Рекомендации «Информзащиты» в связи с утечкой АНБ::Журнал СА 5.2017
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6447
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7143
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4422
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3095
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3892
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3910
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6396
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3242
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3539
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7378
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10735
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12454
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14121
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9205
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7150
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5456
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4689
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3505
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3218
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3457
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3100
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Рекомендации «Информзащиты» в связи с утечкой АНБ

Архив номеров / 2017 / Выпуск №5 (174) / Рекомендации «Информзащиты» в связи с утечкой АНБ

Рубрика: Безопасность /  Механизмы защиты

Павел Таратынов ПАВЕЛ ТАРАТЫНОВ, начальник отдела безопасности сетевых технологий «Информзащиты»

Рекомендации «Информзащиты»
в связи с утечкой АНБ

14 апреля 2017 года хакерской группировкой The Shadow Brokers был опубликован архив с данными, содержимое которого вызвало эффект «разорвавшейся бомбы». Уровень угрозы оказался настолько серьезным, что новость подхватили нетолько специализированные, но и массовые СМИ

Кто такие The Shadow Brokers?

Рекомендации «Информзащиты» в связи с утечкой АНБХакерская группировка The Shadow Brokers впервые заявила о себе в августе 2016 года, опубликовав информацию, якобы украденную у другой хакерской группы Equation Group. В свою очередь, многие эксперты считают Equation Group тесно связанной с Агентством национальной безопасности США и причастной к созданию такого «кибероружия», как Stuxnet, Flame, Duqu, Regin, EquationLaser.

Группировка The Shadow Brokers в разное время выкладывала различные архивы с информацией, содержащие инструменты, информацию о взломанных объектах, инфраструктуре и методах хакеров Equation Group, работающих направительство.

Так почему же именно последняя публикация от 14 апреля 2017 года вызвала такой ажиотаж?

Что находится в черном ящике?

Пятница 14-е и последующие выходные стали для команды экспертов «Информзащиты» весьма насыщенными. По предварительной оценке, стало понятно, что речь может идти о «глобальной катастрофе» в мире ИБ – под угрозой оказались буквально все ОС семейства Windows, как пользовательские начиная с ХР и заканчивая 10-й, так и серверные от Windows Server 2003 до 2016.

Архив, выложенный группировкой The Shadow Brokers, состоит из трех основных папок (см. рис. 1):

  • oddjob
  • swift
  • windows

Рисунок 1. Архив, выложенный группировкой The Shadow Brokers, состоит из трех основных папок

Рисунок 1. Архив, выложенный группировкой The Shadow Brokers, состоит из трех основных папок

1. oddjob

По предварительным данным, папка содержит бэкдор, используемый для управления зараженными системами.

2. swift

В этой папке содержится информация об инфраструктуре SWIFT Service Bureau of the Middle East: EastNets, а именно:

  • конфигурационные файлы сетевого оборудования, в которых указаны учетные записи, пароли администраторов и пользователей, ключи IPSec для публичных IP, признаки использования незащищенных протоколов, например telnet, атакже признаки использования ресурсов, относящихся/подключенных к системе SWIFT;
  • полное описание доменной инфраструктуры, включая домены, поддомены, хосты, группы пользователей;
  • SQL-скрипты для получения информации из БД Oracle о пользователях, правах, сообщениях формата SWIFT;
  • рабочие записи, включая ресурсы, статус получения доступа к ним, атрибуты доступа;
  • рабочие материалы АНБ для подготовки презентации о статусе/результатах проекта.
Речь может идти о «глобальной катастрофе» в мире ИБ – под угрозой оказались буквально все ОС семейства Windows, как пользовательские начиная с ХР и заканчивая 10-й, так и серверные от Windows Server 2003 до 2016

По результатам анализа этих материалов эксперты компании «Информзащита» предполагают, что речь идет об инфраструктуре компании www.eastnets.com. На это указывает адресация.

EastNets Group – международная компания, специализирующаяся на создании программного обеспечения для финансовых организаций. Компания тесно сотрудничает со SWIFT, участвуя в разработке продуктов, решений и технологических платформ.

Подробный разбор данной части архива был опубликован на портале Habrahabr в блоге «Информзащиты» [1].

3. windows

Самое интересное и опасное содержимое архива находится в папке windows. В этой папке, ни много ни мало, находятся remote code execution эксплойты для всех актуальных версий пользовательских и серверных ОС Windows.

Описание только некоторых из них приведены в таблице 1.

Таблица 1. Описание некоторых эксплойтов, находящихся в папке windows

Наименование Краткое описание Уязвимые ОС Наличие патча
Etternalblue Удаленное выполнение кода (RCE) для SMBv1 Windows XP/Vista/7/8(.1) Windows 10 (под вопросом) Windows Server 2000/2003/2008 Windows Server 2012 (подвопросом) Да, кроме Windows XP/Vista и Windows Server2003 MS17-010
Eternalromance Удаленное выполнение кода (RCE) для SMBv2 Windows XP/Vista/7 Windows 8/10 (под вопросом) Windows Server 2003/2008 Windows Server 2012 (подвопросом) Да, кроме Windows XP/Vista и Windows Server2003 MS17-010
Eternalsynergy Удаленное выполнение кода (RCE) для SMBv3 Windows 8 Windows Server 2012 Да MS17-010
Eternalchampion Удаленное выполнение кода (RCE) для SMBv1/v2 Windows XP/7 Windows Server 2008 Да, кроме Windows XP/Vista и Windows Server2003 MS17-010
Eclipsedwing Удаленное выполнение кода (RCE) для SMB Windows XP Windows Server 2003/2008 MS08-67
Educatedscholar Удаленное выполнение кода (RCE) для SMBv2 Windows Vista (SP0, SP1) Windows Server 2008 SP2 (x64, x86) MS09-050
Esteemaudit Удаленное выполнение кода (RCE) в RDP (Remote Desktop). Эксплуатирует уязвимость в аутентификации по смарт-карте. Устанавливает имплант (бэкдор) Windows XP Windows Server 2003 Нет. Обновление безопасности выпускаться небудет
Erraticgopher Удаленное выполнение кода (RCE) в SMB Windows XP Windows Server 2003 Нет. Обновление безопасности выпускаться небудет

Часть эксплойтов команда экспертов «Информзащиты» проверила на тестовых машинах. Эксплойты функционировали без каких-либо доработок, что позволяет воспользоваться этими инструментами любому злоумышленнику сминимальной подготовкой (см. рис. 2).

Рисунок 2. Проверка эксплойтов экспертами «Информзащиты» на тестовых машинах

Рисунок 2. Проверка эксплойтов экспертами «Информзащиты» на тестовых машинах

Microsoft оперативно выпустила обновления для ОС, однако многие пользователи до сих пор их не установили. По данным поисковой системы Shodan, инфицированными являются 15 196 систем, пять четвертей из них приходятся на США, и число это постоянно растет.

В архиве есть remote code execution эксплойты для всех актуальных версий серверных и пользовательских ОС Window6

Если посмотреть на обновления, которые выпустила Microsoft, возникает резонный вопрос: как быть с Windows XP/Vista и Windows Server 2003, уже снятыми с техподдержки? Для них Microsoft предлагает только одно решение – переход нановые версии Windows. И если вы все еще этого не сделали – сейчас самое время.

Старые ОС Windows XP/ Windows Server 2003 сняты с техподдержки производителя, обновления безопасности для них выпускаться не будут, а эксплойты, позволяющие удаленно(!) выполнить на них произвольный код, «благодаря» Shadow Brokers стали доступны каждому желающему.

В качестве временной меры защиты эксперты «Информзащиты» рекомендуют применить технику virtual patching, включив соответствующие сигнатуры IPS, отключив уязвимые протоколы или заблокировав сетевой доступ к системам спомощью межсетевого экрана. Но все это полумеры, которые к тому же не всегда возможны.

Подробные рекомендации можно найти на сайте компании «Информзащита» [2].

Пассивной защиты стало недостаточно. Необходимы новые подходы к обеспечению информационной безопасности и решения, способные противостоять современным угрозам

Приведем краткий перечень первоочередных мер:

  • Проверьте, что на всех системах Windows включено автоматическое обновление.
  • Просканируйте системы на наличие уязвимостей с помощью сканера уязвимостей (с обновленными базами уязвимостей).
  • Установите обновления безопасности на все системы Windows.
  • Активируйте соответствующие сигнатуры на сенсорах IPS.
  • Если обновления дляиспользуемой версии ОС невыпущены, отключите уязвимые протоколы:
    • протокол SMB;
    • протокол RDP;
    • протокол WebDAV (для IIS6).
  • Проверьте существующие рабочие станции и серверы на наличие признаков компрометации.

Сегодня уже никого не удивляют факты использования спецслужбами различных государств продвинутых инструментов взлома и уязвимостей «нулевого дня» для проведения операций в киберпространстве.

Далеко не каждая организация может стать целью для таких «хакеров на государственной службе». Однако серьезные проблемы возникают у многих компаний, когда такие инструменты появляются в публичном доступе.

На сегодняшний день киберпреступления являются существенной угрозой для бизнеса, и от них не получится просто отмахнуться. Пассивной защиты стало недостаточно. Необходимы новые подходы к обеспечению информационной безопасности и решения, способные противостоять современным угрозам.

Универсальных рецептов, как и «серебряной пули», не существует. Необходимы комплексный системный подход к созданию системы обеспечения ИБ, выстраивание процессов управления уязвимостями, обновлениями, процессов мониторинга и реагирования на инциденты. Это нелегкая задача, но решать ее в любом случае придется, если мы не хотим, чтобы безопасность бизнеса зависела от очередной публикации в интернете.

  1. https://habrahabr.ru/company/infosecurity/blog/327114.
  2. http://www.infosec.ru/news/9992.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru