Субботние консультации вирусолога

Вот уже несколько лет, при всей современной перегруженности сети всякими червями, вирусами, троянами, и прочей пакостью, я не имел ни одного (!) инцидента, связанного с нарушением безопасности моего главного рабочего компа. Если сюда добавить тот факт, что никаких резидентных мониторов в системе у меня не стоит, что я хоть и ставлю патчи к своей старенькой Win2K, но делаю это крайне редко, и что в день приходим масса «зараженной» корреспонденции, то такое безпроблемное существование невольно наталкивает на ряд вопросов и непонятностей. Думаю, причиной всему, являются вот эти строки из моей автобиографии, опубликованной на секретном сайте-резюме, спрятанном глубоко в недрах сети.

Специализация: компьютерные вирусы и защита информации от нелегального доступа.

За несколько лет работы произведен полный анализ (дизассемблирование) более чем 500 вирусов, в совершенстве изучены Stealth- и Chost-системы, самовосстанавливающиеся конструкции на основе алгоритмов Хаффмана, трюки и хитрости тогдашних вирусов.

Первый серьезный программный продукт: Многофункциональный антивирус VIRLOC+, разработка которого продолжалась более чем 5 лет.

Как ни странно, но я не занимаюсь компьютерной вирусологией уже много лет. Много, это значит уже десяток. Но, тем не менее, навыки и опыт многолетнего общения с вредоносным кодом отложились на подсознательном уровне и не дают совершать ошибки.

Вот и сегодня утром я сидел за своим компом, медленно отвечал на корреспонденцию, читал ресурсы. Ничто не предвещало беды. Изредка, резким и четко отработанным движением, глаза опускаются в трэйбар, смотрят на индикатор upload’а и download’а, с целью контроля канала на предмет лишней активности, и, если все в порядке, работа продолжается. Вот и сегодня утром, в очередной раз, мой глаз, сорвавшись в направлении индикаторов, уловил еле заметную активность соединения, в то время, как ни одного работающего с сетью приложения не было активно. Хм, индикатор показывал довольно серьезную активность. «Работал Upload». Никоим образом не удивившись, я залез в фаерфол и взглянул на список процессов, дабы определить, какое из трэйбаровский приложений вдруг вздумало проверить свой сайт на наличие обновлений. К моему удивлению, я не обнаружил ни одного легитимного доступа от клиентского обеспечения в сеть. Я насторожился. Моментально были загружены вспомогательные приложения, показавшие, что на двух портах происходит прямое подключение к удаленному серверу в США.

Впервые за много лет, я начал немного нервничать. Несколько секунд, и куча вспомогательного софта загружена и тестирует все открытые порты, ассоциирует их с приложениями, делает тесты…

Было обнаружено подключение по портам 1150, 1147 к серверу deploy.akamaitechnologies.com

Вот тут я действительно занервничал. Моментальный рывок в сторону популярных багтрэев, ускоренное перерывание эхоконференций по безопасности, и прочие меры быстрого реагирования. Порты были моментально закрыты.

Что же удалось выяснить. Всему виной корпорация «Akamai». Ее сайт вот тут. Контора занимается кэшированием контента, используя десятки тысяч собственных прокси-серверов по всему миру.

Принцип работы прост. Заходишь на сайт компании-партнера «Akamai», на котором установлены специфические скрипты, сервер пингует твой комп, вычисляет оптимальные пути и редиректит тебя на ближайший прокси, который напрямую договаривается с твоим броузером, открывая еще несколько портов для подкачки данных в фоне. Все это существенно увеличивает скорость доступа к соответствующему сайту. Мда. Интересный способ. Без спроса лезешь куда не надо, устанавливаешь какие-то соединения, какие-то бэкграундные сессии, какая-то докачка… Мудаки, что еще сказать. Все не враждебно, но и не до конца безопасно. Но я успокоился.

Вот, что пишут про них в одном популярном «багтрэе»:

Akamai Proximity Detection

May 25 19:36:41 icmp 206.128.186.172 -> 203.23.109.34 (8/0), 1 packet
May 25 19:36:46 icmp 216.32.119.15 -> 203.23.109.34 (8/0), 1 packet
May 25 19:37:04 icmp 206.191.161.41 -> 203.23.109.34 (8/0), 1 packet
May 25 19:37:15 icmp 212.133.25.139 -> 203.23.109.34 (8/0), 1 packet
May 25 19:37:37 icmp 63.211.120.42 -> 203.23.109.34 (8/0), 1 packet
May 25 19:37:51 icmp 216.32.16.15 -> 203.23.109.34 (8/0), 1 packet
May 25 19:37:52 icmp 204.201.228.130 -> 203.23.109.34 (8/0), 1 packet
May 25 19:38:03 icmp 208.178.144.138 -> 203.23.109.34 (8/0), 1 packet
May 25 19:38:14 icmp 216.200.14.139 -> 203.23.109.34 (8/0), 1 packet
May 25 19:38:27 icmp 216.52.232.137 -> 203.23.109.34 (8/0), 1 packet
May 25 19:38:53 icmp 206.132.160.42 -> 203.23.109.34 (8/0), 1 packet
May 25 19:38:55 icmp 216.32.65.143 -> 203.23.109.34 (8/0), 1 packet
May 25 19:39:14 icmp 195.22.196.105 -> 203.23.109.34 (8/0), 1 packet

1. Source of trace:

www.sans.org/y2k/052700-2100.htm (Phil Crooker)

2. Detect was generated by:

I am unsure of this particular log format; however, the fields shown in the log are identified below.

Timestamp: May 25 19:36:41
Protocol: ICMP
Source IP Address: 206.128.186.172 (and others)
Destination IP Addresses: 203.23.109.34
Number of Packets per log entry: 1 packet

3. Probability the source address was spoofed:

No, the source addresses were not spoofed. I believe that it is an attempt to determine latency between the various Akamai servers and the destination IP address.
4. Description of attack:

I do not believe that this is an attack. Sampling the source IP addresses reveals that they are affiliated with Akamai (www.akamai.com). Akamai’s business involves deploying caching servers throughout the world and bringing web content closer to the users. I believe that Akamai also announced the ability for their customers to view the geographic origin of web site visitors.

Performing an nslookup on the destination IP address revealed the following:

Name: mail.orix.com.au
Address: 203.23.109.34

Here is the DNS resolution for some of the source IP addresses.

Name: a216-32-119-15.deploy.akamaitechnologies.com
Address: 216.32.119.15

Name: a206-191-161-41.deploy.akamaitechnologies.com
Address: 206.191.161.41

Name: a63.211.120.42.deploy.akamaitechnologies.com
Address: 63.211.120.42

Name: a216-32-16-15.deploy.akamaitechnologies.com
Address: 216.32.16.15

Name: a204-201-228-130.deploy.akamaitechnologies.com
Address: 204.201.228.130
Aliases: 130.228.201.204.in-addr.arpa

5. Attack mechanism:

This appears to be an attempt at determining latency between the various Akamai source servers and destination 203.23.109.34. While some would question the accuracy of using ping to determine latency, it is still used. It seems that Akamai is sending a single icmp packet from multiple source addresses to destination 203.23.109.34. Akamai probably has an algorithm that correlates the ping data and determines the caching server that is closest to the destination IP address.
6. Correlations:

There are a number of geographic load balancers and caching servers that utilize a latency measurement method to determine the closest server to the end user.

For example, here is a link to the 3DNS load balancer product by F5.

www.f5.com/3dns/index.html

In addition, Digital Island has a product called Footprint that utilizes caching technology to deploy content at the edges, e.g., dial-up ISPs.

Here is a link to Footprint by Digital Island.

www.digisle.net/services/cd/footprint.shtml

7. Evidence of active targeting:

This is not malicious. It is an attempt to determine latency between the destination IP address and the various Akamai servers.

8. Severity:

For this detect, the severity is calculated as follows:

Element Score Remarks
Criticality +3 Log showed ICMP packets to a mail server.
Lethality +1 ICMP is used in DoS attacks; this is latency measurement.
System Countermeasures -2 OS of destination IP address is unknown. Security patches may not be applied.
Network Countermeasures -2 ICMP entries appeared in log. Firewall is letting ICMP packets arrive at a mail server.
SCORE 0

9. Defensive recommendation:

ICMP packets were logged and no harm took place. In general, one should be very selective about which servers are allowed to receive ICMP packets given the recent Denial of Service attacks. Also set up router access control lists, such that ICMP is either blocked or restricted.

10. Multiple choice test question:

Which of the following is true?

a) Load balancing is synonymous with caching
b) Every log entry is indicative of an attack
c) Load balancers, caching, mirroring, and content delivery are tools used to enhance the end user web experience
d) None of the above

Answer: c