¿Existe una forma segura de cargar un malware en un servidor centralizado?

Navega tus respuestas
1

Estoy enfrentando un problema que necesito para subir archivos a un servidor centralizado, luego transmitirlo a otros proveedores de análisis de malware (Palo Alto / etc ...)

Desde el punto de vista de la seguridad: está prohibido que el archivo se encuentre en el sistema de archivos del servidor y en memory.

El servidor está basado en ASP.NET, y el cliente es C ++ y pensé en la transmisión (actualmente transmitimos esos archivos a través de IIS), pero tengo algunos inconvenientes importantes:

  1. Creo que IIS puede almacenar en caché los datos que recibe, lo que significa que no tengo control sobre el flujo de datos (el malware puede residir repentinamente en la memoria de IIS).
  2. Incluso si uso componentes TCP, ¿quién dijo que no hay almacenamiento en caché en el lado del servidor? No me gustaría escribir todo el manejo de TCP por mi cuenta (lo que nunca será eficiente como los que ya están escritos)
  3. Otra opción en la que pensaba es en XOR los archivos, pero si lo hago en un agente, la máquina comprometida puede manipularlo y enviar el malware original y, de nuevo, en el servidor, es posible que el malware ya esté guardado en la memoria caché.

Además del # 3, XOR, o cualquier método de archivos zip protegidos por contraseña (que el cliente puede enviar) tampoco son aceptables, ya que se pueden usar exploits para descifrar este archivo en el servidor y ejecutarlo (aunque son pocas posibilidades) ).

Los terceros que utilizamos también esperan los datos del archivo original.

La única solución "aceptable" es proteger el proceso de recepción con sus archivos, ya sea por un segundo servidor (que no es aceptable para nuestros clientes locales) o en nuestro servidor "real" (algún tipo de contenedor, que parece un super overkill)

¿Te encantaría escuchar tus comentarios sobre esto?

    
pregunta ArielB 25.06.2017 - 14:39
fuente

1 respuesta

1

Simplemente ZIP el archivo con una contraseña segura de AES o use OpenPGP o Minlock encriptación de archivos (en el cliente antes de cargar).

Esto protege su servidor de una ejecución accidental, oculta el contenido de los escáneres, también protegerá la integridad y protegerá a los analistas de la exposición accidental en / después de la descarga. De hecho, es el único método confiable para evitar la corrupción accidental por intermediarios de todos modos. No creo que ninguna empresa forense acepte archivos sin empaquetarlos en contenedores.

Sí, dijo que no desea ZiP, pero no ha dicho razones convincentes por las cuales no: el modelo de amenaza 'podría descifrarse y ejecutarse en el servidor' no es válido, si un atacante puede generar archivos y ejecutarlos no necesitas tu contenido encriptado para comenzar.

El uso de la transmisión agrega mucha logística de distribución, ya que todos los receptores deben saber y estar en línea al mismo tiempo. E incluso con la transmisión que desea empaquetar, cifrar e integridad, proteja sus transferencias de red.

    
respondido por el eckes 25.06.2017 - 16:55
fuente

Lea otras preguntas en las etiquetas

Seguridad de reenvío de puerto y bloqueo de puerto Verifique que la entrada sea una cadena, ¿es segura?