Als een systeem besmet is geraakt hoor je die eigenlijk opnieuw te installeren, maar wat als de infectie binnen je netwerk heeft plaatsgevonden en mogelijk ook andere machines de dupe zijn geworden? De Belgische beveiligingsexpert Maarten van Horenbeeck had laatst met zo'n scenario te maken toen een opdrachtgever het netwerk niet meer vertrouwde, het opnieuw opbouwen van het netwerk was echter geen optie. In dit soort scenario's is het daarom belangrijk te achterhalen welke machines gecompromitteerd zijn, iets wat niet meevalt. "Hoewel Data Loss Prevention oplossingen de laatste jaren enorm zijn verbeterd, zijn er honderden manieren om binaire gegevens in moeilijk te detecteren vormen naar buiten te smokkelen."

Van Horenbeeck begon met het inspecteren van de huidige situatie en hoe men meer informatie kon achterhalen. Om de malware te detecteren werd een IDS neergezet met virus-rules van EmergingThreats. Een andere mogelijkheid is het gebruik van BotHunter. De volgende stap was het sniffen van alle DNS requests van hosts op het interne netwerk. DNS responses met een lage TTL (time to live) zijn opvallend, wat ook geldt voor DNS responses van domeinen die bij dynamische DNS providers zijn ondergebracht. Een ander kenmerk zijn DNS queries afkomstig van de client die niet overeenkomen met de TTL van de hostname.

HTTP connecties
Voor het detecteren van bijzonderheden in het netwerkverkeer hoor je eigenlijk al voor de aanval het normale verkeer in kaart te hebben gebracht. Toch levert het schrijven van een signature die ervoor zorgt dat elke TCP sessie op poort 80 en 443 uit geldig HTTP of SSL verkeer bestaat veel op, aldus de beveiligingsexpert. Een ander punt van aandacht verdienen persistente HTTP connecties. Dit kan zelfs buiten kantooruren te verklaren zijn door het gebruik van automatische update software. "Het zou echter om uitzonderingen moeten gaan, dus die kun je filteren." Verder werden alle lokale harde schijven met verschillende virusscanners gescand. Bij de belangrijkste systemen gebruikte men ook RootkitRevealer van SysInternals en bewaarde de output op een netwerkmap. Om verdachte bestanden te inspecteren zette de Belgische beveiliger Mandiant’s Red Curtain in.

"Voor welke oplossing je ook kiest, je moet het ongewone weten te vinden. De volgende stap bestaat uit het begrijpen van de dreiging en hoe die binnen het netwerk werkt. Een manier om dat te bereiken is nodal link analyse, een analyse techniek die we in de toekomst zullen bespreken." Wordt dus nog vervolgd.