да, именно так, при чём все скрипты, отвечающие за получение «триала» в USM версии (где есть возможность собрать распределённую систему) выложены под коммерческой лицензией, так что тут без вариантов, однако, я думаю, можно подключить несколько систем через конфиги rsyslog-а.
В пункте asset discovery точно выбрали тип ОС?
после того, как продукт получил 30 000 000$ инвестициями — дела пошли куда лучше, с 3-ей версии переписали больше половины продукта внутри.
при деплое системы траффик я не снифал, поэтому в каком виде передаются точно не скажу, но хранится всё в БД, половина БД хеширована и посолена, при чём достаточно качественно.
Система подедрживает передачу логов по защищённому соединению, в один клик можно сконфигурировать OpenVPN соединение.
Это один из немногих продуктов, где в open source версии основной функционал как-раз таки не урезан, отсутствие платного фида, платных плагинов, возможности собрать распределённую систему и отсутствие логгера — не такие существенные ограничения.
На моей практике подобные атаки осуществляет не группа людей, а один человек, нанятый кем-либо, это заметно по некоторому поведенческому «почерку», и на качестве самой атаки это, отнють, не сказывается. Работу такого специалиста оплатить дешевле, чем разработать готовый продукт самостоятельно или штатом нанятых программистов.
Ну и есть ещё такая тенденция, как APT атаки, вот тут на хабре эта тема поднималась, а сам термин был внедрён после этой вот ситуации, это конечно не исходники кода, но специфика действий хакеров аналогичная в большинстве случаев.
Вы абсолютно правы, по моему личному опыту — проприетарное ПО показывает себя с намного лучшей стороны и по качеству выполняемой функции и по стабильности(не всегда). Но начальный ценник практически везде — шестизначный.
Ну а в защиту Open Source хочу отметить OSSIM, это просто очень крутой стабильный комбайн из различных Open Source программ, если грамотно её настроить, то она вполне покроет огромный спектр рисков ИБ, это действительно достойный продукт и несмотря на наличие коммерческой версии Open Souce развивается так-же динамично без урезания внедряемого доп. функционала.
Ну и ещё хочу добавить:
11. DLP: MyDLP по которой, кстати, есть интересная обзорная статья на хабре.
12. Контроль посещаемых ресурсов: Squid Proxy
Спасибо за статью, недавно столкнулись с подобным на работе, ваша статья очень актуальна для меня сейчас.
От себя хочу добавить небольшой список OpenSource ПО для защиты сети:
Список не исчерпывающий и включает в себя только ПО из моего личного опыта использования, настройки и администрирования.
По этому ПО в лс могу немного помочь советом по настройке, развёртыванию, администрированию и возможным «подводным камням».
Если кто-то может что-либо от себя сюда добавить — пишите, буду признателен за обмен опытом.
UPD: Извиняюсь, я крайне невнимателен, там в базе около 800к почт с паролями примерно 2 миллиона первых адресов без паролей и с ~2.8 и до самого конца без паролей
так автор выложил в сеть около 200 мб фоток и видео на фочейне, а потом стали выкладывать и остальные другие пользователи, с интернета, видео, других статей. Если погуглить некоторые фотки по картинке, то можно найти публикации фото годовалой давности
я его к сожалению уже удалил, а на рабочей песочнице уже поднято много других сервисов и она уже содержит в себе много внутренней информации. Создайте новый VPS, запустите готовый скрипт и через 15 минут, максимум час вам лишь нужно будет выполнить несложную установку Windows с последующей установкой софта, работать должно, я с нуля своим полуавтоматическим методом собрал песочницу за 2 часа (в т.ч. 40 минут установка винды и 20 минут выгрузка базы с clamav со скоростью 2-8 кб/c)
Или можете спросить мой образ у хабраюзера PocketSam
На VPS Digitalocean, упомянутой в начале статьи файл анализируется минут 8-10, это с дампом памяти, если без, то пара минут, а насчёт проверки вложений, вот вам скрипт за основу, который атачи выгружает, можно его под себя адаптировать, а файлы локально проверять по крону в песочнице например
Тут Вы тоже абсолютно правы, например просканировал в песочнице бинарник вируса BetaBot, слитого в сеть с контрольной панелью и взломанного неким исследователем с ником Xylit0l. При запуске в обычном режиме Userland вирус ничего подозрительного особо не делает, смотрит некоторые ключи реестра, но песочница считает файл «чистым», не считая только отчёта из virustotal:
Картинка
А если запустить с драйвером zer0m0n, то появляется гораздо больше процессов и анализ вместе с песочницей полностью подвисает после запуска процесса dfrgntfs.exe
Картинка
К сожалению мои познания в этой области пока-что малы и не позволяют мне проанализировать файл вручную.
Буду вам крайне признателен, если порекомендуете хорошую литературу по этой теме :)
Вы прочитали статью до конца?
В том то и дело, если отправлять на Malwr или Anubis или тот-же Virustotal то по сути это утечка и с точки зрения утверждённых регламентов ИБ неприемлемо. Но когда с нуля поднимаешь свой сервис и конфигурируешь доступ к сервису только со своей сети — утечкой это не является, хост с песочницей становится по сути частью инфраструктуры организации, для большей уверенности на хост можно поставить OSSEC, например воспользовавшись материалом, предоставленным Neuronix или-же данным мануалом от Traveler и отправлять логи OSSEC в используемую в организации SIEM систему, такой подход к решению данной задачи будет комплексным и вполне приемлемым.
после того, как продукт получил 30 000 000$ инвестициями — дела пошли куда лучше, с 3-ей версии переписали больше половины продукта внутри.
Система подедрживает передачу логов по защищённому соединению, в один клик можно сконфигурировать OpenVPN соединение.
ahmia.fi/search/ — вот поисковик по даркнету удобный
Ну и есть ещё такая тенденция, как APT атаки, вот тут на хабре эта тема поднималась, а сам термин был внедрён после этой вот ситуации, это конечно не исходники кода, но специфика действий хакеров аналогичная в большинстве случаев.
Ну а в защиту Open Source хочу отметить OSSIM, это просто очень крутой стабильный комбайн из различных Open Source программ, если грамотно её настроить, то она вполне покроет огромный спектр рисков ИБ, это действительно достойный продукт и несмотря на наличие коммерческой версии Open Souce развивается так-же динамично без урезания внедряемого доп. функционала.
Ну и ещё хочу добавить:
11. DLP: MyDLP по которой, кстати, есть интересная обзорная статья на хабре.
12. Контроль посещаемых ресурсов: Squid Proxy
От себя хочу добавить небольшой список OpenSource ПО для защиты сети:
1. NIPS/NIDS: Snort, Suricata, Sagan
2. HIDS/HIPS: OSSEC
3. Sandbox: Cuckoo Sandbox, я недавно написал по ней статью
4. WAF: ModSecurity, NAXSI
5. DDOS: Apache — mod_evasive, Nginx — Testcookie
6. SIEM: OSSIM, Prelude
7. AV: ClamAV
8. AntiSpam: ASSP
9. Encryption: TrueCrypt (указал ссылку на git версию 7.1a лишь потому, что по неподтверждённым данным версия 7.2 может иметь закладку), GnuPG
10. Honeypot: Modern Honey Network, Honeyd
Список не исчерпывающий и включает в себя только ПО из моего личного опыта использования, настройки и администрирования.
По этому ПО в лс могу немного помочь советом по настройке, развёртыванию, администрированию и возможным «подводным камням».
Если кто-то может что-либо от себя сюда добавить — пишите, буду признателен за обмен опытом.
Или можете спросить мой образ у хабраюзера PocketSam
А если запустить с драйвером zer0m0n, то появляется гораздо больше процессов и анализ вместе с песочницей полностью подвисает после запуска процесса dfrgntfs.exe
К сожалению мои познания в этой области пока-что малы и не позволяют мне проанализировать файл вручную.
Буду вам крайне признателен, если порекомендуете хорошую литературу по этой теме :)
В том то и дело, если отправлять на Malwr или Anubis или тот-же Virustotal то по сути это утечка и с точки зрения утверждённых регламентов ИБ неприемлемо. Но когда с нуля поднимаешь свой сервис и конфигурируешь доступ к сервису только со своей сети — утечкой это не является, хост с песочницей становится по сути частью инфраструктуры организации, для большей уверенности на хост можно поставить OSSEC, например воспользовавшись материалом, предоставленным Neuronix или-же данным мануалом от Traveler и отправлять логи OSSEC в используемую в организации SIEM систему, такой подход к решению данной задачи будет комплексным и вполне приемлемым.