Vraag Hoe zoek je naar backdoors van de vorige IT-persoon?


We weten allemaal dat het gebeurt. Een bittere oude IT-man verlaat een achterdeur in het systeem en netwerk om plezier te hebben met de nieuwe jongens en het bedrijf te laten zien hoe slecht dingen zijn zonder hem.

Ik heb dit nooit persoonlijk meegemaakt. Het meest heb ik meegemaakt is iemand die brak en dingen stal vlak voor het vertrek. Ik weet zeker dat dit gebeurt.

Dus, bij het overnemen van een netwerk dat niet helemaal te vertrouwen is, welke stappen moeten worden genomen om ervoor te zorgen dat alles veilig is?


355
2017-08-18 15:04


oorsprong


+1, ik vind deze vraag leuk. Het is mijn minst favoriete ding als het gaat om een ​​nieuwe klant, vooral als de laatste man met slechte voorwaarden vertrok. - DanBig
De meeste plaatsen die ik heb verlaten, mijn afwezigheid zeggen "Doe dat niet" is genoeg om het netwerk plat te leggen. Ik hoef geen deuren achter te laten. - Paul Tomblin
@Paul, dat suggereert dat je niet goed documenteerde. Laten we hopen dat de nieuwe persoon (en) dat deel van hun werk goed doen. - John Gardeniers
@John, lezen uw gebruikers en collega's documentatie? Waar kan ik sommige van krijgen? - Paul Tomblin
@Paul, gebruikers - nee, waarom zouden ze? Medewerkers (ervan uitgaande dat u IT-mensen bedoelt) - ja. Het lezen van de documenten moet de eerste stap zijn bij het starten van een nieuwe taak. - John Gardeniers


antwoorden:


Het is echt heel erg moeilijk. Het vereist een zeer volledige audit. Als je er zeker van bent dat de oude persoon iets achterliet dat gaat boycotten, of opnieuw huren moet omdat ze de enige zijn die een brand kan veroorzaken, dan is het tijd om aan te nemen dat je bent geroot door een vijandige partij. Behandel het alsof een groep hackers binnenkwam en dingen stal, en je moet opruimen na hun puinhoop. Omdat dat is wat het is.

  • Controleer elke account op elk systeem om ervoor te zorgen dat deze aan een specifieke entiteit is gekoppeld.
    • Accounts die lijken te zijn gekoppeld aan systemen maar waar niemand verantwoordelijk voor is, moeten worden gewantrouwd.
    • Accounts die niet aan iets zijn gekoppeld, moeten worden verwijderd (dit moet toch worden gedaan, maar dit is vooral belangrijk in dit geval)
  • Verander elk en alle wachtwoorden waarmee ze mogelijk in contact zijn geweest.
    • Dit kan een echt probleem zijn voor hulpprogramma-accounts, omdat die wachtwoorden de neiging hebben om hard gecodeerd te worden in dingen.
    • Als ze van een helpdesktype reageren op oproepen van eindgebruikers, gaan ze ervan uit dat ze het wachtwoord hebben van iedereen die ze hebben geholpen.
    • Als ze Enterprise Admin of Domain Admin to Active Directory hadden, gaan ze ervan uit dat ze een kopie van de wachtwoordhashes hebben gepakt voordat ze vertrokken. Deze kunnen zo snel worden gekraakt nu een bedrijfsbrede wachtwoordwijziging binnen enkele dagen moet worden geforceerd.
    • Als ze root-toegang hadden tot elk * nix-vakje, gaan ze ervan uit dat ze weggingen met de wachtwoord-hashes.
    • Controleer alle gebruik van SSH-sleutels onder openbare sleutel om ervoor te zorgen dat hun sleutels worden verwijderd en controleer of persoonlijke sleutels zijn blootgesteld terwijl u bezig bent.
    • Als ze toegang hadden tot telecomapparatuur, verander dan router / switch / gateway / PBX-wachtwoorden. Dit kan echt een koninklijke pijn zijn, omdat dit aanzienlijke uitval kan veroorzaken.
  • Controleer uw veiligheidsregelingen volledig.
    • Zorg dat alle gaten in de firewall worden getraceerd naar bekende geautoriseerde apparaten en poorten.
    • Zorg ervoor dat voor alle externe toegangsmethoden (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail, wat dan ook) geen extra authenticatie wordt aangepakt en bekijk ze volledig voor ongeautoriseerde toegangsmethoden.
    • Zorg ervoor dat WAN-verbindingen op afstand worden getraceerd naar volledig in dienst zijnde mensen en controleer het. Vooral draadloze verbindingen. Je wilt niet dat ze weglopen met een door het bedrijf betaald mobiel modem of een smart-phone. Neem contact op met al dergelijke gebruikers om zeker te weten dat ze over het juiste apparaat beschikken.
  • Controleer volledig interne privileged-access regelingen. Dit zijn zaken als SSH / VNC / RDP / DRAC / iLO / IMPI-toegang tot servers die algemene gebruikers niet hebben, of toegang tot gevoelige systemen zoals payroll.
  • Werk samen met alle externe leveranciers en serviceproviders om ervoor te zorgen dat de contacten correct zijn.
    • Zorg ervoor dat ze worden verwijderd uit alle contact- en servicelijsten. Dit moet sowieso na elk vertrek gebeuren, maar is nu extra belangrijk.
    • Valideren dat alle contacten legitiem zijn en over correcte contactgegevens beschikken, dit is om geesten te vinden die kunnen worden nagebootst.
  • Begin met zoeken naar logische bommen.
    • Controleer alle automatisering (taakplanners, cron-taken, UPS-oproeplijsten of iets dat volgens een schema loopt of door gebeurtenissen wordt geactiveerd) op tekenen van kwaad. Met "Alles" bedoel ik alles. Controleer elke crontab. Controleer elke geautomatiseerde actie in uw bewakingssysteem, inclusief de sondes zelf. Controleer elke Windows Taakplanner; zelfs werkstations. Tenzij je voor de overheid werkt op een zeer gevoelig gebied, kun je "alles" niet betalen, doe zoveel als je kunt.
    • Valideer de belangrijkste binaire bestanden van het systeem op elke server om er zeker van te zijn dat ze zijn zoals ze zouden moeten zijn. Dit is lastig, vooral op Windows, en bijna onmogelijk om met terugwerkende kracht te doen op eenmalige systemen.
    • Begin met zoeken naar rootkits. Per definitie zijn ze moeilijk te vinden, maar er zijn scanners voor.

Helemaal niet gemakkelijk, zelfs niet op afstand. Het rechtvaardigen van de kosten van dat alles kan heel moeilijk zijn zonder definitief bewijs dat de nu-ex-admin in feite slecht was. Het geheel van bovenstaande is niet eens te doen met bedrijfseigendommen, waarvoor het inhuren van beveiligingsadviseurs nodig zal zijn om een ​​deel van dit werk te doen.

Als echt kwaad wordt ontdekt, vooral als het kwaad in een soort van software zit, zijn getrainde beveiligingsprofessionals de beste om de omvang van het probleem te bepalen. Dit is ook het punt wanneer een strafzaak kan worden gebouwd en jij werkelijk wil dat mensen die zijn getraind in het omgaan met bewijs deze analyse doen.


Maar, echt, hoe ver moet je gaan? Dit is waar risicomanagement komt in het spel. Simplistisch gezien is dit de methode om het verwachte risico te spreiden tegen verlies. Sysadmins doen dit wanneer we beslissen welke off-site locatie willen we back-ups maken; bankkluis versus een datacentrum buiten de regio. Uitzoeken hoeveel van deze lijst moet worden gevolgd, is een oefening in risicobeheer.

In dit geval begint de beoordeling met een paar dingen:

  • Het verwachte vaardigheidsniveau van de overledene
  • De toegang van de overledenen
  • De verwachting dat het kwaad was gedaan
  • De potentiële schade van enig kwaad
  • Wettelijke vereisten voor het melden van gepleegd kwaad versus preventief gevonden kwaad. Over het algemeen moet je de eerste rapporteren, maar niet de laatste.

De beslissing hoe diep in het bovenstaande konijnenhol te duiken, zal afhangen van de antwoorden op deze vragen. Voor routinematige admin-afwijkingen, waarbij de verwachting van het kwaad erg klein is, is het volledige circus niet vereist; het wijzigen van beheerderswachtwoorden en het opnieuw intoetsen van externe SSH-hosts is waarschijnlijk voldoende. Ook hier bepaalt de beveiligingsstatus van het risicobeheer door het bedrijf.

Voor admins die wegens oorzaak zijn ontbonden, of het kwaad na hun anders normale vertrek is opgedoken, wordt het circus meer nodig. In het slechtste geval is het een paranoïde BOFH-type dat op de hoogte is gesteld dat hun positie binnen twee weken overbodig wordt, omdat ze dan voldoende tijd hebben om zich voor te bereiden; in omstandigheden zoals deze Kyle's idee van een genereus vertrekpakket kan allerlei problemen verminderen. Zelfs paranoïden kunnen veel zonden vergeven na een cheque met 4 maanden loon. Die controle kost waarschijnlijk minder dan de kosten van de beveiligingsadviseurs die nodig zijn om hun kwaad te verzachten.

Maar uiteindelijk komt het neer op de kosten om te bepalen of kwaad is gedaan versus de potentiële kosten van enig kwaad dat feitelijk wordt gedaan.


329
2017-08-18 15:40



+1 - De stand van de techniek met betrekking tot auditsysteem-binaries is vandaag behoorlijk slecht. Computer forensische hulpprogramma's kunnen u helpen bij het verifiëren van handtekeningen op binaire bestanden, maar met de verspreiding van verschillende binaire versies (vooral op Windows, wat w / alle updates elke maand plaatsvinden) is het vrij moeilijk om een ​​overtuigend scenario te bedenken waarbij u 100% zou kunnen benaderen binaire verificatie. (Ik zou +10 u hebben als ik kon, omdat u het hele probleem vrij goed hebt samengevat. Het is een moeilijk probleem, vooral als er geen compartimentering en scheiding van taken was.) - Evan Anderson
+++ Re: het wijzigen van wachtwoorden voor serviceaccounts. Dit moet hoe dan ook grondig worden gedocumenteerd, dus dit proces is dubbel belangrijk als je van je verwacht dat je je werk doet. - Kara Marfia
@Joe H .: Vergeet niet de inhoud van de back-up onafhankelijk van de productie-infrastructuur te verifiëren. De back-upsoftware kan worden geradjaniseerd. (Een van mijn klanten had een derde partij met een onafhankelijke installatie van hun LOb-toepassing die een contract had om back-ups te herstellen, deze in de app te laden en te controleren of de financiële overzichten die uit de back-up werden gegenereerd, overeenkwamen met die van het productiesysteem. wild...) - Evan Anderson
Goed antwoord. Vergeet ook niet om de overleden medewerker te verwijderen als een geautoriseerd contactpunt voor serviceproviders en verkopers. Domein registrars. Internet service providers. Telecommunicatiebedrijven. Zorg ervoor dat al deze externe partijen het woord krijgen dat de werknemer niet langer gemachtigd is om wijzigingen aan te brengen of de bedrijfsrekeningen te bespreken. - Mox
"Het geheel van bovenstaande is misschien niet eens te doen met bedrijfseigendommen, waarvoor het inhuren van beveiligingsadviseurs nodig zal zijn om een ​​deel van dit werk te doen." - natuurlijk kan het zijn deze blootstelling die tot een compromis leidt. Dit auditniveau vereist extreem lage systeemtoegang - en door individuen die weten hoe dingen te verbergen. - MightyE


Ik zou zeggen dat het een balans is van hoeveel zorg je hebt tegenover het geld dat je bereid bent te betalen.

Erg bezorgd:
Als u zich zorgen maakt, kunt u een externe beveiligingsconsulent inhuren om een ​​volledige scan van alles te maken, zowel vanuit een extern als een intern perspectief. Als deze persoon bijzonder slim was, zou je in de problemen kunnen komen, ze kunnen iets hebben dat een tijdje inactief is. De andere optie is om alles gewoon opnieuw te bouwen. Dit klinkt misschien heel overdreven, maar je leert de omgeving goed kennen en je maakt ook een noodherstelproject.

Mild Bezorgd:
Als u slechts een beetje bezorgd bent, wilt u misschien gewoon doen:

  • Een a-poortscan van buitenaf.
  • Virus / Spyware Scan. Rootkitscan voor Linux-machines.
  • Kijk over de configuratie van de firewall voor alles wat u niet begrijpt.
  • Wijzig alle wachtwoorden en zoek naar onbekende accounts (zorg ervoor dat ze niet iemand hebben geactiveerd die niet meer bij het bedrijf is, zodat ze dat kunnen gebruiken enzovoort).
  • Dit kan ook een goed moment zijn om een ​​Intrusion Detection System (IDS) te installeren.
  • Bekijk de logboeken beter dan u normaal doet.

Voor de toekomst:
Vooraf gaan als een beheerder weggaat geef hem een ​​leuk feest en geef hem dan, als hij dronken is, gewoon een lift naar huis - gooi hem dan weg in de dichtstbijzijnde rivier, moeras of meer. Meer serieus, dit is een van de goede redenen om admins royale vertrekvergoedingen te geven. Je wilt dat ze zich goed voelen als ze zoveel mogelijk weggaan. Zelfs als ze zich niet goed zouden voelen, wat zou het kunnen schelen? Zuig het op en maak ze gelukkig. Doe net alsof het jouw schuld is en niet die van hen. De kosten van een verhoging van de kosten voor de werkloosheidsverzekering en de ontslagvergoeding zijn niet vergelijkbaar met de schade die ze zouden kunnen aanrichten. Dit gaat allemaal over het pad van de minste weerstand en het creëren van zo min mogelijk drama.


98
2017-08-18 15:18



Antwoorden die geen moord omvatten, hebben waarschijnlijk de voorkeur :-) - Jason Berg
+1 voor de BOFH-suggestie. - jscott
@Kyle: dat zou ons geheimpje zijn ... - GregD
Dodelijke schakelaars, Kyle. We plaatsen ze daar voor het geval we een tijdje weggaan :) Met "wij", ik bedoel, uhh, zij? - Bill Weiss
+1 - Het is een praktisch antwoord, en ik hou van de discussie op basis van een risico / kosten-analyse (want dat is wat het is). Het antwoord van Sysadmin1138 is iets uitgebreider: het 'rubber voldoet aan de weg', maar gaat niet noodzakelijkerwijs in op de risico / kosten-analyse en het feit dat je vaak een aantal aannames opzij moet zetten als zijnde 'te remote". (Dat is misschien de verkeerde beslissing, maar niemand heeft oneindige tijd / geld.) - Evan Anderson


Vergeet niet het soort Teamviewer, LogmeIn, enz ... Ik weet dat dit al werd genoemd, maar een software-audit (veel apps daar) van elke server / werkstation zou geen kwaad, inclusief subnet (s) scans met nmap's NSE-scripts.


19
2017-08-24 22:40





Allereerst eerst een back-up van alles op de externe opslag (zoals tape of HDD die u loskoppelt en opslaat). Op die manier, als er iets kwaadaardigs plaatsvindt, kun je mogelijk een beetje herstellen.

Vervolgens kam je door je firewallregels. Alle verdachte open poorten moeten worden gesloten. Als er een achterdeur is, zou het een goede zaak zijn om toegang te voorkomen.

Gebruikersaccounts - zoek naar uw ontevreden gebruiker en zorg ervoor dat hun toegang zo snel mogelijk wordt verwijderd. Als er SSH-sleutels zijn, of / etc / passwd-bestanden of LDAP-vermeldingen, moeten alle .htaccess-bestanden worden gescand.

Zoek op uw belangrijke servers naar applicaties en actieve luisterpoorten. Zorg ervoor dat de lopende processen die eraan zijn gekoppeld, redelijk lijken.

Uiteindelijk kan een vastberaden ontevreden werknemer alles doen - ze hebben tenslotte kennis van alle interne systemen. Men hoopt dat ze de integriteit hebben om geen negatieve actie te ondernemen.


18
2017-08-18 15:25



back-ups kunnen ook belangrijk zijn als er iets gebeurt en u besluit om mee te gaan met de vervolgingstraject, dus misschien wilt u weten wat de regels voor het omgaan met bewijsmateriaal zijn, en zorg ervoor dat u ze volgt, voor het geval dat. - Joe H.
Maar vergeet niet dat wat u zojuist hebt opgeslagen mogelijk ook geroote apps / config / data enz. - Shannon Nelson
Als je back-ups hebt van een geroot systeem, dan heb je bewijs. - XTL


Een goed beheerde infrastructuur zal beschikken over de tools, monitoring en controles om dit grotendeels te voorkomen. Waaronder:

Als deze hulpmiddelen correct zijn geïnstalleerd, hebt u een controletraject. Anders zul je een vol moeten spelen penetratie test.

De eerste stap zou zijn om alle toegang te controleren en alle wachtwoorden te wijzigen. Concentreer u op externe toegang en potentiële toegangspunten - dit is waar uw tijd het best wordt besteed. Als de externe footprint niet gerechtvaardigd is, verwijdert u deze of verkleint u deze. Dit geeft je de tijd om je intern op meer van de details te concentreren. Houd ook rekening met al het uitgaande verkeer, omdat programmatische oplossingen externe gegevens extern kunnen overdragen.

Uiteindelijk zal een systeem- en netwerkbeheerder volledige toegang hebben tot de meeste, zo niet alle dingen. Hiermee komt een hoge mate van verantwoordelijkheid. Het aannemen van dit verantwoordelijkheidsniveau moet niet lichtvaardig worden genomen en er moeten vanaf het begin stappen worden ondernomen om het risico tot een minimum te beperken. Als een professional wordt ingehuurd en zelfs op slechte voorwaarden vertrekt, zouden ze geen acties ondernemen die onprofessioneel of illegaal zijn.

Er zijn veel gedetailleerde berichten over serverfouten die betrekking hebben op juiste systeemaudits voor beveiliging en wat te doen in het geval dat iemand wordt beëindigd. Deze situatie is niet uniek van die.


17
2017-08-18 15:31





Een slimme BOFH kan een van de volgende dingen doen:

  1. Periodiek programma dat een uitgaande netwerkverbinding start op een bekende poort om opdrachten op te halen. Bijv. Poort 80. Als goed gedaan zou het heen en weer verkeer lijken op verkeer voor die poort. Dus als op poort 80, het HTTP-headers zou hebben, en de payload zou bestaan ​​uit chunks in afbeeldingen.

  2. Aperiodic-opdracht die op specifieke plaatsen op zoek is naar bestanden die moeten worden uitgevoerd. Plaatsen kunnen op gebruikerscomputers, netwerkcomputers, extra tabellen in databases, tijdelijke spoolbestandsmappen zijn.

  3. Programma's die controleren of een of meer van de andere backdoors nog aanwezig is. Als dat niet het geval is, wordt er een variant op geïnstalleerd en worden de gegevens gemaild naar BOFH

  4. Aangezien back-ups veelal nu met een schijf worden gedaan, moet u de back-ups zodanig aanpassen dat deze ten minste enkele van uw rootkits bevatten.

Manieren om jezelf tegen dit soort dingen te beschermen:

  1. Wanneer een medewerker van de BOFH-klasse vertrekt, installeer dan een nieuw vak in de DMZ. Het krijgt een kopie van al het verkeer dat de firewall passeert. Zoek naar anomalieën in dit verkeer. Dit laatste is niet-triviaal, vooral als BOFH goed is in het nabootsen van normale verkeerspatronen.

  2. Voer uw servers opnieuw uit, zodat kritieke binaire bestanden worden opgeslagen op alleen-lezen media. Dat wil zeggen, als u / bin / ps wilt wijzigen, moet u naar de machine gaan, een schakelaar van RO naar RW verplaatsen, één gebruiker opnieuw opstarten, die partitie opnieuw koppelen, uw nieuwe exemplaar van ps installeren, synchroniseren, opnieuw opstarten, tuimelschakelaar. Een systeem dat op deze manier wordt uitgevoerd, heeft ten minste enkele vertrouwde programma's en een vertrouwde kernel voor verder werk.

Natuurlijk, als u vensters gebruikt, bent u afgespoten.

  1. Compartimenteer uw infrastructuur. Niet redelijk bij kleine tot middelgrote bedrijven.

Manieren om dit soort dingen te voorkomen.

  1. Dierenartsenaanvragen zorgvuldig.

  2. Zoek uit of deze mensen ontevreden zijn en repareer de personeelsproblemen van tevoren.

  3. Wanneer je een beheerder met dit soort bevoegdheden ontslaat, moet je de taart zoeter maken:

    een. Zijn salaris of een deel van zijn salaris gaat nog een tijdje door of totdat er een grote verandering in het systeemgedrag is die onverklaard is door de IT-staf. Dit kan een exponentieel verval zijn. Bijv. hij krijgt volledige beloning voor 6 maanden, 80% daarvan voor 6 maanden, 80% van dat voor de komende 6 maanden.

    b. Een deel van zijn beloning is in de vorm van aandelenopties die niet van kracht worden gedurende één tot vijf jaar nadat hij is vertrokken. Deze opties worden niet verwijderd wanneer hij vertrekt. Hij heeft een stimulans om ervoor te zorgen dat het bedrijf over vijf jaar goed draait.


16
2017-08-25 15:37



WTF is BOFH ?? - Chloe
Chloe, BOFH staat voor Bastard Operator from Hell, de iconische paranoïde-waanvoorstelling meglomaniacale sociopaat-malafide sysadmin die IT-mensen die te veel tijd besteden aan het oppakken van iemands muis van de vloer dromen van worden. Er zijn een aantal verhalen oorspronkelijk gesteld om alt.sysadmin.recovery te zijn bofh.ntk.net/Bastard.html  en.wikipedia.org/wiki/Bastard_Operator_From_Hell - Stephanie
Hoe hoger je ServerFault-score, hoe hoger je kans om een ​​BOFH te zijn :-) - dunxd
"Natuurlijk, als je vensters gebruikt, wordt je afgespoten." Ik wil dit aan mijn muur. - programmer5000


Het valt me ​​op dat het probleem al bestaat voordat de beheerder weggaat. Het is alleen dat iemand het probleem meer op dat moment opmerkt.

-> Men heeft een proces nodig om elke verandering te auditen, en een deel van het proces is dat veranderingen er alleen door worden toegepast.


13
2017-08-24 22:55



Ik ben benieuwd hoe je dit soort processen handhaaft? - Mr. Shiny and New 安宇
Dit is best moeilijk om te doen bij een klein bedrijf (dat wil zeggen 1-2 Sys Admin-type mensen) - Beep beep
Het is lastig om te handhaven, maar het is afdwingbaar. Een van de grote spelregels is dat niemand gewoon inlogt op een box en deze beheert, zelfs via sudo. Wijzigingen moeten een configuratiebeheertool doorlopen, of moeten gebeuren in de context van een gebeurtenis van het type firecall-type. Elke routinematige wijziging in systemen zou door marionet, cfengine, chef of een vergelijkbaar hulpmiddel moeten gaan, en het hele corpus van werk voor uw sysadmins zou moeten bestaan ​​als een versie-gecontroleerde repository van deze scripts. - Stephanie