Современное вредоносное ПО отличается значительным разнообразием. Случается, что оно не наносит явного вреда ИТ-инфраструктуре компании, оставляя лишь косвенные свидетельства своей тайной деятельности. Именно так произошло с одним из наших клиентов, у которого вскоре после ввода в промышленную эксплуатацию универсального шлюза безопасности Traffic Inspector Next Generation диск сервера оказался полностью заполненным. В ходе решения проблемы удалось не только очистить диск, но и выявить причины переполнения и устранить их.

Предыстория

Клиент — крупная транспортная компания. В одном из его подразделений на протяжении нескольких лет использовался многофункциональный межсетевой экран Traffic Inspector. После расширения штата появилась потребность не только в управлении трафиком, но и в защите интернет-подключения. В качестве оптимального для компании решения был выбран Traffic Inspector Next Generation. Аргументами в пользу этого варианта кроме функциональности стали позитивный опыт работы с другим продуктом Смарт-Софт и отличные впечатления от взаимодействия со службой поддержки.

Внедрение Traffic Inspector Next Generation проводили постепенно. На начальном этапе был внедрен веб-прокси с журналированием работы пользователей и авторизацией через Active Directory. Далее планировалось задействовать функциональность IPS/IDS и контроль доступа к интернет-ресурсам по белым/черным спискам.

Однако через некоторое время после перехода на Traffic Inspector Next Generation у клиента возникла проблема.

Симптомы проблемы

Переход на новое устройство в целом прошел гладко. Пользователи и администраторы были довольны высокой скоростью работы и функциональностью нового шлюза. Но неожиданно шлюз стал работать с задержками. Причиной стало переполнение диска, на котором Traffic Inspector Next Generation вел логи — журналы доступа пользователей к интернет-ресурсам.

Анализ состояния устройства показал, что логи росли очень быстро — за сутки их объем увеличивался на 10 Гб.

Недовольное перебоями в работе руководство клиента предложило откатить все назад и вернуться к использованию Traffic Inspector, с которым не было никаких проблем. Однако служба поддержки Смарт-Софт совместно с ИТ-службой клиента убедили руководство начать с выяснения причин.

Почему переполнялся диск

Traffic Inspector Next Generation ведет логи всех пользователей прокси и собирает статистику. Изучение статистики показало, что в сети клиента имеется один чрезвычайно активный пользователь, действия которого в интернете создают в четыре раза больше записей в логах, чем суммарно все остальные пользователи организации.

Отключение пользователя мгновенно решило проблему. Диск больше не переполнялся и работа шлюза была восстановлена.

ИТ-специалисты клиента проверили аномально активную рабочую станцию и обнаружили на ней вредоносное ПО, которое превращало компьютер в часть бот-сети. С помощью таких «зомбированных» компьютеров злоумышленники проводили атаки на отказ в обслуживание (DDoS) и предоставляли услуги нелегальных анонимизирующих прокси-серверов. Этим и объясняется огромное количество запросов к различным интернет-ресурсам, которые генерировала всего одна рабочая станция.

Дальнейшее расследование показало, что причиной заражения стало фишинговое письмо с вредоносным вложением. Когда пользователь открыл вложение, на его компьютер установился клиент бот-сети, вызвавший в итоге проблемы с местом на диске.

Выводы из инцидента

Из-за строгих политик безопасности у клиента устранение проблемы заняло больше одного дня. Это время потребовалось для оформления дистанционного доступа службы поддержки Смарт-Софт к устройству Traffic Inspector Next Generation, ручной очистки базы логов прокси через командную строку и установления причин аномального поведения компьютера в сети клиента.

По итогам анализа инцидента было принято решение о доработке функциональности Traffic Inspector Next Generation для ручной и автоматической очистки логов из интерфейса системы, а также добавлении функции выявления аномального поведения отдельных пользователей по нескольким критериям с установкой заданного порога чувствительности.

Несмотря на перебои в работе, возникшие из-за переполнения диска, Traffic Inspector Next Generation показал себя как средство выявления вредоносного ПО, которое работает даже в базовой конфигурации без включения специализированных функций, доступных владельцам продукта.

Клиент отметил высокое качество работы сотрудников службы поддержки Смарт-Софт и выразил благодарность за оперативное выявление и помощь в устранении проблемы.