Истории из техподдержки. Часть вторая::
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Наука и технологии
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
20.12.2019г.
Просмотров: 5420
Комментарии: 0
Dr.Web: всё под контролем

 Читать далее...

04.12.2019г.
Просмотров: 6613
Комментарии: 0
Особенности сертификаций по этичному хакингу

 Читать далее...

28.05.2019г.
Просмотров: 7899
Комментарии: 2
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 8192
Комментарии: 1
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 7181
Комментарии: 0
Django 2 в примерах

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Истории из техподдержки. Часть вторая

Архив номеров / 2020 / Выпуск №10 (215) / Истории из техподдержки. Часть вторая

Рубрика: Безопасность /  Антивирусы

 ВИЗИТКА 

Вячеслав Медведев,
старший эксперт отдела развития компании Доктор Веб

 

Истории из техподдержки
Часть вторая

Причины обращений в техподдержку антивирусной компании бывают самые разные (и поступают такие обращения не только от наших пользователей). Антивирус тормозит, почему он не реагирует на .., обнаружены действия злоумышленников. Зачастую объединяет их одно: истинная причина произошедшего совершенно не соответствует предположениям автора запроса

 

История первая.
«Кряки и пираты»

Несанкционированный вход в компьютер с удалением ВАЖНОЙ ИНФОРМАЦИИ – файлов 10 Гб (с заменой заставки-картинки рабочего стола, как насмешка)

Да, это всё то же обращение, которое мы рассматривали в сентябрьском  номере «Системного администратора»  (http://samag.ru/archive/article/4223). Причиной пропажи файлов оказался сыплющийся жесткий диск. Но анализ ситуации показал, что вредоносная программа всё же на компьютере была. Это оказался майнер.

C:\programdata\windows\Archicad.exe – майнер криптовалюты. Если сами не пользуетесь, можете удалить.

Обратите внимание на название майнера – оно намекает на путь проникновения.

Вся проблема началась с предупреждений (и шантажа) исп. нелицензионной программы Autodesk 3D Max (поставил для изучения). А после перешло на Grafisoft – Archicad, куда внедрен майнер.

Насчет шантажа тема не раскрыта, но зато становится ясным происхождение майнера. Пиратские версии – название файла с майнером совпадает с названием пиратской программы. Забавно (хотя и ожидаемо), что, получив данное известие, пользователь не пожелал удалить пиратскую программу (напомним, поставленную в целях изучения), а попросил вычистить из нее вредоносный софт.

Autodesk 3D Max и Grafisoft Archicad сохранить, а майнер удалить. Понятно, просто не удалится, а можно выборочно удалить при помощи реестра?

Для удаления вредоносного файла была сформирована специальная сборка утилиты Dr.Web FixIt! Майнер был удален. Что стало без него с пиратской версией – история умалчивает.

Вывод прост. Если уж ставите пиратское ПО, то хоть проверяйте его. Старайтесь не устанавливать подозрительный софт с торрентов и прочих сайтов, не принадлежащих его разработчикам. Всегда читайте и проверяйте весь текст и параметры всех окон при установке программ. Частая причина установки вредоносного ПО – дополнительные программы, которые предлагаются к установке на одном из шагов инсталлятора.


История пятая.

«Не все йогурты одинаково полезны»

Случай из серии «и смех и грех». Пользователь перешел с бесплатного антивируса на наш, и тут же обнаружилась куча всего нехорошего. Пользователь возбудился (орфографию и пунктуацию сохраняем):

Какие [beep] вирусы в лецензионных программах и те что скачаны с оф сайта???!!!!!!!!!!
и если вы уже совсем [beep] то на будущее системный файл ну никак не может быть по определению вирусом!!!!! из за вас [beep] все работы пошли на смарку!!!!
Я уже пожалел что перешел с [название конкурента] на вас....тот хоть и косячил но не так как ваш....поверьте я никому не посоветую ваш продукт,даже наоборот.....

 

Найденное было послано на проверку аналитику, который подтвердил, что:

Угроза детектируется как Win32.HLLP.Neshta. Это файловый вирус, который действительно заражает файлы. Вы можете ознакомиться с краткой характеристикой здесь: https://ru.wikipedia.org/wiki/Neshta и на нашем сайте – https://vms.drweb.ru/virus/?i=468&lng=ruУгроза детектируется как Win32.HLLP.Neshta. Это файловый вирус, который действительно заражает файлы. Вы можете ознакомиться с краткой характеристикой здесь: https://ru.wikipedia.org/wiki/Neshta и на нашем сайте – https://vms.drweb.ru/virus/?i=468&lng=ru

Самое интересное здесь, что нашелся вирус, да не просто вирус. Во-первых, поймать сейчас вирус – надо еще постараться. Основные вредоносные программы сегодня – это трояны. То есть те, которые кто-то (пользователь, хакер или иная программа) должен поместить в систему. Не заражающие другие файлы (не помещающие свой код в них). А вирусов – вредоносных программ, заражающих другие файлы, – мало.

Однако расслабились пользователи! «Системный файл ну никак не может быть по определению вирусом». «Какие вирусы в лицензионных программах?». Забылись уже вирусные времена…

Но дело даже не в том, что попался редкий тип вредоносного ПО – этот вирус оказался редкой «национальности».

Neshta – белорусский вирус 2005 года. Название вируса происходит от белорусского слова «нешта», означающего «нечто».Neshta – белорусский вирус 2005 года. Название вируса происходит от белорусского слова «нешта», означающего «нечто».Содержит строчку: Neshta 1.0 Made in Belarus.

Обратим внимание: вирус известен с 2005 года. 15 лет! Привет из молодости. Очень интересно, где его откопал пользователь? Естественно, нам этот вирус известен, и как только антивирус начал проверку, тут же его обнаружил.

И вишенка на торте: проверка по «Вирустотал» показала, что вирус этот известен и нам, и тому антивирусу, который использовался на ПК ранее. Но тот о нем молчал. Почему? Загадка…

Вот еще одно обращение с упоминанием Neshta:

Шифровка произошла на арендуемом виртуальном сервере. Насколько я понял, с помощью трояна злоумышленнику удалось получить администраторский пароль, после чего он подключился к серверу в тот момент, когда там никого из пользователей не было. Он создал логин Cuctema, добавил его в администраторскую локальную группу доступа, после чего зашифровал все имеющиеся на сервере значимые с его точки зрения файлы, оставив также вирус-банер. Используемые им программы также, по-видимому, были заражены вирусом Neshta.Шифровка произошла на арендуемом виртуальном сервере. Насколько я понял, с помощью трояна злоумышленнику удалось получить администраторский пароль, после чего он подключился к серверу в тот момент, когда там никого из пользователей не было. Он создал логин Cuctema, добавил его в администраторскую локальную группу доступа, после чего зашифровал все имеющиеся на сервере значимые с его точки зрения файлы, оставив также вирус-банер. Используемые им программы также, по-видимому, были заражены вирусом Neshta.

Злоумышленник использовал программы, зараженные вирусом. Мы не раз видели рекомендации юным хакерам не ставить себе на компьютеры антивирусы, ибо те все воруют. Вот и результат!

Данный случай – отличная иллюстрация того, что из вирусных баз нельзя удалять информацию о древних вирусах (о чем нас постоянно просят). Пользователи умудряются найти экзотику.

И второе. Поверяйте антивирусом всё, что вы скачиваете. Увы, лейбл «лицензионная программа» – не заклинание, излечивающее любые вирусы. И периодически проверяйте свой компьютер другим антивирусом. Случаи разные бывают!



История шестая.

«Куча рекомендаций (и все капитанские)»

В этот раз пользователь обратился по поводу пропажи важных файлов.

В результате вирусной атаки часть моих данных была заархивирована и запаролена.В результате вирусной атаки часть моих данных была заархивирована и запаролена.

Анализ ситуации показал, что заражения не было.

Вероятнее всего, произошел несанкционированный вход через подбор/похищение пароля одной из учетных записей по RDP (или через терминальную сессию).
Злоумышленник запустил легальную программу для сжатия данных, добавил данные в архивы, вручную ввел пароль на архив из длинной последовательности символов.

Не было никакого вируса. Скорее всего, был слабый пароль и обычный архиватор на машине пользователя. И этого оказалось достаточно для потери данных. Злоумышленники для атаки нередко используют легальные программы, так что случай этот не уникален. В операционной системе есть всё, что нужно преступнику. Например, программы шифрования.

Проблема в том, что, установив антивирус, люди считают, что сделали для обеспечения безопасности всё возможное. А как же ставить патчи, использовать сложные пароли и менять их? Между прочим, по статистике именно подбор паролей – наиболее частая причина взломов, а не какие-то изощренные атаки.

Рекомендации, выданные клиенту.

  1. Задайте сложный для всех учетных записей и не только для этой системы, но и других ваших систем пароль (не менее 8 символов, содержащий буквы разного регистра, цифры и спецсимволы).
  2. Заблокируйте неиспользуемые учетные записи.
  3. Активируйте системную политику для паролей, при которой запрещается использование «слабых» паролей, укажите максимальный срок действия пароля (это позволит избежать использования «утекших» паролей в случае, если учетная запись использовалась на некогда зараженном ПК). Политики паролей настраиваются через редактор групповых политик (GPO): Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Политики учетных записей → Политика паролей.
  4. Используйте «политики блокировки учетной записи» (настройте их также через редактор GPO), задав количество ошибочных вводов пароля. Это защитит от успешного подбора пароля с помощью перебора.
  5. Включите службу Автоматического обновления и установите все предложенные обновления. В первую очередь установите патч MS17-010.
  6. С помощью Брандмауэра установите ограничение на удаленное подключение, оставив возможность подключения только с определенных адресов.
  7. Если вы используете удаленное подключение, рекомендуется изменить стандартный порт для подключения к RDP (сделав это через реестр).
  8. Используйте меры защиты от сканеров портов, проведите аудит доступных сетевых сервисов и закройте их для внешней сети.
  9. Рассмотрите вариант изменения политики доступа к RDP, разместив RDP за шифрованным туннелем, и используйте vpn для доступа к серверу извне.
  10. Используйте только актуальную версию антивируса, сейчас это 12-я версия.
  11. В случае использования корпоративной версии антивируса используйте возможности Контроля приложений. Он позволяет настроить список запрещенных и разрешенных к запуску приложений, чем можно повысить уровень защиты.
  12. При работе в сети никогда не отключайте антивирусный монитор SpIDer Guard и Превентивную защиту.
  13. Защитите настройки антивируса паролем с тем, чтобы сделать невозможным отключение компонентов защиты. Пароль на антивирус не должен совпадать с паролем к системе.
  14. Не предоставляйте право на отключение компонентов и редактирование настроек антивируса пользователям вашей сети (для корпоративной версии права доступа настраиваются в Центре управления. Антивирусная сеть " станция или группа " Права).
  15. Антивирус при соединении с Интернетом должен обновляться не реже чем раз в час, контролируйте успешность обновления баз.
  16. Не вносите в исключения больше, чем необходимо, а также папки с временными файлами и программами.
  17. Включите в настройках системы отображение расширений файлов, для того, чтобы всегда видеть, какой тип файла вы запускаете (Пуск → Панель управления → Параметры папок → Вид → убрать галку «Скрывать расширения для зарегистрированных типов файлов»), так как очень часто к офисным файлам типа doc авторы добавляют исполняемое расширение.
  18. Регулярно выполняйте резервное копирование ценной информации на носители, которые недоступны для записи из основной системы, где хранятся оригиналы.
  19. Для систем, выполняющих роль серверов с внешним доступом, включите Аудит безопасности (Локальная политика безопасности → Локальные политики → Политика аудита) и регулярно анализируйте Журналы безопасности системы, чтобы вовремя увидеть неуспешные/успешные попытки несанкционированного доступа и принять меры (ознакомиться с кодами событий безопасности можно по здесь: https://support.microsoft.com/ru-ru/help/977519/description-of-security-events-in-windows-7-and-in-windows-server-2008).

Рекомендации очевидные, но отчего-то приходится давать их снова и снова.



История седьмая.

«Снял шкуру – дери вторую»

Майнеров считают достаточно безобидным ПО. Но майнер майнеру рознь и подчас он может оказаться лишь вершиной айсберга. Как здесь:

Злоумышленник, получив доступ в систему, устанавливал туда троянца-майнера, который «всего лишь» сильно загружал ресурсы системы, не нанося прямого урона. Поскольку речь идет о весьма специфическом ПО, которое обычно находится на том же сервере, что и, например, приложения типа 1С, ситуация могла развиваться иначе. Так, будь на месте майнера троянец-шифровальщик (а в планах злоумышленника было и такое!), ущерб исчислялся бы огромными суммами.

То есть в случае обнаружения или если бы злоумышленник решил прикрыть ботнет, майнер превратился бы в шифровальщика.

Кстати, история сама по себе интересна. И началась она с тормозов:

Весной 2019 года в службу технической поддержки «Доктор Веб» обратился корпоративный клиент с жалобой на проблемы в работе сервера. Нагрузка на вычислительные мощности была очень высокой и возникала словно из ниоткуда.

В рамках экспертизы был проведен анализ логов антивируса Dr.Web.

Это позволило обнаружить первую зацепку и определить приложение, которое скрытно потребляло ресурсы сервера, а также способ проникновения злоумышленника в систему. Стало очевидно, что вредоносная активность была связана с работой программы известного российского разработчика, используемой клиентом.

Как выяснилось, заражение начиналось с RCE-уязвимости в легальном продукте. Через эксплойт на стороне пострадавшего клиента создавалась административная учетная запись для доступа по RDP.

Злоумышленник вручную заходил на сервер по RDP и, используя легитимное ПО ProcessHacker, «убивал» установленный антивирус или просто отключал его напрямую через GUI.

Получив доступ в систему, преступник загружал на сервер майнера и запускал его. Процесс майнинга и создавал нагрузку на вычислительные мощности сервера. В последней обнаруженной версии трояна все действия по отключению антивирусов были автоматизированы.

В результате исследования этого носителя и используемых «Доктор Веб» ханипотов было обнаружено еще несколько эксплойтов. Был выявлен список жертв, атакованных аналогичным образом. Среди пострадавших оказались пользователи самых разных антивирусных продуктов.

Выяснив, какое ПО связано с активностью трояна, мы обратились к его разработчику, который передал нам для анализа НЖМД руководителя (!) своей разработки. Именно там мы нашли исходники эксплойтов.

На Хабре очень много статей про управление сотрудниками, стимулирование трудового энтузиазма. Но крысы встречаются везде.

Помните эпидемию ЛжеПети? Здесь так же: атака через поставщика. Доверенное ПО, ради которого отключают антивирус.

Рекомендации? В первую очередь, разделяй и властвуй – изоляция ПО по разным подсетям. Закрытие удаленного доступа кому попало. Надежные пароли и их замена. Контроль состава ПО. Минимум прав у пользователя. Логирование всего и вся. 

Продолжение в следующем номере 


Подпишитесь на журнал
Купите в Интернет-магазине

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru