Hlavní navigace

S procmailom v boji proti wormom

13. 12. 2001
Doba čtení: 5 minut

Sdílet

V poslednom čase sa veľmi rozšírili wormy šíriace sa prostredníctvom emailových správ, zneužívajúc nízke zabezpečenie email klientov s povoleným prehliadaním html formátu na platforme Windows. Je možné na úrovni servera s takýmto šírením bojovať bez použitia komerčných antivírových riešení? Áno je to možné, postačí nám obyčajný procmail.

Každý týždeň sa objaví aspoň jeden nový exemplár, ktorý sa šíri neuveriteľnou rýchlosťou. Šírenie jedného sa neskončí, a už sa objavuje exemplár nový. Väčšina používa rovnaké techniky a to šírenie v prílohe emailovej správy a následnou aktiváciou buď na úrovni rôznych scriptov, alebo proste upútaním užívateľa na prílohu, ktorý ju následne spustí a tým dôjde k vstupu wormu do systému.

Už dlhšiu dobu existuje projekt, ktorý sa riešeniami tohto typu zaoberá. Administrátori, ktorí ho na svoje systémy implementovali sú vysoko spokojní, ale aj napriek tomu v našich končinách moc rozšírený nie je. Preto si dnes ukážeme, ako je možné túto formu ochrany implementovať aj do vášho systému. Názov projektu je sanitizer a nájdete ho na adrese www.impsec.or­g/email-tools/procmail-security.html.

Hor sa teda do implementácie. Základom je stiahnutie súboru so sadov pravidiel s názvom html-trap.procmail.gz z ktorého po rozpakovaní získate súbor html-trap.procmail, ktorý umiestnite do adresára /etc/. Teraz nasleduje jeho aktivácia pridaním pravidiel do existujúceho /etc/procmailrc, poprípade ak ste doteraz procmail pre definíciu jednotlivých pravidiel nepoužívali, stačí tam tento súbor vytvoriť. Pre začiatok bude jeho obsah nasledovný:

PATH="/usr/bin:$PATH:/usr/local/bin"
  SHELL=/bin/sh
  POISONED_EXECUTABLES=/etc/procmail.poisoned
  SECURITY_NOTIFY="postmaster, security-dude"
  SECURITY_NOTIFY_VERBOSE="virus checker"
  SECRET="mysecretkey"

  SECURITY_QUARANTINE=/var/spool/mail/quarantine

  POISONED_SCORE=25
  SCORE_HISTORY=/var/log/macro-scanner-scores
  DROPPRIVS=YES
  LOGFILE=$HOME/procmail.log

  INCLUDERC=/etc/html-trap.procmail

  SECRET=
  POISONED_EXECUTABLES=
  SECURITY_NOTIFY=
  SECURITY_NOTIFY_VERBOSE=
  SECURITY_NOTIFY_SENDER=
  SECURITY_QUARANTINE=

Na začiatku je potrebné definovať jednotlivé inicializačné premenné, ku ktorým sa vrátime. Nasleduje odvolávka pre vnorenie definícií zo súboru /etc/html-trap.procmail a následné priradenie nulových hodnôt definovaným premenným, aby užívatelia nemali prístup k ich obsahu pri vykonávaní ich užívateľských .procmailrc skriptov. Následne si vytvoríme adresár /var/spool/ma­il/quarantine, do ktorého sa budú ukladať prípadné odstránené attachmenty a nastavíme príslušné prístupové práva pre povolenie zápisu. Nasleduje vytvorenie súboru s definíciami názvov súborov /etc/procmail­.poisoned, ktorými sú zväčša wormy a trojany prenášané. Aktuálny obsah môže vyzerať nasledovne www.impsec.or­g/email-tools/poisoned-files.

Týmto je súbor s pravidlami aktivovaný. Čo sa vlastne deje? Hneď si to vysvetlíme. Každý doručený email sa pred uložením do mailboxu skontroluje podľa pravidiel v súbore /etc/html-trap.procmail. Najprv sa kontrolujú jednotlivé attachmenty. Ak je ich prípona spustiteľného tvaru, ako napríklad pri maskovaní typu subor.mpe.exe sa prípona súboru automaticky mení na nespustiteľný tvar, napríklad subor.mpe.DEFANGED-exe. Ak je príloha na zozname trojanov, je z emailovej správy odstránená o čom je následne do tela správy priložená informácia. Pôvodná správa s prílohou je uložená do karanténového adresára, čo umožňuje v prípade náhodnej zhody názvov súborov obnoviť ju. Ďalším krokom je odkomentovanie všetkých aktívnych súčastí z tela html správy pre zamedzenie spúšťania scriptov, ktoré automatizujú a realizujú usídlenie worma v systéme počítača. Veľmi zaujímavým prvkom je prehliadanie .doc a .xls súborov na existenciu nebezpečných makier, kde podľa výskytu jednotlivých príkazov prebieha hodnotenie ich nebezpečnosti. Ak je v hodnotení dosiahnutá hranica, ktorú ste stanovili sú nebezpečné attachmenty odstránené, ako by ja jednalo o trojana uvedeného v /etc/procmail­.poisoned. Výsledky jednotlivých hodnotení nájdete v logu /var/log/macro-scanner-scores. Taktiež sa upravujú dĺžky jednotlivých polí v hlavičke, aby sa zamedzilo rôznym nepríjemnostiam, ktoré by dlhé polia mohli spôsobovať. Podľa definovania prostredníctvom konfiguračných premenných sa vám v domovských adresárov jednotlivých užívateľov vytvárajú logové súbory s názvom procmail.log, ktorých obsah vyzerá asi takto:

Defanging active HTML content in "dfasdfas" from "P-A-N-D-O-R"
    <pandor@compclub.sk> to pandor
    msgid=<003b01c18165$644666e0$c36fa83e@compclub.sk>
Sanitizing MIME attachment headers in "dfasdfas" from "P-A-N-D-O-R"
    <pandor@compclub.sk> to pandor
    msgid=<003b01c18165$644666e0$c36fa83e@compclub.sk>
Mangling executable filename "=?iso-8859-2?Q?Nov=E9Textov=FD_dokument.txt.exe?=".
 Mangling executable filename "=?iso-8859-2?Q?Nov=E9Textov=FD_dokument.txt.exe?=".
Defanging active HTML content in "dfasdfas" from "P-A-N-D-O-R"
    <pandor@compclub.sk> to pandor
    msgid=<003b01c18165$644666e0$c36fa83e@compclub.sk>
Sanitizing MIME attachment headers in "dfasdfas" from "P-A-N-D-O-R"
    <pandor@compclub.sk> to pandor
    msgid=<003b01c18165$644666e0$c36fa83e@compclub.sk>
>From pandor@compclub.sk  Mon Dec 10 10:28:22 2001
 Subject: dfasdfas
  Folder: /var/spool/mail/pandor    2333
>From alex@wired.com  Mon Dec 10 10:34:38 2001
 Subject: RE: YOUR ARTICLES
  Folder: /var/spool/mail/pandor    1385

Priebežne ich teda môžete sledovať, aby ste mali prehľad o súčasnom dianí napríklad:

tail -f /home/*/procmail.log

Teraz ku konfiguračným premenným:

root_podpora

MANGLE_EXTENSIONS - zoznam prípon, ktoré majú podliehať zmene
    pre ochranu pred náhodným spustením
  POISONED_EXECUTABLES - názov súboru s potenciálnymi názvami
    trojanov a wormov
  STRIPPED_EXECUTABLES - názov súboru s definíciami súborov, ktoré
    sa majú z príloh odstrániť
  DISABLE_MACRO_CHECK - reguluje kontrolu makier v dokumentoch
    Microsoft office
  POISONED_SCORE - hodnota, nad ktorú budú dokumenty s makrami
    v hodnotení odstránené
  SCORE_HISTORY - názov logového súboru, kam sa majú ukladať
    jednotlivé hodnotenia
  SCORE_DETAILS - definuje, či sa má do logového súboru zapisovať
    aj postup pri získaní výsledného hodnotenia nebezpečnosti makier
  SCORE_ONLY - udáva, či sa má uskutočňovať iba hodnotenie, bez
    odstránenia prílohy
  SECURITY_QUARANTINE - špecifikuje adresár pre ukladanie správ
    s pôvodnými prílohami pri zmene
  SECURITY_NOTIFY - emailová adresa pre notifikáciu o zistených
    nebezpečných prílohách
  POISONED_WARNING - textová správa, ktorá sa vloží do tela emailu
    pri odstránení prílohy
  SECURITY_TRUST_HTML - vypnutie možnosti odstránenia aktívnych
    častí html správy
  LOGFILE - názov logového súboru pre zápis činností

Podrobnejšie informácie nájdete priamo na domovskej stránke projektu.

Týmto máme za sebou úspešnú inštaláciu pravidiel, ktorá určite spomalí šírenie wormov na vašich pracovných staniciach. Aj keď jednotlivé wormy odstránené nie sú, o čo sa musia postarať antivírové programy inštalované na lokáloch, znemožní sa ich aktivovanie a tým aj šírenie. Tak hor sa do práce…

Byl pro vás článek přínosný?