Nástroje CSIRTů

S jedním zdrojem dat a jedním systémem na spravování incidentů si již téměř žádný větší tým nevystačí (alespoň zatím o něm nevíme). Proto se každý tým věnuje vývoji vlastních nástrojů nebo minimálně vlastní nadstavbě již existujících nástrojů.

CSIRT týmy se tak nejčastěji učí nejlépe jeden od druhého. Proto jsme se rozhodli vést projekt, jenž jsme nazvali CS Danube (Cyber Security in Danube Region), který byl podpořen Evropskou komisí v rámci programu START. Do tohoto projektu jsou zapojeny týmy z Moldavska, Srbska, Slovenska či Rakouska. Jaké „vychytávky“ nám na prvním společném setkání představili kolegové z jiných týmů?

Slovenští kolegové nám ukázali, jak si pro vlastní potřeby upravili nástroj Malicious Domain Manager, který vznikl na společné půdě sdružení CZ.NIC a týmu CSIRT.CZ, a který slouží na zpracování informací o škodlivém provozu v doméně .cz. Tento systém na zpracovávaní veškerým incidentů v týmu CSIRT.SK nazvali Malicious Resource Manager a kromě přímého napojení na WHOIS poskytuje také pravidelné screenshoty z phishingových stránek či přímé informace z virustotal.com. Kolegové nám také ukázali, jak se snaží vzdělávat uživatele přes takzvaný Phishingový test. Zkuste i vy otestovat, kolik e-mailu, které obdržel uživatel Chuck Norris :), je podle vás legitímních.

Zástupci srbského týmu AMRES nám kromě jiného představili soubor nástrojů Netvizura umožňujícího analýzu síťového provozu a provozovaných služeb v síti, který vznikl jako výsledek spolupráce Srbské univerzity v Bělehradu a soukromého sektoru. Z volně dostupných nástrojů si můžete prohlédnout např. DNS Checker, který mimo jiného poskytne informace o tom, zdali DNS server slouží jako open resolver nebo má/nemá AAAA či PTR záznamy pro reverzní záznamy na jednom místě. Druhý volně dostupný nástroj je DomainDossier, který přes webové rozhraní poskytne na jednom místě informace o doméně, síti, ve které se nachází, DNS serveru, traceroutu či služeb, které na dané adrese běží.

Rakouský tým CERT.AT, jenž funguje podobně jako tým CSIRT.CZ, tedy pod správcem národní domény (.AT), představil hned několik open source projektů zaměřených na analýzu škodlivých souborů či provozu. Zmíním se minimálně o Passive DNS, který využíváme pro analýzu i v našem týmu. Sondy v rámci Passive DNS zachytávají DNS dotazy z rekurzivních DNS serverů, mažou zdrojové a cílové adresy (kvůli ochraně soukromí), připisují k veřejným DNS záznamům časové známky a následně je ukládají do databáze, na kterou je možné se dotazovat přes grafický interface. Ten umožňuje získávat informace o tom, jaký A záznam měla doména v minulosti či například jaké A záznamy mají domény v daném adresním rozsahu.

Autor:

Zanechte komentář