Každý týždeň sa objaví aspoň jeden nový exemplár, ktorý sa šíri neuveriteľnou rýchlosťou. Šírenie jedného sa neskončí, a už sa objavuje exemplár nový. Väčšina používa rovnaké techniky a to šírenie v prílohe emailovej správy a následnou aktiváciou buď na úrovni rôznych scriptov, alebo proste upútaním užívateľa na prílohu, ktorý ju následne spustí a tým dôjde k vstupu wormu do systému.
Už dlhšiu dobu existuje projekt, ktorý sa riešeniami tohto typu zaoberá. Administrátori, ktorí ho na svoje systémy implementovali sú vysoko spokojní, ale aj napriek tomu v našich končinách moc rozšírený nie je. Preto si dnes ukážeme, ako je možné túto formu ochrany implementovať aj do vášho systému. Názov projektu je sanitizer a nájdete ho na adrese www.impsec.org/email-tools/procmail-security.html.
Hor sa teda do implementácie. Základom je stiahnutie súboru so sadov pravidiel s názvom html-trap.procmail.gz z ktorého po rozpakovaní získate súbor html-trap.procmail, ktorý umiestnite do adresára /etc/. Teraz nasleduje jeho aktivácia pridaním pravidiel do existujúceho /etc/procmailrc, poprípade ak ste doteraz procmail pre definíciu jednotlivých pravidiel nepoužívali, stačí tam tento súbor vytvoriť. Pre začiatok bude jeho obsah nasledovný:
PATH="/usr/bin:$PATH:/usr/local/bin" SHELL=/bin/sh POISONED_EXECUTABLES=/etc/procmail.poisoned SECURITY_NOTIFY="postmaster, security-dude" SECURITY_NOTIFY_VERBOSE="virus checker" SECRET="mysecretkey" SECURITY_QUARANTINE=/var/spool/mail/quarantine POISONED_SCORE=25 SCORE_HISTORY=/var/log/macro-scanner-scores DROPPRIVS=YES LOGFILE=$HOME/procmail.log INCLUDERC=/etc/html-trap.procmail SECRET= POISONED_EXECUTABLES= SECURITY_NOTIFY= SECURITY_NOTIFY_VERBOSE= SECURITY_NOTIFY_SENDER= SECURITY_QUARANTINE=
Na začiatku je potrebné definovať jednotlivé inicializačné premenné, ku ktorým sa vrátime. Nasleduje odvolávka pre vnorenie definícií zo súboru /etc/html-trap.procmail a následné priradenie nulových hodnôt definovaným premenným, aby užívatelia nemali prístup k ich obsahu pri vykonávaní ich užívateľských .procmailrc skriptov. Následne si vytvoríme adresár /var/spool/mail/quarantine, do ktorého sa budú ukladať prípadné odstránené attachmenty a nastavíme príslušné prístupové práva pre povolenie zápisu. Nasleduje vytvorenie súboru s definíciami názvov súborov /etc/procmail.poisoned, ktorými sú zväčša wormy a trojany prenášané. Aktuálny obsah môže vyzerať nasledovne www.impsec.org/email-tools/poisoned-files.
Týmto je súbor s pravidlami aktivovaný. Čo sa vlastne deje? Hneď si to vysvetlíme. Každý doručený email sa pred uložením do mailboxu skontroluje podľa pravidiel v súbore /etc/html-trap.procmail. Najprv sa kontrolujú jednotlivé attachmenty. Ak je ich prípona spustiteľného tvaru, ako napríklad pri maskovaní typu subor.mpe.exe sa prípona súboru automaticky mení na nespustiteľný tvar, napríklad subor.mpe.DEFANGED-exe. Ak je príloha na zozname trojanov, je z emailovej správy odstránená o čom je následne do tela správy priložená informácia. Pôvodná správa s prílohou je uložená do karanténového adresára, čo umožňuje v prípade náhodnej zhody názvov súborov obnoviť ju. Ďalším krokom je odkomentovanie všetkých aktívnych súčastí z tela html správy pre zamedzenie spúšťania scriptov, ktoré automatizujú a realizujú usídlenie worma v systéme počítača. Veľmi zaujímavým prvkom je prehliadanie .doc a .xls súborov na existenciu nebezpečných makier, kde podľa výskytu jednotlivých príkazov prebieha hodnotenie ich nebezpečnosti. Ak je v hodnotení dosiahnutá hranica, ktorú ste stanovili sú nebezpečné attachmenty odstránené, ako by ja jednalo o trojana uvedeného v /etc/procmail.poisoned. Výsledky jednotlivých hodnotení nájdete v logu /var/log/macro-scanner-scores. Taktiež sa upravujú dĺžky jednotlivých polí v hlavičke, aby sa zamedzilo rôznym nepríjemnostiam, ktoré by dlhé polia mohli spôsobovať. Podľa definovania prostredníctvom konfiguračných premenných sa vám v domovských adresárov jednotlivých užívateľov vytvárajú logové súbory s názvom procmail.log, ktorých obsah vyzerá asi takto:
Defanging active HTML content in "dfasdfas" from "P-A-N-D-O-R"
<pandor@compclub.sk> to pandor
msgid=<003b01c18165$644666e0$c36fa83e@compclub.sk>
Sanitizing MIME attachment headers in "dfasdfas" from "P-A-N-D-O-R"
<pandor@compclub.sk> to pandor
msgid=<003b01c18165$644666e0$c36fa83e@compclub.sk>
Mangling executable filename "=?iso-8859-2?Q?Nov=E9Textov=FD_dokument.txt.exe?=".
Mangling executable filename "=?iso-8859-2?Q?Nov=E9Textov=FD_dokument.txt.exe?=".
Defanging active HTML content in "dfasdfas" from "P-A-N-D-O-R"
<pandor@compclub.sk> to pandor
msgid=<003b01c18165$644666e0$c36fa83e@compclub.sk>
Sanitizing MIME attachment headers in "dfasdfas" from "P-A-N-D-O-R"
<pandor@compclub.sk> to pandor
msgid=<003b01c18165$644666e0$c36fa83e@compclub.sk>
>From pandor@compclub.sk Mon Dec 10 10:28:22 2001
Subject: dfasdfas
Folder: /var/spool/mail/pandor 2333
>From alex@wired.com Mon Dec 10 10:34:38 2001
Subject: RE: YOUR ARTICLES
Folder: /var/spool/mail/pandor 1385
Priebežne ich teda môžete sledovať, aby ste mali prehľad o súčasnom dianí napríklad:
tail -f /home/*/procmail.log
Teraz ku konfiguračným premenným:
MANGLE_EXTENSIONS - zoznam prípon, ktoré majú podliehať zmene
pre ochranu pred náhodným spustením
POISONED_EXECUTABLES - názov súboru s potenciálnymi názvami
trojanov a wormov
STRIPPED_EXECUTABLES - názov súboru s definíciami súborov, ktoré
sa majú z príloh odstrániť
DISABLE_MACRO_CHECK - reguluje kontrolu makier v dokumentoch
Microsoft office
POISONED_SCORE - hodnota, nad ktorú budú dokumenty s makrami
v hodnotení odstránené
SCORE_HISTORY - názov logového súboru, kam sa majú ukladať
jednotlivé hodnotenia
SCORE_DETAILS - definuje, či sa má do logového súboru zapisovať
aj postup pri získaní výsledného hodnotenia nebezpečnosti makier
SCORE_ONLY - udáva, či sa má uskutočňovať iba hodnotenie, bez
odstránenia prílohy
SECURITY_QUARANTINE - špecifikuje adresár pre ukladanie správ
s pôvodnými prílohami pri zmene
SECURITY_NOTIFY - emailová adresa pre notifikáciu o zistených
nebezpečných prílohách
POISONED_WARNING - textová správa, ktorá sa vloží do tela emailu
pri odstránení prílohy
SECURITY_TRUST_HTML - vypnutie možnosti odstránenia aktívnych
častí html správy
LOGFILE - názov logového súboru pre zápis činností
Podrobnejšie informácie nájdete priamo na domovskej stránke projektu.
Týmto máme za sebou úspešnú inštaláciu pravidiel, ktorá určite spomalí šírenie wormov na vašich pracovných staniciach. Aj keď jednotlivé wormy odstránené nie sú, o čo sa musia postarať antivírové programy inštalované na lokáloch, znemožní sa ich aktivovanie a tým aj šírenie. Tak hor sa do práce…
ČLÁNKY DO MAILU