Использование набора инструментов Microsoft Diagnostics and Recovery Toolset (DaRT) для реагирования на инциденты

Введение

При создании программы безопасности одним из наиболее важных элементов, который необходимо включить, является то, что делать, когда что-то пойдет не так. Возможность планировать и внедрять превентивные меры для защиты вашей среды — это здорово. Однако, давайте посмотрим правде в глаза, плохие вещи будут происходить. То, насколько быстро и эффективно организация реагирует на инцидент безопасности, является важной частью ее стратегии безопасности. Многие компании начинают с оценки дорогостоящих специализированных инструментов для действий по реагированию на инциденты, но что, если есть хороший способ начать работу с некоторыми основами реагирования на инциденты с тем, что у вас уже есть?

Microsoft периодически обновляет инструмент, известный как набор инструментов для диагностики и восстановления (DaRT). Первоначально DaRT был создан для предоставления услуг по восстановлению корпоративных настольных компьютеров, диагностики плохо работающих компьютеров и быстрого определения того, какие устройства можно реанимировать, а для каких необходимо повторно создать образ. DaRT также имеет ряд встроенных замечательных функций безопасности, предоставляя вашим «первым ответчикам» в группе поддержки настольных компьютеров очистку систем или выявление потенциально скомпрометированных систем, которые требуют дальнейшего анализа в штаб-квартире.

DaRT также принадлежит многим нынешним клиентам Microsoft, которые, возможно, не пользуются его преимуществами. DaRT нельзя лицензировать как одноразовый продукт; это один из инструментов, включенных в постоянно развивающийся набор продуктов, входящих в состав Microsoft Desktop Optimization Pack (MDOP). MDOP часто продается с клиентом Windows и доступен через обычные каналы программного обеспечения Microsoft (TechNet, MSDN, Microsoft Volume Licensing и т. д.), поэтому узнайте у своего специалиста по лицензированию или торгового посредника, возможно, у вас уже есть доступ к этому инструменту.

Что есть в ДаРТ?

DaRT — это набор инструментов, который загружается на загрузочное устройство, часто на флэш-накопитель USB. Типичная организация, использующая DaRT, предоставит загрузочный образ каждому из своих технических специалистов по поддержке настольных компьютеров, чтобы они могли носить его с собой, когда они звонят для ремонта или диагностики систем. DaRT предназначен для локального использования технически подкованными ИТ-специалистами; по мнению этого автора, это определенно не решение для конечного пользователя по принципу «загрузил и забыл». Стоит отметить, что DaRT версии 7 (в настоящее время находится в стадии бета-тестирования и доступна для загрузки через сайт Microsoft Connect здесь) теперь можно использовать по сети с новой возможностью под названием «Удаленное взаимодействие на основе программного обеспечения». Эта возможность позволяет ИТ-специалисту или аналитику службы поддержки устранять неполадки и диагностировать компьютер, не посещая его лично.

Поскольку DaRT 7 в настоящее время находится в стадии бета-тестирования, мы сосредоточимся на текущем выпуске от Microsoft — DaRT 6.5. DaRT построен на базе среды восстановления Windows (WinRE). Подробнее о WinRE можно прочитать здесь. Если вы когда-либо загружали систему Windows Vista или Windows 7 в режиме восстановления, среда WinRE, вероятно, вам знакома. Этот набор инструментов используется для устранения проблем с запуском, выполнения полного восстановления системы и т. д. DaRT также имеет довольно минимальные требования к аппаратному обеспечению; процессора x86 или x64 с тактовой частотой 1 ГГц, 1 ГБ ОЗУ и возможностью загрузки со съемных носителей должно быть достаточно.

После сборки DaRT (полные инструкции по сборке носителя можно найти здесь) пользователю предоставляется список доступных инструментов для запуска в корневом меню, как показано на рисунке 1.

Рисунок 1: Список инструментов DaRT при загрузке.

Инструментарий содержит множество возможностей, но для целей этой статьи мы сосредоточимся на том, что наиболее полезно с точки зрения реагирования на инциденты.

Автономный системный очиститель

По мнению этого автора, Standalone System Sweeper — один из самых полезных инструментов в арсенале DaRT. Одним из наиболее распространенных инцидентов, с которыми специалисты по поддержке настольных компьютеров обычно сталкиваются в полевых условиях (как в потребительском, так и в корпоративном пространстве), является система, которая была полностью заражена вредоносными программами, особенно опасными вредоносными программами, которые отключают или иным образом отключают анти- - вредоносные программы, работающие в системе. Автономный System Sweeper можно использовать для выявления и удаления этого вредоносного кода из системы.

Вредоносное ПО, заражающее систему на уровне ядра, может маскировать себя во время загрузки операционной системы; возможность сканировать систему в автономном режиме часто позволяет выявить вредоносный код, невидимый при традиционном сканировании системы с помощью антивируса, как показано на рис. 2.

Рисунок 2: Автономный системный подметчик.

Во время анализа возможностей DaRT автор взял загрузочный образ WinRE, загруженный DaRT 6.5 и Standalone System Sweeper, и удалил несколько экземпляров Fake AV 2011 с ПК члена семьи, который ранее был приведен в негодность. Идентификация и удаление вредоносных программ были выполнены менее чем за 10 минут, что является отличным решением для испорченной системы.

SFC-сканирование

Во время анализа вторжения могут быть выявлены системные файлы, которые были злонамеренно изменены, чтобы остановить загрузку системы или остановить работу других средств оценки или восстановления. SFC Scan позволяет быстро восстанавливать поврежденные или отсутствующие системные файлы. Это не лучший вариант в ситуации, когда необходимо провести судебный анализ и сохранить исходный образ системы, но для быстрого исправления это очень удобный инструмент, показанный на рис. 3.

Рис. 3. Восстановление системных файлов/сканирование SFC.

Очистка диска

Одним из типичных требований групп поддержки настольных компьютеров во время завершения инцидента или перед повторным созданием образа устройства является очистка диска. Часто для очистки диска используются сторонние инструменты. Теперь DaRT может выполнять либо быструю однопроходную запись (хорошо для быстрого повторного создания образа), либо четырехэтапную очистку жалобы Министерства обороны США 5220.22-M, если диск необходимо утилизировать после очистки, как показано на рисунке. 4.

Рисунок 4: Инструмент очистки диска.

Слесарь

Locksmith — это инструмент, который можно использовать для восстановления пароля; сброс локальной учетной записи, пароль которой может быть забыт или пользователь с тех пор ушел. Locksmith очень удобен в сценариях ремонта потребителей, но не слишком полезен в корпоративной среде из-за невозможности выполнить сброс пароля для учетных записей домена. Если есть неуправляемое устройство (не присоединенное к домену), которому требуется сбросить пароль, Locksmith очень удобен, как показано на рисунке 5.

Рисунок 5: Мастер слесаря для сброса пароля.

Резюме

DaRT имеет довольно полный набор основных инструментов реагирования на инциденты и их устранения. Это отличная стрела для загрузки в колчан команды поддержки вашего рабочего стола; возможности набора инструментов не заменят полноценный пакет реагирования на инциденты, но он должен охватывать основы и может быть чем-то, что уже принадлежит вашей организации.

С точки зрения анализа и удаления вредоносных программ, сброса паролей, восстановления системных файлов, которые могли быть удалены, редактирования реестра или восстановления дисковых томов, DaRT — отличная замена другим инструментам, которые ваши группы поддержки настольных компьютеров, вероятно, собрали вместе на нескольких разных загрузочных дисках. Попробуйте оценить DaRT в своей среде и интегрировать его в процесс поддержки.