Истории из техподдержки. Часть третья::
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6201
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6910
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4194
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 2991
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3798
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3807
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6300
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3153
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3448
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7265
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10632
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12354
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13987
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9114
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7067
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5377
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4605
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3417
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3146
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3394
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3014
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Истории из техподдержки. Часть третья

Архив номеров / 2020 / Выпуск №11 (216) / Истории из техподдержки. Часть третья

Рубрика: Безопасность /  Антивирусы

 

 ВИЗИТКА 

Вячеслав Медведев,
старший эксперт отдела развития компании Доктор Веб

 

Истории из техподдержки
Часть третья


«Умные учатся на чужих ошибках»

Фраза приписывается много кому

 

 

Без всякой рекламы, честно. История заражения сервисов Garmin показывает, что зачастую даже крупные компании не предпринимают необходимых мер для противодействия возможному заражению. В частности, для предотвращения эпидемии шифровальщика WastedLocker было вполне достаточно запретить старт из стримов NTFS. Умные учатся на чужих ошибках, и мы подготовили серию статей о ситуациях, которых могло бы и не быть, если бы владельцы устройств и администраторы сетей… Впрочем, читайте – все случаи реальны.

Мы надеемся, что наши истории помогут вам обнаружить странное раньше злоумышленников.

В качестве преамбулы. Причины обращений в техподдержку антивирусной компании бывают самые разные (и обращаются к нам не только пользователи Dr.Web). Антивирус пропускает, я ничего не трогал, но… Зачастую объединяет их одно: истинная причина произошедшего совершенно не соответствует предположениям автора запроса.


История восьмая.

А у вас король голый – антивируса-то нет!

Мы не первый раз сталкиваемся со случаем, когда пользователь уверен, что на его машине стоит антивирус, а на самом деле это не так. Первый раз автору (не пишем «нам» – техподдержка видала и не такое) попалось такое обращение, когда дети, которым по замыслу родителей антивирус должен был ограничивать доступ в Интернет, просто удалили веб-антивирус. Пароля на настройки антивируса, конечно, не было. А зачем? Но это пользователи домашние, непуганые.

Вот достаточно типичный ответ специалиста технической поддержки.

Антивирус на машине был установлен без компонента SpIDer Guard, следовательно не имел защиту в реальном времени.

Для тех, кто не знаком с Dr.Web, поясним: SpIDer Guard – это файловый монитор, он проверяет все операции с файлами. Антивирус действительно можно установить и без него – скажем, поставив только модули проверки трафика. Но проблема в том, что обойти проверку трафика можно. Например, послав файл по защищенному каналу или зашифровав вредоносный функционал. Файловый монитор, если бы он был, мог бы обнаружить вредоносный модуль при старте. Но злоумышленники для проникновения даже не стали обходить антивирус.

Наиболее вероятно, в систему был выполнен несанкционированный вход, через подбор/похищение пароля одной из учетных записей, по RDP (или через терминальную сессию).

В данном случае злоумышленник, воспользовавшись отсутствием части компонентов антивируса,

...удалил антивирусную программу, запустил шифровальщик.

Случаи входа через подбор/похищение пароля учетных записей сейчас встречаются все чаще и чаще...

Еще один случай – аналогичный, но более запущенный, приводим дословно.

У нас произошло масштабное заражение на всех серверах, где стоит антивирус drweb. При этом утилита cureit обнаруживает огромное количество вирусов. Нужно срочно принимать решение удалять ваш антивирус и ставить другой, или это изначально неправильно настроенная установка.

Антивирус молчит. Но хорошо уже то, что пользователь допускает возможность неверных настроек.

Результат анализа инцидента.

В системе … не установлен главный компонент защиты, файловый монитор – SpIDer Guard для серверов Windows. Этот компонент работал в сентябре 2019 года, но был удален. Без этого компонента защиты в системе не осуществляется мониторинг файлов, с которыми ведется работа – чтения, запись, копирование и т. д.

Работал, но был удален год назад! При этом, конечно, никто ничего не трогал и не менял?

После изначальной установки и настройки, как раз в сентябре 2019-го, я больше не менял никаких настроек.

После установки компонента антивирус сразу начал выявлять попытки заражения.

Теперь в автозагрузке периодически появляется зараженный файл, антивирус его удаляет и потом всё начинается по новой.

Дальнейший анализ показал, что попытки заражения идут с некоего устройства.

Главная задача – найти источник распространения инфекции, это незащищенный ПК в вашей сети. Это может быть какая-либо давно забытая станция с неустановленным или необновленным антивирусом, устаревшей или давно не обновляемой операционной системой без критических обновлений, которая, ко всему прочему, вполне вероятно (хоть и не обязательно) может иметь доступ в сеть.

Проанализировав полученные данные, мы попросили прислать подробности с машины, с которой предположительно идет атака. И тут выяснилось странное.

\\192.168.ххх.yyy\sgexe\sgmain.exe – такого сетевого устройства нет, оно не пингуется, на него не заходится и его нет в таблице arp.

То есть атака по сети идет с неизвестного администратору устройства!

Причина произошедшего: администратор не контролирует свою сеть. Не заметить, что на серверах по сути нет антивирусной защиты – не установлен ее основной компонент, файловый монитор, контролирующий все операции с файлами…


История девятая.

На самом деле продолжение 8-й, но мораль иная

Зачастую у пользователей обнаруживается сразу ворох проблем. Так и тут. Антивирус может отсутствовать на компьютере по самым разным причинам. Его не установили, удалили... Но бывает и более интересно (и загадочно).

В продолжение предыдущей истории владелец антивирусной лицензии (кстати, ИТ-директор) заявил, что он заказывал поставщику защиту серверов.

Мы вполне верим, что случаи бывают разные, мог и поставщик ошибиться. Но ведь можно было проверить лицензию после начала использования?


История десятая.

О соломинке, сломавшей шею верблюду

Что-то все истории у нас сегодня получаются об отсутствии контроля за системой. Видимо, карма такая. В этот раз причина обращения в техподдержку – падение антивирусного сканера. Это компонент антивируса с самой древней родословной, какие только файлы ему ни встречались, но всегда есть шанс найти что-то заковыристое.

Через некоторое время у меня начались небольшие проблемы с компьютером. Я предположила, что это вредоносное программное обеспечение и решила проверить компьютер на вирусы.
1. Запустила сканер, но полная проверка не произошла. В середине проверки компьютер неожиданно выключается.

Собранная с помощью пользователя информация показала:

Судя по спецификации в Интернете максимальная рабочая температура для вашего процессора AMD ATHLON 64 X2 4800+ равна 72 °C.
То есть температура выше 90 градусов будет критической – может приводить к отключению и снижать срок службы процессора. Обратитесь в сервисный центр для ремонта системы охлаждения процессора.

Антивирусная проверка, естественно, потребовала ресурсов процессора – и сломала верблюду шею.

Но пользовательница-то считала, что у нее на компьютере всё хорошо. К сожалению, мы не впервые сталкиваемся с тем, что современные ОС слишком застенчивы. Осыпавшийся жесткий диск, почти предельная температура процессора и т. д. для них не повод побеспокоить пользователя. Пусть лучше компьютер сгорит и данные потеряются!

В качестве отступления еще одна история, устная (телефонный звонок). Антивирус тормозит почтовый сервер. Exchange. Интуитивно задаю первый вопрос: каковы параметры сервера? 2МБ памяти. На современном сервере, да.

Продолжение истории с перегревом. Недавно на Хабре возмущались приложением, которое ставится без спроса. Если бы оно было одно!

Судя по уже имеющимся файлам, которые вы прислали, в этой системе работает одна, а возможно сразу несколько сторонних антивирусных программ, которые могут замедлять работу вашей системы и конфликтовать друг с другом. Общепринято держать в системе один антивирус. Убедитесь, что из системы через Панель управления, Программы (Программы и компоненты)/Удаление программ удалены ByteFence и AVG.

Вот сколько раз говорилось, что если антивируса два – быть беде? А тут вообще три. Про один из них пользователь даже не помнит, как он появился. Причем антивирус этот даже особо и не удалишь.

ByteFence – не знаю, что за программа, я ее не ставила. Она есть, но удалить ее я не могу. Пыталась по-всякому. Она остается.

С этим мы смогли помочь, выдали рекомендации по удалению. Чем только не приходится заниматься!

Кстати, о самолечении. Ставить специальные утилиты иногда лень и хочется узнать нужный параметр вручную. Бывает, узнаешь странное. Есть в сети такой совет для желающих выяснить температуру процессора: выполнить команду wmic /namespace:\\root\wmi PATH MSAcpi_ThermalZoneTemperature get CurrentTemperature.

Как пишут, вы получите текущую температуру процессора в Кельвинах, с десятыми долями (можно отнять от результата 273 градуса и получить температуру в градусах Цельсия).

Точнее, должны получить:


История одиннадцатая.
На самом деле Плач Ярославны о знаниях пользователей

Началось все стандартно (обращение чуть сокращено).

[Я] отправлял ссылку на проверку наличия ВИРУСА и письмо от программиста-мошенника о взломе ОС и им «включен счетчик» – 52 часа. Сегодня истекает СРОК!!! … Сегодня повторно на почте обнаружил письмо-предупреждение ! Жду Вашей ЗАЩИТЫ!!! Компьютер заметно стал тормозить и мышь стала зависать... Сканер ничего не обнаруживает, утилита тоже...

Пользователь, кстати, молодец – приложил к запросу архив с собранной технической информацией.

Через некоторое время он уточнил ситуацию:

Угрозы от мошенника продолжают поступать…

Анализ же собранных данных показал, что:

Подозрительного ничего найти не удалось.

Однако нет же дыма без огня? И специалисты запросили текст, полученный от хакера.

Я прогрaммиcт, кoторый взломaл ОС вaшeго уcтройcтвa.
Я нaблюдaю зa вaми ужe неcколько мecяцев. Дело в том, что вы были зaрaжены вредоноcным ПО черeз caйт для взроcлых, который вы поcетили.
Еcли вы не знaкомы c этим, я объяcню. Троянcкий вируc дaет мне полный доcтуп и контроль нaд компьютером или любым другим уcтройcтвом. Это ознaчaет, что я могу видеть вcё нa вaшем экрaне, включить кaмеру и микрoфон, но вы нe знaетe oб этом.
У меня тaкже еcть доcтуп ко вcем вaшим контaктaм, дaнным по cоциaльным cетям и вcей вaшей пeрепиcке.
Почему вaш aнтивируc не обнaружил вредоноcное ПO. Ответ: Моя вредоноcнaя прогрaммa иcпользует дрaйвер, я обновляю его cигнaтуры кaждые 4 чaca, чтобы вaш aнтивируc молчaл.
Я cделaл видео, покaзывaющее, кaк вы удовлетвoряeте cебя в левой половине экрaнa, a в прaвой полoвине вы видите видео, которое вы cмотрели. Одним щелчком мыши я могу отпрaвить это видео нa вcе вaши контaкты из почты и cоциaльных ceтей. Я тaкже могу oпубликовaть доcтуп ко вcей вaшей электронной почте и меccенджерaм, которые вы иcпользуете.

Ну и так далее. Думаю, все уже поняли, что это за «взлом». И, кстати, наш антиспам это подтверждает – пользователь сказал, что присланное письмо – «из спама».

Как видите, даже коронавирус – не повод изменить текст удачного спамерского обращения.


Случай двенадцатый.

Если не следить

В этот раз имеется развернутая ретроспектива атаки.

Ночью взломали наш сервер и в итоге все файлы, в том числе БД 1С, были переименованы и зашифрованы.Ночью взломали наш сервер и в итоге все файлы, в том числе БД 1С, были переименованы и зашифрованы.

Пострадала группа предприятий.

Судя по всему, попытки подключиться к вашему серверу начались еще с 20 июля:
Ошибка 20.07.2020 18:07:36 TermDD 56 Отсутствует
Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: ххх.
С этих пор в логах системы огромное количество записей вида:
Сведения 20.07.2020 20:09:04 TerminalServices-RemoteConnectionManager 1012 Отсутствует
Удаленный сеанс от клиента по имени, a превысил максимальное число неудачных попыток входа. Сеанс был принудительно завершен.
А уже 24 числа они успешно подключились, получили права администратора, удалили антивирус.
Отключили Cobian Backup.
Ну а дальше уже шифровали файлы.

Ну и последнее на этот раз. В СМИ появляется множество новостей о злоумышленниках, проявивших благородство. Очередные жертвы тоже понадеялись на это, отправив им письмо:

В результате вашей хакерской атаки наш сервер пострадал. Прошу разблокировать. Будем Вам признательны.
У нас небольшая компания и основной штат работников — это инвалиды. Мы оказались в тяжелой ситуации. Мы не работали 4 месяца из-за COVID-19. Начали работать неделю назад.

Как вы догадываетесь, благородства от взломщиков они не дождались.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru