Рекомендации «Информзащиты» в связи с утечкой АНБ::Журнал СА 5.2017
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Наука и технологии
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
20.12.2019г.
Просмотров: 3383
Комментарии: 0
Dr.Web: всё под контролем

 Читать далее...

04.12.2019г.
Просмотров: 4528
Комментарии: 0
Особенности сертификаций по этичному хакингу

 Читать далее...

28.05.2019г.
Просмотров: 6349
Комментарии: 2
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 6808
Комментарии: 1
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 5887
Комментарии: 0
Django 2 в примерах

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Рекомендации «Информзащиты» в связи с утечкой АНБ

Архив номеров / 2017 / Выпуск №5 (174) / Рекомендации «Информзащиты» в связи с утечкой АНБ

Рубрика: Безопасность /  Механизмы защиты

Павел Таратынов ПАВЕЛ ТАРАТЫНОВ, начальник отдела безопасности сетевых технологий «Информзащиты»

Рекомендации «Информзащиты»
в связи с утечкой АНБ

14 апреля 2017 года хакерской группировкой The Shadow Brokers был опубликован архив с данными, содержимое которого вызвало эффект «разорвавшейся бомбы». Уровень угрозы оказался настолько серьезным, что новость подхватили нетолько специализированные, но и массовые СМИ

Кто такие The Shadow Brokers?

Рекомендации «Информзащиты» в связи с утечкой АНБХакерская группировка The Shadow Brokers впервые заявила о себе в августе 2016 года, опубликовав информацию, якобы украденную у другой хакерской группы Equation Group. В свою очередь, многие эксперты считают Equation Group тесно связанной с Агентством национальной безопасности США и причастной к созданию такого «кибероружия», как Stuxnet, Flame, Duqu, Regin, EquationLaser.

Группировка The Shadow Brokers в разное время выкладывала различные архивы с информацией, содержащие инструменты, информацию о взломанных объектах, инфраструктуре и методах хакеров Equation Group, работающих направительство.

Так почему же именно последняя публикация от 14 апреля 2017 года вызвала такой ажиотаж?

Что находится в черном ящике?

Пятница 14-е и последующие выходные стали для команды экспертов «Информзащиты» весьма насыщенными. По предварительной оценке, стало понятно, что речь может идти о «глобальной катастрофе» в мире ИБ – под угрозой оказались буквально все ОС семейства Windows, как пользовательские начиная с ХР и заканчивая 10-й, так и серверные от Windows Server 2003 до 2016.

Архив, выложенный группировкой The Shadow Brokers, состоит из трех основных папок (см. рис. 1):

  • oddjob
  • swift
  • windows

Рисунок 1. Архив, выложенный группировкой The Shadow Brokers, состоит из трех основных папок

Рисунок 1. Архив, выложенный группировкой The Shadow Brokers, состоит из трех основных папок

1. oddjob

По предварительным данным, папка содержит бэкдор, используемый для управления зараженными системами.

2. swift

В этой папке содержится информация об инфраструктуре SWIFT Service Bureau of the Middle East: EastNets, а именно:

  • конфигурационные файлы сетевого оборудования, в которых указаны учетные записи, пароли администраторов и пользователей, ключи IPSec для публичных IP, признаки использования незащищенных протоколов, например telnet, атакже признаки использования ресурсов, относящихся/подключенных к системе SWIFT;
  • полное описание доменной инфраструктуры, включая домены, поддомены, хосты, группы пользователей;
  • SQL-скрипты для получения информации из БД Oracle о пользователях, правах, сообщениях формата SWIFT;
  • рабочие записи, включая ресурсы, статус получения доступа к ним, атрибуты доступа;
  • рабочие материалы АНБ для подготовки презентации о статусе/результатах проекта.
Речь может идти о «глобальной катастрофе» в мире ИБ – под угрозой оказались буквально все ОС семейства Windows, как пользовательские начиная с ХР и заканчивая 10-й, так и серверные от Windows Server 2003 до 2016

По результатам анализа этих материалов эксперты компании «Информзащита» предполагают, что речь идет об инфраструктуре компании www.eastnets.com. На это указывает адресация.

EastNets Group – международная компания, специализирующаяся на создании программного обеспечения для финансовых организаций. Компания тесно сотрудничает со SWIFT, участвуя в разработке продуктов, решений и технологических платформ.

Подробный разбор данной части архива был опубликован на портале Habrahabr в блоге «Информзащиты» [1].

3. windows

Самое интересное и опасное содержимое архива находится в папке windows. В этой папке, ни много ни мало, находятся remote code execution эксплойты для всех актуальных версий пользовательских и серверных ОС Windows.

Описание только некоторых из них приведены в таблице 1.

Таблица 1. Описание некоторых эксплойтов, находящихся в папке windows

Наименование Краткое описание Уязвимые ОС Наличие патча
Etternalblue Удаленное выполнение кода (RCE) для SMBv1 Windows XP/Vista/7/8(.1) Windows 10 (под вопросом) Windows Server 2000/2003/2008 Windows Server 2012 (подвопросом) Да, кроме Windows XP/Vista и Windows Server2003 MS17-010
Eternalromance Удаленное выполнение кода (RCE) для SMBv2 Windows XP/Vista/7 Windows 8/10 (под вопросом) Windows Server 2003/2008 Windows Server 2012 (подвопросом) Да, кроме Windows XP/Vista и Windows Server2003 MS17-010
Eternalsynergy Удаленное выполнение кода (RCE) для SMBv3 Windows 8 Windows Server 2012 Да MS17-010
Eternalchampion Удаленное выполнение кода (RCE) для SMBv1/v2 Windows XP/7 Windows Server 2008 Да, кроме Windows XP/Vista и Windows Server2003 MS17-010
Eclipsedwing Удаленное выполнение кода (RCE) для SMB Windows XP Windows Server 2003/2008 MS08-67
Educatedscholar Удаленное выполнение кода (RCE) для SMBv2 Windows Vista (SP0, SP1) Windows Server 2008 SP2 (x64, x86) MS09-050
Esteemaudit Удаленное выполнение кода (RCE) в RDP (Remote Desktop). Эксплуатирует уязвимость в аутентификации по смарт-карте. Устанавливает имплант (бэкдор) Windows XP Windows Server 2003 Нет. Обновление безопасности выпускаться небудет
Erraticgopher Удаленное выполнение кода (RCE) в SMB Windows XP Windows Server 2003 Нет. Обновление безопасности выпускаться небудет

Часть эксплойтов команда экспертов «Информзащиты» проверила на тестовых машинах. Эксплойты функционировали без каких-либо доработок, что позволяет воспользоваться этими инструментами любому злоумышленнику сминимальной подготовкой (см. рис. 2).

Рисунок 2. Проверка эксплойтов экспертами «Информзащиты» на тестовых машинах

Рисунок 2. Проверка эксплойтов экспертами «Информзащиты» на тестовых машинах

Microsoft оперативно выпустила обновления для ОС, однако многие пользователи до сих пор их не установили. По данным поисковой системы Shodan, инфицированными являются 15 196 систем, пять четвертей из них приходятся на США, и число это постоянно растет.

В архиве есть remote code execution эксплойты для всех актуальных версий серверных и пользовательских ОС Window6

Если посмотреть на обновления, которые выпустила Microsoft, возникает резонный вопрос: как быть с Windows XP/Vista и Windows Server 2003, уже снятыми с техподдержки? Для них Microsoft предлагает только одно решение – переход нановые версии Windows. И если вы все еще этого не сделали – сейчас самое время.

Старые ОС Windows XP/ Windows Server 2003 сняты с техподдержки производителя, обновления безопасности для них выпускаться не будут, а эксплойты, позволяющие удаленно(!) выполнить на них произвольный код, «благодаря» Shadow Brokers стали доступны каждому желающему.

В качестве временной меры защиты эксперты «Информзащиты» рекомендуют применить технику virtual patching, включив соответствующие сигнатуры IPS, отключив уязвимые протоколы или заблокировав сетевой доступ к системам спомощью межсетевого экрана. Но все это полумеры, которые к тому же не всегда возможны.

Подробные рекомендации можно найти на сайте компании «Информзащита» [2].

Пассивной защиты стало недостаточно. Необходимы новые подходы к обеспечению информационной безопасности и решения, способные противостоять современным угрозам

Приведем краткий перечень первоочередных мер:

  • Проверьте, что на всех системах Windows включено автоматическое обновление.
  • Просканируйте системы на наличие уязвимостей с помощью сканера уязвимостей (с обновленными базами уязвимостей).
  • Установите обновления безопасности на все системы Windows.
  • Активируйте соответствующие сигнатуры на сенсорах IPS.
  • Если обновления дляиспользуемой версии ОС невыпущены, отключите уязвимые протоколы:
    • протокол SMB;
    • протокол RDP;
    • протокол WebDAV (для IIS6).
  • Проверьте существующие рабочие станции и серверы на наличие признаков компрометации.

Сегодня уже никого не удивляют факты использования спецслужбами различных государств продвинутых инструментов взлома и уязвимостей «нулевого дня» для проведения операций в киберпространстве.

Далеко не каждая организация может стать целью для таких «хакеров на государственной службе». Однако серьезные проблемы возникают у многих компаний, когда такие инструменты появляются в публичном доступе.

На сегодняшний день киберпреступления являются существенной угрозой для бизнеса, и от них не получится просто отмахнуться. Пассивной защиты стало недостаточно. Необходимы новые подходы к обеспечению информационной безопасности и решения, способные противостоять современным угрозам.

Универсальных рецептов, как и «серебряной пули», не существует. Необходимы комплексный системный подход к созданию системы обеспечения ИБ, выстраивание процессов управления уязвимостями, обновлениями, процессов мониторинга и реагирования на инциденты. Это нелегкая задача, но решать ее в любом случае придется, если мы не хотим, чтобы безопасность бизнеса зависела от очередной публикации в интернете.

  1. https://habrahabr.ru/company/infosecurity/blog/327114.
  2. http://www.infosec.ru/news/9992.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru