 |
|
|
|
Рекомендации «Информзащиты» в связи с утечкой АНБ
Рекомендации «Информзащиты» 14 апреля 2017 года хакерской группировкой The Shadow Brokers был опубликован архив с данными, содержимое которого вызвало эффект «разорвавшейся бомбы». Уровень угрозы оказался настолько серьезным, что новость подхватили нетолько специализированные, но и массовые СМИ Кто такие The Shadow Brokers?
Группировка The Shadow Brokers в разное время выкладывала различные архивы с информацией, содержащие инструменты, информацию о взломанных объектах, инфраструктуре и методах хакеров Equation Group, работающих направительство. Так почему же именно последняя публикация от 14 апреля 2017 года вызвала такой ажиотаж? Что находится в черном ящике? Пятница 14-е и последующие выходные стали для команды экспертов «Информзащиты» весьма насыщенными. По предварительной оценке, стало понятно, что речь может идти о «глобальной катастрофе» в мире ИБ – под угрозой оказались буквально все ОС семейства Windows, как пользовательские начиная с ХР и заканчивая 10-й, так и серверные от Windows Server 2003 до 2016. Архив, выложенный группировкой The Shadow Brokers, состоит из трех основных папок (см. рис. 1):
Рисунок 1. Архив, выложенный группировкой The Shadow Brokers, состоит из трех основных папок 1. oddjob По предварительным данным, папка содержит бэкдор, используемый для управления зараженными системами. 2. swift В этой папке содержится информация об инфраструктуре SWIFT Service Bureau of the Middle East: EastNets, а именно:
По результатам анализа этих материалов эксперты компании «Информзащита» предполагают, что речь идет об инфраструктуре компании www.eastnets.com. На это указывает адресация. EastNets Group – международная компания, специализирующаяся на создании программного обеспечения для финансовых организаций. Компания тесно сотрудничает со SWIFT, участвуя в разработке продуктов, решений и технологических платформ. Подробный разбор данной части архива был опубликован на портале Habrahabr в блоге «Информзащиты» [1]. 3. windows Самое интересное и опасное содержимое архива находится в папке windows. В этой папке, ни много ни мало, находятся remote code execution эксплойты для всех актуальных версий пользовательских и серверных ОС Windows. Описание только некоторых из них приведены в таблице 1. Таблица 1. Описание некоторых эксплойтов, находящихся в папке windows
Часть эксплойтов команда экспертов «Информзащиты» проверила на тестовых машинах. Эксплойты функционировали без каких-либо доработок, что позволяет воспользоваться этими инструментами любому злоумышленнику сминимальной подготовкой (см. рис. 2).
Рисунок 2. Проверка эксплойтов экспертами «Информзащиты» на тестовых машинах Microsoft оперативно выпустила обновления для ОС, однако многие пользователи до сих пор их не установили. По данным поисковой системы Shodan, инфицированными являются 15 196 систем, пять четвертей из них приходятся на США, и число это постоянно растет.
Если посмотреть на обновления, которые выпустила Microsoft, возникает резонный вопрос: как быть с Windows XP/Vista и Windows Server 2003, уже снятыми с техподдержки? Для них Microsoft предлагает только одно решение – переход нановые версии Windows. И если вы все еще этого не сделали – сейчас самое время. Старые ОС Windows XP/ Windows Server 2003 сняты с техподдержки производителя, обновления безопасности для них выпускаться не будут, а эксплойты, позволяющие удаленно(!) выполнить на них произвольный код, «благодаря» Shadow Brokers стали доступны каждому желающему. В качестве временной меры защиты эксперты «Информзащиты» рекомендуют применить технику virtual patching, включив соответствующие сигнатуры IPS, отключив уязвимые протоколы или заблокировав сетевой доступ к системам спомощью межсетевого экрана. Но все это полумеры, которые к тому же не всегда возможны. Подробные рекомендации можно найти на сайте компании «Информзащита» [2].
Приведем краткий перечень первоочередных мер:
Сегодня уже никого не удивляют факты использования спецслужбами различных государств продвинутых инструментов взлома и уязвимостей «нулевого дня» для проведения операций в киберпространстве. Далеко не каждая организация может стать целью для таких «хакеров на государственной службе». Однако серьезные проблемы возникают у многих компаний, когда такие инструменты появляются в публичном доступе. На сегодняшний день киберпреступления являются существенной угрозой для бизнеса, и от них не получится просто отмахнуться. Пассивной защиты стало недостаточно. Необходимы новые подходы к обеспечению информационной безопасности и решения, способные противостоять современным угрозам. Универсальных рецептов, как и «серебряной пули», не существует. Необходимы комплексный системный подход к созданию системы обеспечения ИБ, выстраивание процессов управления уязвимостями, обновлениями, процессов мониторинга и реагирования на инциденты. Это нелегкая задача, но решать ее в любом случае придется, если мы не хотим, чтобы безопасность бизнеса зависела от очередной публикации в интернете. |
ПАВЕЛ ТАРАТЫНОВ, начальник отдела безопасности сетевых технологий «Информзащиты»
Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
