Tietomurtojen merkkejä
Jussi Perälampi
Kirjoitimme viime viikolla aiheesta “Mitä tehdä jos epäilet joutuneesi tietomurron kohteeksi?” Tässä kirjoituksessa käydään läpi yleisimpiä tietomurron indikaattoreita. Sarjan myöhemmissä kirjoituksissa tullaan paneutumaan tarkemmin osaan indikaattoreista.
Työasemissa ja palvelimissa tapahtuneet muutokset voi jakaa esimerkiksi seuraavasti:
Antivirus
Haittaohjelmien torjuntaohjelma (antivirus-ohjelma) on sammunut, ei päivity tai ei suostu käynnistymään ollenkaan
Ko. ohjelmisto havaitsee haitakkeen, erityisesti jos havainnointi tapahtuu ajastetussa skannauksessa.
Koneelta löytyy rootkit
Koneen toiminnassa tapahtuu muutos
Koneelta löytyy poikkeavia käyttäjätunnuksia
Koneelta löytyy odottamattomia palveluita
Koneelta löytyy odottamattomia ajastettuja tehtäviä
Koneelta löytyy odottamattomia ohjelmien käynnistyksiä eri automaattisesti ohjelmia käynnistävistä paikoista.
Kovalevyn käyttöaste poikkeavan korkea
Koneella on odottamattomia tai poikkeuksellisia prosesseja
Rekisterissä odottamattomia muutoksia, lisäyksiä tai poistoja
Kone tai ohjelma on hidas
Kone uudelleenkäynnistyy odottamatta
Koneella ei voi ajaa tietoturva- tai diagnostiikkaohjelmia
Sisältöä on muutettu (www, dokumentit, tietokanta)
Lokeissa poikkeamia
Kone tai ohjelmat alkavat kaatuilla
Ympäristössä havaittavia poikkeamia
Käyttäjä tilejä menee lukkoon poikkeavasti (useita lyhyessä ajassa tai esimerkiksi aakkosjärjestyksessä)
Lokeista löytyy merkintöjä verkosta tapahtuneita kirjautumisista koneiden paikallisilla administrator -tunnuksilla.
Poikkeavia verkkoyhteyksiä/verkkoyhteysyrityksiä internetiin, sisäisille palvelimille tai työasemille
Viestejä poikkeavan paljon (meili, SMS,pikaviestin jne.)
Koneella odottamattomia portteja odottamassa yhteyksiä
Helpdesk-yhteydenotot lisääntyvät lyhyessä ajassa
Palomuuri-, proxy- tai IDS-lokit tai raportit viittaavat poikkeamaan
Verkkoliikennemäärissä poikkeamia (yleiset liikennemäärät, protokollaliikenne kuten DNS tai https)
Poikkeavaa liikennettä (tiedostopalvelin käyttää Twitteriä tai IRC:iä, kantapalvelin siirtää Internettiin isoa tiedostoa)
Normaaleja kirjautumisia poikkeavana aikana, poikkeavasta paikasta tai useasta paikasta samaan aikaan
Lista ei ole pitkä eikä kattava mutta listaa yleisimpiä poikkeamia jotka johtavat tarkempaan tutkintaan. Osa kohdista vaatii että tuntee kyseessä olevan koneen hyvin ja tulee se ”jännä kutina” jostakin poikkeavasta. Osa taas vaatii ympäristön säännöllistä tarkkailua, lokien tutkimista ja raporttien aktiivista lukemista.
Kirjoittaja Jussi Perälampi toimii Nixun Tietoturvapoikkeaman hallinta ja forensiikka -ryhmässä (Digital Forensics Incident Response – DFIR).