Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Monitorowanie obciążenia systemu jako metoda detekcji intruzów

Jestem hardkorem, trzeci artykuł w trzy dni!

W nawiązaniu do poprzedniego artykułu

Dwa dni temu pisałem o monitorach behawioralnych (Mamutu, Threat Fire), które przez analizę dzałań (tworzenie i modyfikowanie plików, wpisów rejestru etc.) są w stanie wykryć potencjalnego intruza. Dzisiaj pokażę że możliwe jest wykrycie ataku przez monitorowanie zużycia zasobów systemowych, jak RAM, liczba wątków, obciążenie CPU.
Brzmi smakowicie? Zapraszam!

DSA - Dynamic Security Agent
DSA został opracowany przez amerykańską firmę Privacyware. Program to trochę mutant klasycznego monitora HIPS i monitora behawioralnego, ale i tak to bardzo sympatyczna aplikacja.

Jak już wspomniałem, w skład DSA wchodzi klasyczny HIPS i monitor behawioralny, czyli tzw. System Anomaly Detection (jest także Email Anomaly Detection, ale nim podobnie jak modułem HIPS zajmować się nie będziemy).

Czym jest System Anomaly Detection?

System wykrywania anomalii systemu to mechanim monitorowania zachowań aplikacji w systemie, a dokładnie obserwowania zużycia zasobów komputera przez uruchomione programy. Monitorowane są takie elementy jak zużycie CPU, RAM czy liczba wątków aplikacji. Użytkownik może wybrać przez ile dni DSA ma być "trenowany", potem na podstawie statystyk program może podjąć alarm.

Przykład:
Jeżeli proces X.exe pobiera średnio 7% CPU, a mamy ustaloną tolerancję 50%, to DSA podniesie alarm tylko w przypadku zwiększenia obciążenia procesora o ponad 10,5% (50% z 7% to 3,5%, zatem tolerancja wynosi do 10,5%).
Dlatego ważne jest przeprowadzenie dokładnego treningu DSA by maksymalnie zwiększyć tolerancję na anomalie związane ze zwiększonym zużyciem zasobów.

Ciekawe, prawda? W świecie doskonale zorganizowanej cyberprzestępczości każdy oręż się przydaje. Dla cyberprzestępców liczą się wszystkie chwyty (nawet te poniżej pasa), ich wyobraźnia i zdolności są praktycznie nieograniczone, więc trzeba opracowywać nowe mechanizmy obrony.

Ciekawostka: DSA potrafi wykryć zmianę w pliku wykonywalnym aplikacji, co też może oznaczać obecność intruza w systemie. Zwyczajnie sprawdzana jest suma kontrolna pliku :).

SONAR 3 firmy Symantec

SONAR to akronim słów Symantec Online Network for Advanced Response. To przede wszystkim system behawioralnej analizy aplikacji w systemie. Przez wielu użytkowników krytykowany, dla mnie to kolejne doskonałe narzędzie w walce z najnowszymi zagrożeniami. Produkty Norton 2010 zawierają system SONAR 2, natomiast Norton 2011 już system SONAR 3, który wyposażono właśnie w mechanizm monitorowania zużycia zasobów.

Szkoda że SONAR 3 monitoruje tylko zużycie CPU i pamięci RAM, ale za to dostajemy pokaźne statystyki o obciążeniu komputera przez cały okres pracy. Nie mniej mamy szansę wykrycia podejrzanej aplikacji.

Wykrycie anomalii:

Statystyki:
Alarm wydajności SONAR 3:

Dziękuję za uwagę :) 

Komentarze

0 nowych
  #1 27.08.2011 22:16

Paranoja, w dodatku na Windows...

adam993   4 #2 29.08.2011 11:10

Ciężko żeby Linux miał takie coś... jemu wystarczy SELinux czy iptables :P
Paranoja? Nie, po prostu przedstawienie pewnej metody.
Hmm nie wiem czy to prawdziwy webnull, ale w każdym razie, jesteś trollem panie webnull-mobile

kwpolska   6 #3 29.08.2011 11:52

@webnul-mobile: mobile my ass. patrz useragent.

Samurai   16 #4 29.08.2011 12:02

Czyli sonar instalowany jest razem z Nortonem? Czy można go zainstalować jako osobna aplikacja (bez Nortona)??

Czy w przypadku obu opisanych tu programów możliwe jest wskazanie miejsce gdzie są przechowywane logi, czy mamy do dyspozycji tylko domyślne katalogi?

adam993   4 #5 29.08.2011 12:40

Tak, SONAR to integralna część Nortona, nie można go doinstalować.

Nie da się zmienić lokalizacji zapisywania dzienników (logów).

Samurai   16 #6 29.08.2011 13:13

@adam993

Czyli rozumiem, że oba programy są przeznaczone do pracy jednostanowiskowej i nie ma możliwości pracy po sieci?

Maxi_S   4 #7 29.08.2011 13:38

Uważam te wpisy za potrzebne, ponieważ sporo użytkowników zatrzymało się na etapie Defense+ i testach tegoż modułu, uważając że samo zainstalowanie wspomnianego, ochroni ich w 100%.

Tu mała dygresja na temat monitora behawioralnego. Można się zastanawiać nad kwalifikacją DSA i SONAR-a do odpowiedniej grupy monitorów systemowych. Z jednej strony można mówić o monitorowaniu zachowań, z drugiej zaś o polityce (wyznaczanie granic). Powtórzę przeczytaną opinię, że bloker behawioralny jest programem typu "zainstaluj i zapomnij". Nie wymaga uczenia, nie wymaga konfiguracji (w sensie reguł). Tak to działa w ThreatFire i tak to działa w Avaście. Osobiście wolę dzielić zabezpieczenia ze względu na techniki z jakich korzystają, gdyż określenia typu HIPS, IDS itp. nabierają dzisiaj dość szerokiego znaczenia.

A propos paranoi. Paranoję na Windows stworzyli sami użytkownicy, pracując na kontach z wysokimi przywilejami. Konto zwykłego użytkownika od zawsze dawało dość solidną ochronę przed wszelkiego rodzaju robactwem i wystarczyło chronić się w zasadzie wyłącznie przed dziurami systemowymi, które umożliwiały włamania przez sieć czy podniesienie uprawnień.

adam993   4 #8 29.08.2011 13:56

@Samurai
Hmm tak, nie przypominam sobie by istniała wersja "Endpoint/Enterprise" z konsolą zarządzającą. W przypadku SONAR można by się zastanowić nad Symantec Endpoint Protection, ale wtedy mamy całego Nortona.

Zgadzam się, idealnym monitorem behawioralnym jest Threat Fire. Szkoda że jego rozwój jest niepewny. Nie mniej ja przyjmuję że monitory behawioralne odpowiadają za monitorowanie obciążenia systemu.
SONAR jak i DSA ciężko zaliczyć do określonych aplikacji. Są już tak zmutowane, że trzeba by zaliczyć je do kilku grup.
Widzę że mam już wiernego czytelnika :)

A propos konta administracyjnego. Może na dniach napiszę o surun?

ichito   11 #9 29.08.2011 14:15

To prawda, że w tej chwili niezmiernie ciężko już jasno sklasyfikować monitory systemu...zarówno HIPSy jak i BB...a wystarczy spojrzeć na klasyfikację na blogu "Security Overflow". Jeszcze parę lat temu, kiedy samodzielne programy tego typu przeżywały swój rozkwit, nie było aż takich dylematów, co jest czym.
Odnośnie TF na chwilę...Maxi, przecież doskonale wiesz, że w ustawieniach zaawansowanych możesz edytować domyślne i tworzyć własne reguły i jeśli mówimy o konfiguracji to chyba właśnie w tym kontekście :)

Samurai   16 #10 29.08.2011 15:23

@adam993

dzięki za odpowiedź :) aha wpis porusza ciekawą tematykę, życzę powodzenia w dalszym blogowaniu :)

Maxi_S   4 #11 29.08.2011 17:12

@ichito
Tak, TF ma możliwość konfigurowania reguł, ale nie jest to podstawowa konfiguracja programu. W głównym menu masz do dyspozycji suwak "czułość" określający dokładność sprawdzania programów i to w zasadzie wszystko.

Bloker oparty na polityce bezwzględnie potrzebuje reguł do działania (vide CoreForce, Defense+, HIPS w w ESS 5 RC) - bez reguł nie blokuje, chyba że ma inną politykę zasadniczą (slogan Default Deny). Bloker behawioralny nie potrzebuje reguł do działania, gdyż decyduje o szkodliwości programu na podstawie analizy jego poczynań.

Maxi_S   4 #12 29.08.2011 17:15

Co do ThreatFire - mam nadzieję, że obroni się podobnie jak PCTools Firewall.

adam993   4 #13 29.08.2011 17:55

I tu masz bezwględną rację.
BTW: slogan Default Deny - czy miałeś na myśli Comodo?

Maxi_S   4 #14 29.08.2011 18:22

[cytat adam993]
BTW: slogan Default Deny - czy miałeś na myśli Comodo?
[/cytat]

Wiem, że może kojarzyć się to z Defense+ Comodo, ale to po prostu nazwa jednego ze stanowisk w polityce bezpieczeństwa (Default Deny i Default Permit).

adam993   4 #15 29.08.2011 18:42

Ah, to.
Łącząc "default deny" i Twój komentarz odnośnie Killswitcha myślałem że chodzi o tę firmę.