
| FileHotcker | ||
| WCrat - WC Remote Administration Tool | ||
| Back Construction, Blade Runner | ||
| Back Construction, Blade Runner | ||
| Back Construction, Blade Runner |
(продолжение)
| № | Порт | Название |
| Illusion Mailer | ||
| Xtep | ||
| ServeMe | ||
| BO Facil | ||
| BO Facil | ||
| Robo-Hack | ||
| PC Crasher | ||
| PC Crasher | ||
| WinCrash | ||
| Portmap Remote Root Linux Exploit | ||
| 5882 (UDP) | Y3K RAT | |
| Y3K RAT | ||
| The Thing | ||
| Bad Blood | ||
| Secret Service | ||
| The Thing | ||
| Dark Connection Inside, NetBus worm | ||
| ScheduleAgent, Trinity, WinSatan | ||
| Host Control, Vampire | ||
| BackWeb Server, Deep Throat, Foreplay or Reduced Foreplay, Win-Nuke eXtreame | ||
| BackDoor-G, SubSeven , VP Killer | ||
| Funny trojan, SubSeven | ||
| SubSeven | ||
| Mstream | ||
| Deep Throat, Foreplay or Reduced Foreplay | ||
| 2000 Cracks, BackDoor-G, SubSeven , VP Killer | ||
| 6838 (UDP) | Mstream | |
| Delta Source Dark Star | ||
| Shit Heep |
(продолжение)
| № | Порт | Название |
| Indoctrination | ||
| GateCrasher, IRC 3, Net Controller, Priority | ||
| GateCrasher | ||
| Exploit Translation Server, Kazimas, Remote Grab, SubSeven 2.1 Gold | ||
| FreakS | ||
| SubSeven, SubSeven 2.1 Gold | ||
| NetMonitor | ||
| NetMonitor | ||
| NetMonitor | ||
| NetMonitor | ||
| NetMonitor | ||
| 7424 (TCP/UDP) | Host Control | |
| Qaz | ||
| Tini | ||
| Back Door Setup, ICKiller | ||
| Mstream | ||
| Brown Orifice, RemoConChubo, RingZero | ||
| Back Orifice 2000 | ||
| BacHack | ||
| Rcon, Recon, Xcon | ||
| Netministrator | ||
| 9325 (UDP) | Mstream | |
| InCommand | ||
| Portal of Doom — POD | ||
| Portal of Doom — POD | ||
| Portal of Doom — POD | ||
| Portal of Doom — POD | ||
| Cyber Attacker, Rux | ||
| TransScout |
(продолжение)
| № | Порт | Название |
| Ini-Killer | ||
| The Prayer | ||
| 10067 (UDP) | Portal of Doom - POD | |
| Syphillis | ||
| Syphillis | ||
| BrainSpy | ||
| Portal of Doom - POD | ||
| Acid Shivers | ||
| Host Control | ||
| Coma | ||
| 10666 (UDP) | Ambush | |
| Senna Spy Trojan Generator | ||
| Host Control | ||
| Host Control | ||
| Progenic trojan, Secret Agent | ||
| Gjamer | ||
| Hack?99 KeyLogger | ||
| cron / crontab, Fat Bitch trojan, GabanBus, icmp_pipe.c, Mypic, NetBus, NetBus Toy, NetBus worm, Pie Bill Gates, Whack Job, X-bill | ||
| Fat Bitch trojan, GabanBus, NetBus, X-bill | ||
| BioNet | ||
| Whack-a-mole | ||
| Whack-a-mole | ||
| 12623 (UDP) | DUN Control | |
| ButtMan | ||
| Whack Job | ||
| Mstream | ||
| Senna Spy Trojan Generator |
(продолжение)
| № | Порт | Название |
| Hacker Brasil - HBR | ||
| PC Invader | ||
| Host Control | ||
| Mstream | ||
| CDK | ||
| Mosucker | ||
| Stacheldraht | ||
| ICQ Revenge | ||
| Priority | ||
| Mosaic | ||
| Kuang2 | ||
| CrazzyNet | ||
| Nephron | ||
| 18753 (UDP) | Shaft | |
| ICQ Revenge | ||
| Millenium | ||
| Millenium, Millenium (Lm) | ||
| AcidkoR | ||
| VP Killer | ||
| NetBus 2.0 Pro, NetRex, Whack Job | ||
| Chupacabra | ||
| ВLA trojan | ||
| Shaft | ||
| 20433(UDP) | Shaft | |
| GirlFriend, Kid Terror | ||
| Exploiter, Kid Terror, Schwindler, Winsp00fer | ||
| Donald Dick, Prosiak | ||
| NetTrash | ||
| Logged |
(продолжение)
| № | Порт | Название |
| Amanda | ||
| Asylum | ||
| Evil FTP, Ugly FTP, Whack Job | ||
| 23476 (TCP/UDP) | Donald Dick | |
| Donald Dick | ||
| 26274 (UDP) | Delta Source | |
| Voice Spy — OBS!!! namnen har bytt plats | ||
| Bad Blood, SubSeven, SubSeven 2.1 Gold, Subseven 2.1.4 DefCon 8 | ||
| 27444 (UDP) | Trinoo | |
| SubSeven | ||
| Trinoo | ||
| NetTrojan | ||
| The Unexplained | ||
| ErrOr32 | ||
| Lamers Death | ||
| AOL trojan | ||
| NetSphere | ||
| NetSphere | ||
| 30103 (TCP/UDP) | NetSphere | |
| NetSphere | ||
| Sockets des Troie | ||
| Intruse | ||
| Kuang2 | ||
| Trinoo | ||
| Bo Whack, Butt Funnel | ||
| Back Fire, Back Orifice (Lm), Back Orifice russian, Baron Night, Beeone, BO client, BO Facil, BO spy, BO2, cron / crontab, FreakSS, icmp_pipe.c, Sockdmini |
(продолжение)
| № | Порт | Название |
| 31337 (UDP) | Back Orifice, Deep BO | |
| Back Orifice, Butt Funnel, NetSpy (DK) | ||
| 31338 (UDP) | Deep BO | |
| NetSpy (DK) | ||
| BOWhack | ||
| Hack'a'Tack | ||
| Hack'a'Tack | ||
| 31789 (UDP) | Hack'a'Tack | |
| Hack'a'Tack | ||
| 31791 (UDP) | Hack'a'Tack | |
| Donald Dick | ||
| Peanut Brittle, Project nEXT | ||
| Acid Battery | ||
| Trinity | ||
| Blakharaz, Prosiak | ||
| PsychWard | ||
| PsychWard | ||
| Spirit 2000, Spirit 2001 | ||
| Big Gluck, TN | ||
| Donald Dick | ||
| 34555 (UDP) | WinTrinoo | |
| 35555 (UDP) | WinTrinoo | |
| Yet Another Trojan - YAT | ||
| The Spy | ||
| Agent 40421, Masters Paradise | ||
| Masters Paradise |
(окончание)
| № | Порт | Название |
| Masters Paradise | ||
| Masters Paradise | ||
| Remote Boot Tool — RBT | ||
| Prosiak | ||
| 47262(UDP) | Delta Source | |
| Sockets des Troie | ||
| Fore, Schwindler | ||
| Cafeini | ||
| Acid Battery 2000 | ||
| Remote Windows Shutdown - RWS | ||
| SubSeven , SubSeven 2.1 Gold | ||
| Back Orifice | ||
| Back Orifice, School Bus | ||
| NetRaider | ||
| Butt Funnel | ||
| Deep Throat, Foreplay or Reduced Foreplay, Sockets des Troie | ||
| Xzip 60068 | ||
| Connection | ||
| Bunker-Hill | ||
| TeleCommando | ||
| Bunker-Hill | ||
| Bunker-Hill | ||
| Taskman / Task Manager | ||
| Devil, Sockets des Troie, Stacheldraht | ||
| 65432 (TCP/UDP) | The Traitor (=th3tr41t0r) | |
| /sbin/initd | ||
| RC1 trojan |
Последнее изменение: 13 ноября 2000 г.
Приложение 2
Список сокращений
AAFID — An Architecture For Intrusion Detection
ACL — Access Control List
ACM — Association for Computing Machinery
AFIWC — Air Force Information Warfare Center
AFRL — Air Force Research Laboratory
AID — Adaptive Intrusion Detection system
ANSA — Adaptive Network Security Alliance
ANSMM — Adaptive Network Security Manager Module
API — Application Programming Interface
ASAX — Advanced Security Audit-trail Analysis on uniX
ASIM — Automated Security Incident Measurement
ASIS — American Society for Industrial Security
ASSIST — Automated Systems Security Incident Support Team
AUBAD — Automated User Behavior Anomaly Detection system
CASL — Custom Audit Scripting Language
CCI — Common Content Inspection
CCSE — Check Point Certified Security Engineer
CD-ROM — Compact Disk Read-Only-Memory
CD-RW — Compact Disk Read-Write
CERIAS — Center for Education and Research in Information Assurance and Security
CERT — Computer Emergency Response Team
CIAC — Computer Incident Advisory Capability
CID — Common Intrusion Detection
CIDDS — Common Intrusion Detection Director System
CIDF — Common Intrusion Detection Framework
CIRT — Computer Incident Response Team
CISL — Common Intrusion Specification Language
CISSP — Certified Information System Security Professional
CLIPS — С Language Integrated Production System
CMOS — Computer Misuse Detection System
COAST — Computer Operations Audit and Security Technology
COPS — Computerized Oracle and Password System
CRC — Cyclic Redundancy Check
CSI — Computer Security Institute
CSIRT — Computer Security Incident Response Team
CSTC — Computer Security Technology Center
CVE — Common Vulnerabilities and Exposures или Common Vulnerability Enumeration
DARPA — Defense Advanced Research Projects Agency
DDoS — Distributed Denial of Service
DHCP — Dynamic Host Configuration Protocol
DIDS — Distributed Intrusion Detection System
DISA — Defense Information Systems Agency
DMZ — DeMilitarized Zone
DNS — Domain Name Service или Domain Name System
DoS — Denial of Service
DTK — The Deception Toolkit
EMERALD — Event Monitoring Enabling Responses to Anomalous Live Disturbances
ESM — Enterprise Security Manager
FBI — Federal Bureau of Investigation's
FDDI — Fiber Distributed Data Interface
FedCIRC — Federal Computer Incident Response Capability
FIRST — Forum of Incident Response and Security Teams
FISSEA — Federal Information Systems Security Educator's Association
FTP — File Transfer Protocol
GAO — General Accounting Office
GASSATA — Genetic Algorithm for Simplified Security Audit Trail Analysis
GCFW — GIAC Certified Firewall Analyst
GCIA — GIAC Certified Intrusion Analyst
GCIH — GIAC Certified Incident Handler
GCNT — GIAC Certified Windows Security Administrator
GCUX — GIAC Certified Unix Security Administrator
GIAC — Global Incident Analysis Center
GrIDS — Graph-based Intrusion Detection System
GSE — GIAC Security Engineer
GSEC — GIAC Security Essentials Certification
HTTP — Hyper-Text Transfer Protocol
IANA — Internet Assigned Number Authority
IAP — Intrusion Alert Protocol
ICAT — Internet Categorization of Attacks Toolkit
ICMP — Internet Control Message Protocol
ICSA — International Computer Security Association
ICT — ISS Certified Trainer
IDES — Intrusion Detection Expert System.
IDIP — Intruder Detection and Isolation Protocol
IDLE — Intrusion Data Library Enterprise
IDS — Intrusion Detection Systems
IDSC — Intrusion Detection Systems Consortium
IDT — Intrusion Detection Tools
IDWG — Intrusion Detection Working Group (IETF)
IETF — Internet Engineering Task Force
IFIP — International Federation for Information Processing
IIS — Internet Information Server
IP — Internet Protocol
IPX — Internetwork Packet eXchange
ISACA — Information Systems Audit and Control Association
ISC2 — International Information Systems Security Certification Consortium
ISP — Internet Service Provider
ISS — Internet Security Systems
ISSA — Information Systems Security Association
IT — Information Technology
ITA — Intruder Alert
LDAP — Lightweight Directory Access Protocol
LIDS — Linux Intrusion Detection Systems