Компьютер в сети отправляет вредоносный трафик eset что делать
Статья подготовлена экспертом OTUS - Александром Колесниковым для будущих студентов курса «Network engineer. Basic».
Приглашаем всех желающих на открытый вебинар по теме «Ethernet. От рождения до наших дней». Участники вместе с экспертом рассмотрят распространенный протокол второго уровня Ethernet, разберут плюсы и минусы технологии. Это даст понимание, почему локальная сеть на Ethernet работает именно определенным образом, и объяснит, откуда берут свое начало ограничения в его работе.
Статья расскажет о способах разбора и детектирования вредоносного сетевого взаимодействия в сети. Информация предоставляется для ознакомления. Здесь будут рассмотрены основные инструменты для анализа сетевого трафика и рассмотрены источники примеров для практики.
Стандартное поведение
Обычно ESET Internet Security обнаруживает заражения с помощью перечисленных ниже модулей.
• Защита файловой системы в режиме реального времени
• Защита доступа в Интернет
• Защита почтового клиента
• Сканирование компьютера по требованию
Каждый модуль использует стандартный уровень очистки и пытается очистить файл, поместить его в карантин или прервать подключение. В правом нижнем углу экрана отображается окно уведомлений. Дополнительные сведения об уровнях очистки и поведении см. в разделе Очистка.
Анализ сетевого взаимодействия: сегодня и в будущем
Любые навыки анализа сетевого взаимодействия разбиваются об использование шифрования трафика. Современным стандартом шифрования в сети на прикладном уровне модели OSI является использование HTTP over TLS. Зачастую это "Game Over" любого анализа, если недоступны ключи шифрования. Как же поступить в этом случае?
Этим вопросом задаются достаточно давно. Были найдены общие подходы, которые в совокупности с контекстом сетевого взаимодействия (программное обеспечение хоста, роли машин в локальной сети) могут позволить обнаружить вредоносное сетевое взаимодействие даже без его расшифрования.
Любопытный проект можно найти здесь. Проект использует в качестве инструмента для анализа зашифрованных трафиков нейронные сети. Именно они могут позволить классифицировать преобразованные взаимодействия.
Классификация осуществляется на базе следующих данных:
длины передаваемых данных
временных таймаутов между отправкой данных
Удаление файлов из архивов
В режиме очистки по умолчанию архив удаляется целиком только в том случае, если он содержит только зараженные файлы. Иначе говоря, архивы, в которых есть незараженные файлы, не удаляются. Однако следует проявлять осторожность при сканировании в режиме тщательной очистки, так как при этом архив удаляется, если содержит хотя бы один зараженный файл, независимо от состояния других файлов в архиве.
Если на компьютере возникли признаки заражения вредоносной программой (например, он стал медленнее работать, часто зависает и т. п.), рекомендуется выполнить следующие действия.
1. Откройте ESET Internet Security и выберите команду « Сканирование компьютера ».
2. Выберите вариант Сканировать компьютер (дополнительную информацию см. в разделе Сканирование компьютера).
3. После окончания сканирования проверьте в журнале количество просканированных, зараженных и очищенных файлов.
Если следует сканировать только определенную часть диска, выберите вариант Выборочное сканирование и укажите объекты, которые нужно сканировать на предмет наличия вирусов.
Ильдар, А как подключен интернет? Через кабель напрямую или через роутер? Если через роутер - то какая модель?
Ильдар, отключайте уже защиту домашней сети, чтобы данные уведомления перестали появляться. Дело в том что антивирус работает в сети Вашего провайдера.
Ильдар, проблема в локальной оптимизации ПО с Вашей системой, перезапуск программы устраняет данную проблему? Попробуйте переустановить дистрибутив.
в Windows 10 каждый день появляется уведомление "Smart Security требует вашего внимания", нажимаю на уведомление и ничего не происходит, а сегодня заблокировал сам страницу загрузки world of tanks назвав его нежелательным:)
Евгений, 1. Запустите, пожалуйста, установленный на компьютере антивирус
2. Нажмите клавишу F5
3. В окне расширенных параметров слева выберите пункт "Интернет и электронная почта"
4. Справа в открывшемся разделе выберите "Исключённые приложения" - "Изменить"
5. В открывшемся окне выберите кнопку "Добавить" в левом нижнем углу.
6. В открывшемся списке найдите нужную программу, нажмите ОК - ОК - ОК
Здравствуйте, помогите справится с вирусом. Сканировал ESET NOD32 , вирус находит и удаляет но он снова появляется .Поведение вируса : При скачивании любого файла меняет скачанный файл на архив с установщиком.
Помогите,который день не могу обновить извините за качество картинки
Евгений, круто
Санёк, не, я связался с разработчиками антивируса, говорят не обращай внимение, платить всё равно будешь каждый месяц
Андрей, да, действительно. Видимо какие-то технические неполадки, мы сообщили администраторам сайта об этом. Думаю, в ближайшее время они всё исправят!
Григорий, Здравствуйте ! Скажите пожалуйста Вот у меня сейчас действующая лицензия Eset Nod32которая закончиться первого числа следующего месяца с привязаной почтой майл ру..Я вчера купил новую лицензию и немного другой Eset Nod32 а именноSmart Secyrityкоторый я хочу активировать с другим адресом почты. Так у меня вопрос; Я могу активировать новый продукт с новым почтовым ящиком или уже нет так как я Майл ру почтой перестал пользоваться ?
Фёдор, да, конечно, вы сможете активировать, указав новый адрес почты. Лучше всего это сделать уже после окончания действующей лицензии - чтобы не потерять дни лицензии.
В статье нет пошаговых инструкций по обеспечению сетевой безопасности. Надеюсь, пользователей материал заставит задуматься, а опытные сетевые администраторы дополнят информацию конкретикой.
Статья не содержит ссылок и ГМО.
Паразитный трафик
Неконтролируемая сетевая активность. Даже, если ваше подключение 100% закрыто — при наличии реального фиксированного IP-адреса, а не «серого» и/или динамического IP-адреса, предоставляемого провайдером для внутренней сети — из Интернет передаются широковещательные, ICMP-, keepalive-пакеты и разнообразный служебный трафик. В этом случае, любой может обратиться к вашему IP-адресу, использовав простейшую команду ping Х.Х.Х.Х , средства поиска уязвимостей, или попытаться нарушить работу подключения, сгенерировав syn flood командой hping3 (для Linux-систем). При этом генерируется и учитывается входящий трафик.
Более того, даже если ваше сетевое оборудование выключено, трафик может быть сгенерирован и учтётся Интернет-провайдером — пока из ARP-кеша провайдера (в котором хранится соответствие IP и MAC-адресов) не удалится запись о вашем подключении. Время обновления зависит от настроек у провайдера, обычно несколько минут (в маршрутизаторах Cisco — по умолчанию 4 часа).
Если к.л. злоумышленник не ставит себе целью атаковать ваш IP-адрес — такой трафик представляет несколько KB в сутки, но избежать его не представляется возможным. Разумеется, интернет-провайдеры обычно предпринимают необходимые меры по защите.
Трафик от программного обеспечения
Современное программное обеспечение, установленное на Вашем компьютере, часто не спрашивая вашего разрешения явным образом, обращается к внешним сервисам для передачи служебной информации, запроса обновлений и их загрузки. Т.е. данный трафик не является необходимой частью работы программы. Так, например, в Интернет для проверки обновлений и регистрационной информации обращается ПО Adobe, Microsoft и т.п. А ОС Microsoft ещё и по умолчанию загружает и обновления, размер которых может превышать сотни MB.
Выходом из данной ситуации может служить отключение обновлений и обращения к внешним ресурсам в настройках программного обеспечения (не всегда это возможно) и установка программного файрволла (сетевого экрана), который при всех запросах на обращение к внешним ресурсам будет запрашивать ваше решение. «Режим обучения» присутствует в большинстве современных файрволлов.
Вирусная активность
Возникает за счёт заражения вашего компьютера вирусами. Это худший вариант из перечисленного, т.к. кроме создания паразитного трафика, злоумышленник может получить доступ к вашему компьютеру — со всеми вытекающими из этого последствиями.
Решение — установка антивирусов и регулярное обновление операционной системы и ПО. Причём, это относится не только к Windows-системам. Уязвимости обнаруживаются с завидной регулярностью во всех ОС, и проверку на руткиты никто не отменял. Существует специализированное ПО, которое отслеживает выявление уязвимостей и информирует о наличии обновлений для распространённого ПО. К примеру, для Windows-систем существует Secunia Personal Software Inspector. Для Linux-систем, если ПО устанавливалось из официальных репозиториев, те же задачи выполняют Менеджеры пакетов.
Несанкционированное использование подключения
При низком уровне безопасности, это характерно для локальных сетей предприятия. А с распространением WiFi-устройств — и для обычных пользователей. Очень часто, пользователи не заботятся о безопасности беспроводных соединений и открытых (или, недостаточно защищённых) точек доступа можно обнаружить значительное количество — только с моего балкона «видно» две. Должен предостеречь, что при подключении к открытой точке доступа — её владелец может сканировать трафик на наличие в открытом виде логинов и паролей доступа.
Если с локальными сетями предприятий всё понятно — надо нанимать квалифицированных системных администраторов, то владельцам домашних точек доступа настоятельно рекомендуется ознакомиться с документацией для обеспечения максимальной безопасности. На эту тему есть много информативных статей.
И Google?
Откровенным сюрпризом для меня стали следующие логи (из логов исключены обращения по адресам Google менее 5МБ):
Время IP адрес Принято байт Передано байт
.
00:10 74.125.160.81 6,059,987 140,082
00:40 74.125.163.83 5,947,266 137,562
01:20 74.125.173.17 5,945,612 136,087
02:10 74.125.173.23 5,948,572 141,739
02:50 74.125.173.21 5,954,547 136,007
03:20 74.125.173.29 5,956,884 135,779
03:50 74.125.173.30 5,958,999 135,807
04:20 74.125.173.23 5,984,194 140,108
04:50 74.125.173.19 5,980,806 140,027
.
Т.е. каждые полчаса, в течение нескольких суток, с адресов Google при заблокированном компьютере проходит около 6МБ. Достаточно запустить Google Chrome. К сожалению, цели данного трафика мне выяснить пока не удалось.
Конечно, есть кардинальное решение — безлимитные тарифы. Но будь внимателен, %username%, следи за трафиком и проверь логи. Мало ли что…
Разумеется, за весь несанкционированный трафик на ваш IP-адрес — придётся платить. Могу заметить, что по требованию большинство провайдеров без проблем предоставляют подробную детализацию трафика. Есть случаи, когда интернет-провайдеры идут на встречу клиентам и корректируют трафик. Особенно, это касается юридических лиц.
Заранее спасибо за комментарии и вопросы.
UPD
Такая ситуация наблюдается, даже если открыта одна пустая вкладка. Google Chrome 6.0.472.63 (браузер радостно информирует, что это — последняя версия).
Заключение
Современные вирусописатели чаще всего закладывают в разрабатываемое ими ВПО различный функционал передачи данных по сети. Среди этой информации можно обнаружить массу конфиденциальных сведений: от данных учетной записи пользователя до паролей к банковским аккаунтам. Подобная утечка в сети может привести к необратимым последствиям для компаний, а также обычных домашних пользователей. Сетевой администратор должен уметь выявлять подобные коннекты в сети: для этого необходимо быть в курсе «актуальной» малвары и содержимого трафиков, которые она чаще всего генерит.
Заражения могут попасть на компьютер из различных источников, таких как веб-сайты, общие папки, электронная почта или съемные носители (накопители USB, внешние диски, компакт- или DVD-диски, дискеты и т. д.).
Очистка и удаление.
Если действие по умолчанию для модуля защиты файловой системы в режиме реального времени не определено, пользователю предлагается выбрать его в окне предупреждения. Обычно доступны варианты Очистить , Удалить или Ничего не предпринимать . Не рекомендуется выбирать действие Ничего не предпринимать , поскольку при этом зараженные файлы не будут очищены. Исключение допустимо только в том случае, если вы уверены, что файл безвреден и был обнаружен по ошибке.
Очистку следует применять, если файл был атакован вирусом, который добавил к нему вредоносный код. В этом случае сначала программа пытается очистить зараженный файл, чтобы восстановить его первоначальное состояние. Если файл содержит только вредоносный код, он будет удален.
Если зараженный файл заблокирован или используется каким-либо системным процессом, обычно он удаляется только после освобождения. Как правило, это происходит после перезапуска системы.
Множественные угрозы
Если при сканировании компьютера какие-либо зараженные файлы не были очищены (или для параметраУровень очистки было установлено значение Без очистки ), на экране отобразится окно предупреждения, в котором вам будет предложено выбрать действие для таких файлов. Следует выбрать действия для файлов (действия выбираются отдельно для каждого файла в списке), а затем нажать кнопку Готово .
Анализ сетевого взаимодействия
В рамках этой статьи вредоносным будем считать трафик, который генерируется вредоносным программным обеспечением в локальной сети. Что придает «вредоносность» такому сетевому взаимодействию? Любые передаваемые зловредом по сети данные обеспечивают «корректную» работу ВПО и могут влиять на одну из характеристик информации, которая хранится и обрабатывается в системе, а именно — целостность, доступность, конфиденциальность.
Что в большинстве случаев генерирует в сети вредоносное программное обеспечение:
отчет о инфицировании системы;
собранные в системе учетные данные;
принимаемые команды от управляющего сервера;
загружаемые модули обновления вредоноса;
сетевой трафик, который используется для атак DDoS
Для обнаружения вредоносного сетевого взаимодействия нужно:
Иметь возможность записывать фрагменты сетевого взаимодействия;
Знать основные шаблоны передачи зловредами данных по сети и способы сокрытия информации в сетевом взаимодействии.
Первый пункт решить достаточно просто с помощью снифферов типа WireShark или tcpdump . Второй пункт решается для начинающих аналитиков только большим количеством проанализированных фрагментов трафиков. Где найти такие фрагменты?
Готовые наборы вредоносного сетевого взаимодействия можно найти просто загуглив "malicious pcap". Неплохая подборка есть вот здесь. На первых порах лучше использовать этот трафик для понимания, как именно зловредное программное обеспечение может передавать информацию по сети. На ресурсе можно также обнаружить раздел с записанными сетевыми взаимодействиями, которые были созданы для того, чтобы научиться исследовать трафик. Попробуем проанализировать записанный трафик вредоносного программного обеспечения.
ВНИМАНИЕ: Никакие файлы и команды, найденные в записанном сетевом взаимодействии, нельзя запускать на вашей рабочей машине — анализировать эти данные нужно в виртуальной машине.
Выбранный файл сетевого взаимодействия представляет собой сетевую активность вредоносного программного обеспечения Trickbot. Так как мы не знаем, как построена сеть, где было записано сетевое взаимодействие, то выясним, какие машины вообще взаимодействуют в сети:
Всего 24 машины, достаточно много, попробуем выяснить, какие там используются протоколы:
По списку можно увидеть, что в сети используется операционная система Windows, работающая в инфраструктуре под управлением Windows AD. Поищем вредоносные сетевые взаимодействия. Обычно изучение начинается с просмотра количества информации, которая передается в рамках взаимодействия сетевых машин:
Интересным выглядит взаимодействие с ip адресом, который начинается с 149.28. Создадим фильтр:
В итоге видим такую картину:
Похоже, что на машине был открыт документ, который подгружает файл шаблона для документа MS Office. Далее находится обфусцированный скрипт на VBA:
Очевидно, что в записанное взаимодействие попал этап инфицирования ОС вредоносным программным обеспечением. Если взглянуть на вот такой фильтр:
Обнаруживаем, что сетевое взаимодействие зловреда также зашифровано. Что же делать? Ключей шифрования нет, прочесть информацию внутри пакетов не получится.
Анализ сетевого взаимодействия
В рамках этой статьи вредоносным будем считать трафик, который генерируется вредоносным программным обеспечением в локальной сети. Что придает «вредоносность» такому сетевому взаимодействию? Любые передаваемые зловредом по сети данные обеспечивают «корректную» работу ВПО и могут влиять на одну из характеристик информации, которая хранится и обрабатывается в системе, а именно — целостность, доступность, конфиденциальность.
Что в большинстве случаев генерирует в сети вредоносное программное обеспечение:
отчет о инфицировании системы;
собранные в системе учетные данные;
принимаемые команды от управляющего сервера;
загружаемые модули обновления вредоноса;
сетевой трафик, который используется для атак DDoS
Для обнаружения вредоносного сетевого взаимодействия нужно:
Иметь возможность записывать фрагменты сетевого взаимодействия;
Знать основные шаблоны передачи зловредами данных по сети и способы сокрытия информации в сетевом взаимодействии.
Первый пункт решить достаточно просто с помощью снифферов типа WireShark или tcpdump . Второй пункт решается для начинающих аналитиков только большим количеством проанализированных фрагментов трафиков. Где найти такие фрагменты?
Готовые наборы вредоносного сетевого взаимодействия можно найти просто загуглив "malicious pcap". Неплохая подборка есть вот здесь. На первых порах лучше использовать этот трафик для понимания, как именно зловредное программное обеспечение может передавать информацию по сети. На ресурсе можно также обнаружить раздел с записанными сетевыми взаимодействиями, которые были созданы для того, чтобы научиться исследовать трафик. Попробуем проанализировать записанный трафик вредоносного программного обеспечения.
ВНИМАНИЕ: Никакие файлы и команды, найденные в записанном сетевом взаимодействии, нельзя запускать на вашей рабочей машине — анализировать эти данные нужно в виртуальной машине.
Выбранный файл сетевого взаимодействия представляет собой сетевую активность вредоносного программного обеспечения Trickbot. Так как мы не знаем, как построена сеть, где было записано сетевое взаимодействие, то выясним, какие машины вообще взаимодействуют в сети:
Всего 24 машины, достаточно много, попробуем выяснить, какие там используются протоколы:
По списку можно увидеть, что в сети используется операционная система Windows, работающая в инфраструктуре под управлением Windows AD. Поищем вредоносные сетевые взаимодействия. Обычно изучение начинается с просмотра количества информации, которая передается в рамках взаимодействия сетевых машин:
Интересным выглядит взаимодействие с ip адресом, который начинается с 149.28. Создадим фильтр:
В итоге видим такую картину:
Похоже, что на машине был открыт документ, который подгружает файл шаблона для документа MS Office. Далее находится обфусцированный скрипт на VBA:
Очевидно, что в записанное взаимодействие попал этап инфицирования ОС вредоносным программным обеспечением. Если взглянуть на вот такой фильтр:
Обнаруживаем, что сетевое взаимодействие зловреда также зашифровано. Что же делать? Ключей шифрования нет, прочесть информацию внутри пакетов не получится.
Читайте также: