|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Sergey A. Cherukhin 2:5020/400 04 Feb 2005 09:17:57
To : Eugene Grosbein
Subject : Re: Средства обнаружения вирусной активности в локальной сети
--------------------------------------------------------------------------------
Hello, Eugene!
You wrote to Victor Sudakov on Fri, 04 Feb 2005 00:39:35 +0300:
SAC>>> Может быть есть какой-нибудь более продвинутый инструмент, имеющий
SAC>>> базу по вирусам/троянам и позволяющий определить, что порт открыт
SAC>>> трояном? Или прикидывающийся сервером MS Network и обнаруживающий
SAC>>> попытки использования уязвимостей в rpc и lsass?
??>>> Э-э-э... SNORT не подойдёт?
VS>> Это немного не тот инструмент. Тут скорее какой-нибудь honeypot
VS>> подойдет, умеющий прикидываться непатченной виндой.
Hужно 2 инструмента, активный, сканирующий сеть в поисках открытых троянами
портов, и пассивный, прикидывающийся непатченой виндой с открытыми на запись
без пароля ресурсами, обнаруживающий попытки использования уязвимостей в rpc
и lsass и попытки трояна записать себя во все доступные ресурсы сети. В
качестве первого можно использовать какой-нибудь security scanner, если
внести в его базу fingerprint'ы троянов. Второй частично возможно удастся
слепить из самбы и clamav/drweb'а, а вот для того, чтоб прикидываться
непатченой виндой, придется либо самбу переделывать, либо вообще что-нть
свое писать.
EG> Думаю, что непатченной виндой очень неплохо прикинется непатченная
EG> винда внутри VMWare :-)
А как определять с какого IP эту винду атакуют? Кроме того, эта винда будет
постоянно перезагружаться, так что не факт, что все зараженные машины будут
обнаружены.
With best regards, Sergey A. Cherukhin. E-mail: rf@ce.cctpu.edu.ru
--- ifmail v.2.15dev5.3
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
