ПРЕДУПРЕЖДЕНИЕ! Новый тип "вирусной" атаки : Операционные системы и программное обеспечение
19.04.2024 17:14
█ 10.09.2017 08:18
Вот в одной из контатирующих со мной контор возникла компьютерная катастрофа. Уже два года назад была "успешная" атака шифровальщиков по которой лаборатория Касперского "расписалась в собственном бессилии" и в плане защиты была реализована, как казалось надежная защита от этого, а точнее "правила доступа" на сервере, методы автоматического сохранения данных на сервере и внешний ПК, теневые копии, два вида антивируса (на сервере DrWeb) на ПК сохранения AVP.
Замечу!!! Этим занимались опытные профессионалы с отличной репутацией и тема "предупреждения", а не "умничания", как надо БЫЛО делать!
На сервер можно (нужно постоянно) входить из вне, имелся статичный адрес и пароль администратора длинной 23 символа (латынь, цифра, русские буквы, разные шрифты)... Который, как показали вскрывается прогой (не сказали какой, но показали) за 10 минут. Понятно, что теневые копии, диск оперативного сохранения на сервере и ПК для сохранения были доступны с сервера (для пользователей других ПК, но не админа сервера прописаны правила и ограничения).
Что случилось:
Червь из интернет по адресу наткнулся на сервер (хотя возможно всё было известно, т.к. была кучка недоброжелателей, знающих атрибуты входа на него); "штатными" средствами установлена "нормальная" программа (следы, время её установки определились), которая удалила, перезаписав сектора "мусором" всю информацию с доступных из сервера расшаренных ресурсов; затем она деинсталировала себя и стерла свои файлы.
На каждом стертом диске оставлен текстовый файл с просьбой о письме, если нужна инфа (по письму о деньгах за якобы возврат данных из облака, куда она типа сохранила данные). Конечно это было враньё: уничтожено 5 терабайт инфы, со скоростью провайдера это качается несколько суток, а программа уничтожение "прожила" на сервере 1 час.
Начальство, как обычно "удивляется", почему "мы это допустили" и почему "мы такие тупые спецы", но как бы ни было нужно придумать, как в дальнейшем себя обезопасить... После всех консультаций - назад в "каменный век"!
Никаких сценариев, только ручная работа по сохранению важных данных с отключением устройств сохранения, выключение серверов на нерабочее время!!!
Переписка с AVP & DrWeb показала, что в таких ситуациях они не помощники... Более того они "отмахнулись" - это НЕ ВИРУСЫ, т.е. к ним "вопросов не должно быть"! Приведу подробный ответ от DrWeb, в котором есть полезные рекомендации:
Замечу!!! Этим занимались опытные профессионалы с отличной репутацией и тема "предупреждения", а не "умничания", как надо БЫЛО делать!
На сервер можно (нужно постоянно) входить из вне, имелся статичный адрес и пароль администратора длинной 23 символа (латынь, цифра, русские буквы, разные шрифты)... Который, как показали вскрывается прогой (не сказали какой, но показали) за 10 минут. Понятно, что теневые копии, диск оперативного сохранения на сервере и ПК для сохранения были доступны с сервера (для пользователей других ПК, но не админа сервера прописаны правила и ограничения).
Что случилось:
Червь из интернет по адресу наткнулся на сервер (хотя возможно всё было известно, т.к. была кучка недоброжелателей, знающих атрибуты входа на него); "штатными" средствами установлена "нормальная" программа (следы, время её установки определились), которая удалила, перезаписав сектора "мусором" всю информацию с доступных из сервера расшаренных ресурсов; затем она деинсталировала себя и стерла свои файлы.
На каждом стертом диске оставлен текстовый файл с просьбой о письме, если нужна инфа (по письму о деньгах за якобы возврат данных из облака, куда она типа сохранила данные). Конечно это было враньё: уничтожено 5 терабайт инфы, со скоростью провайдера это качается несколько суток, а программа уничтожение "прожила" на сервере 1 час.
Начальство, как обычно "удивляется", почему "мы это допустили" и почему "мы такие тупые спецы", но как бы ни было нужно придумать, как в дальнейшем себя обезопасить... После всех консультаций - назад в "каменный век"!
Никаких сценариев, только ручная работа по сохранению важных данных с отключением устройств сохранения, выключение серверов на нерабочее время!!!
Переписка с AVP & DrWeb показала, что в таких ситуациях они не помощники... Более того они "отмахнулись" - это НЕ ВИРУСЫ, т.е. к ним "вопросов не должно быть"! Приведу подробный ответ от DrWeb, в котором есть полезные рекомендации:
Цитата:
P.S. Во время очередного "полового акта" с начальством перевели это в термины "ресурсы", на что было сказано "и не мечтайте"! Здравствуйте!
Если recuva показывает, что файл утрачен, то его восстановление, вероятней всего, невозможно. Можете попробовать обратиться к специалистам по восстановлению данных с дисков (рекламная ссылка) - если они подтвердят, то данные, скорей всего, утрачены безвозвратно.
К сожалению, стопроцентную защиту от потери данных при подобного рода атаках ни один антивирус дать не может. Предотвратить потерю информации при возможных повторениях таких атак можно только одним способом: организовать регулярное резервное копирование ценных данных таким образом, чтобы ни с одного компьютера в сети не было одновременного доступа на запись к оригиналам и к резервным копиям (к резервным копиям лучше вообще никого не пускать на запись, кроме самого приложения, выполняющего резервное копирование). Хорошей практикой резервного копирования является следующее: в каждый момент времени должны существовать минимум две (последняя и предпоследняя) резервных копии; бэкап нельзя хранить в той системе, для которой он создан; и т.д. по учебнику.
Судя по описанию ситуации, злоумышленних подключался к пострадавшему серверу через RDP, подобрав или похитив пароль (причём пароль, похоже, был с администраторскими правами). Если подключение к серверу по RDP из Интернета нужно для работы, так что его нельзя заблокировать, для снижения риска повторной атаки нужно выполнить следующее:
1. Обязательно проведите аудит учётных записей пользователей на предмет надёжности паролей. Все пароли в любом случае поменять. Все новые пароли должны соответсвовать стандартным правилам безопасности, то есть пароль должен быть не короче восьми символов, несмысловой (Qwerty12 - это уже смысловой) и должен содержать символы по крайней мере трёх наборов из следующих четырёх: строчная латиница, заглавная латиница, цифры, спецсимволы.
Перед выдачей новых паролей сотрудникам, подключающимся удалённо с домашних компьютеров или из других офисов, обяжите сотрудников провести антивирусную проверку систем, где будут использоваться эти пароли.
2. C помощью сетевого экрана ограничьте RDP-доступ к компьютеру, чтобы подключение по RDP было разрешено только из доверенных подсетей, откуда действительно нужно подключение (а если есть возможность, лучше разрешить подключение только с заданных IP-адресов), а подключения из других подсетей блокировались.
3. Для усложнения проникновения можно вообще запретить доступ к серверу из Интернета, оставив разрешение только на подключение из локальной сети, а для внешних подключений организовать VPN-соединение с локальной сетью (которое тоже можно ограничить по разрешённым сетям). Тогда атакующим придётся сначала подобрать пароль для VPN, а потом ещё подбирать пароль для RDP. Естественно, логины и пароли для RDP и VPN не должны совпадать.
Для снижения риска запуска пользователями новых вредоносных программ, ещё не попавших в базы антивирусов, рекомендуем дополнительно следующие меры:
У пользователей не должно быть администраторских прав в системе (заодно отсутствие администраторских прав не позволит удалить антивирус). Для этих пользователей должен стоять запрет на запуск исполняемых файлов из каких-либо каталогов, кроме разрешённых администратором (в первую очередь, должен быть запрет на запуск из домашнего каталога и со сменных носителей), и запрет на запись в каталоги, из которых можно запускать файлы. О политиках ограниченного использования программ можно почитать на сайте Microsoft. Вот одна из статей на эту тему:
Дополнительно такой запрет не даст пользователям запускать собственные приложения, ненужные для работы (агенты систем обмена сообщениями, игры, portable-версии программ и т.п.).
Проведите обучение пользователей компьютеров, чтобы они знали, что любой файл, полученный извне по электронной почте, через ICQ, через Skype или другим способом даже от ближайшего знакомого или партнёра, может содержать вредоносный код, который не детектируется антивирусами. Вредоносные программы семейства Trojan.Encoder сейчас очень часто распространяются в виде электронных писем якобы из суда или из других организаций, а также под видом резюме или бухгалтерских документов (счета, платёжные поручения, акты и т.п.), причём рассылка может выполняться с заражённого компьютеря от имени пользователя этого компьютера по адресам, найденным в его переписке, поэтому если от кого-то даже хорошо знакомого без предварительного согласования приходит файл, необходимо связаться с отправителем по другому каналу связи (лучше всего голосом по телефону или через Skype) и узнать, действительно ли он отправлял этот файл. Если же под видом документа приходит исполняемый файл, то с вероятностью практически стопроцентной это не документ, а что-то вредоносное, так что первое, что нужно сделать с таким файлом, если антивирус на него не реагирует, - это отправить его в нашу лабораторию для анализа и дождаться ответа.
Дополнительно рекомендуем отключить в свойствах папок для всех пользователей и всех папок режим "Скрывать расширения для зарегистрированных типов файлов", чтобы система отображала полные расширения и проинструктировать пользователей на тему файлов с исполняемыми расширениями: lnk, exe, scr, com, bat, cmd, pif, js, vbs, wsf, jar, hta.
По возможности, организуйте на почтовом сервере фильтрацию писем, содержащих вложения этих типов как в явном виде, так и в архивах, и запретите подключение с компьютеров пользователей к сторонним почтовым серверам.
Подробные сведения по предотвращению атак шифрующих троянцев Вы можете получить из курса DWCERT-070-6 «Защита рабочих станций и файловых серверов Windows от действий программ-шифровальщиков», выложенного на странице
Если recuva показывает, что файл утрачен, то его восстановление, вероятней всего, невозможно. Можете попробовать обратиться к специалистам по восстановлению данных с дисков (рекламная ссылка) - если они подтвердят, то данные, скорей всего, утрачены безвозвратно.
К сожалению, стопроцентную защиту от потери данных при подобного рода атаках ни один антивирус дать не может. Предотвратить потерю информации при возможных повторениях таких атак можно только одним способом: организовать регулярное резервное копирование ценных данных таким образом, чтобы ни с одного компьютера в сети не было одновременного доступа на запись к оригиналам и к резервным копиям (к резервным копиям лучше вообще никого не пускать на запись, кроме самого приложения, выполняющего резервное копирование). Хорошей практикой резервного копирования является следующее: в каждый момент времени должны существовать минимум две (последняя и предпоследняя) резервных копии; бэкап нельзя хранить в той системе, для которой он создан; и т.д. по учебнику.
Судя по описанию ситуации, злоумышленних подключался к пострадавшему серверу через RDP, подобрав или похитив пароль (причём пароль, похоже, был с администраторскими правами). Если подключение к серверу по RDP из Интернета нужно для работы, так что его нельзя заблокировать, для снижения риска повторной атаки нужно выполнить следующее:
1. Обязательно проведите аудит учётных записей пользователей на предмет надёжности паролей. Все пароли в любом случае поменять. Все новые пароли должны соответсвовать стандартным правилам безопасности, то есть пароль должен быть не короче восьми символов, несмысловой (Qwerty12 - это уже смысловой) и должен содержать символы по крайней мере трёх наборов из следующих четырёх: строчная латиница, заглавная латиница, цифры, спецсимволы.
Перед выдачей новых паролей сотрудникам, подключающимся удалённо с домашних компьютеров или из других офисов, обяжите сотрудников провести антивирусную проверку систем, где будут использоваться эти пароли.
2. C помощью сетевого экрана ограничьте RDP-доступ к компьютеру, чтобы подключение по RDP было разрешено только из доверенных подсетей, откуда действительно нужно подключение (а если есть возможность, лучше разрешить подключение только с заданных IP-адресов), а подключения из других подсетей блокировались.
3. Для усложнения проникновения можно вообще запретить доступ к серверу из Интернета, оставив разрешение только на подключение из локальной сети, а для внешних подключений организовать VPN-соединение с локальной сетью (которое тоже можно ограничить по разрешённым сетям). Тогда атакующим придётся сначала подобрать пароль для VPN, а потом ещё подбирать пароль для RDP. Естественно, логины и пароли для RDP и VPN не должны совпадать.
Для снижения риска запуска пользователями новых вредоносных программ, ещё не попавших в базы антивирусов, рекомендуем дополнительно следующие меры:
У пользователей не должно быть администраторских прав в системе (заодно отсутствие администраторских прав не позволит удалить антивирус). Для этих пользователей должен стоять запрет на запуск исполняемых файлов из каких-либо каталогов, кроме разрешённых администратором (в первую очередь, должен быть запрет на запуск из домашнего каталога и со сменных носителей), и запрет на запись в каталоги, из которых можно запускать файлы. О политиках ограниченного использования программ можно почитать на сайте Microsoft. Вот одна из статей на эту тему:
Дополнительно такой запрет не даст пользователям запускать собственные приложения, ненужные для работы (агенты систем обмена сообщениями, игры, portable-версии программ и т.п.).
Проведите обучение пользователей компьютеров, чтобы они знали, что любой файл, полученный извне по электронной почте, через ICQ, через Skype или другим способом даже от ближайшего знакомого или партнёра, может содержать вредоносный код, который не детектируется антивирусами. Вредоносные программы семейства Trojan.Encoder сейчас очень часто распространяются в виде электронных писем якобы из суда или из других организаций, а также под видом резюме или бухгалтерских документов (счета, платёжные поручения, акты и т.п.), причём рассылка может выполняться с заражённого компьютеря от имени пользователя этого компьютера по адресам, найденным в его переписке, поэтому если от кого-то даже хорошо знакомого без предварительного согласования приходит файл, необходимо связаться с отправителем по другому каналу связи (лучше всего голосом по телефону или через Skype) и узнать, действительно ли он отправлял этот файл. Если же под видом документа приходит исполняемый файл, то с вероятностью практически стопроцентной это не документ, а что-то вредоносное, так что первое, что нужно сделать с таким файлом, если антивирус на него не реагирует, - это отправить его в нашу лабораторию для анализа и дождаться ответа.
Дополнительно рекомендуем отключить в свойствах папок для всех пользователей и всех папок режим "Скрывать расширения для зарегистрированных типов файлов", чтобы система отображала полные расширения и проинструктировать пользователей на тему файлов с исполняемыми расширениями: lnk, exe, scr, com, bat, cmd, pif, js, vbs, wsf, jar, hta.
По возможности, организуйте на почтовом сервере фильтрацию писем, содержащих вложения этих типов как в явном виде, так и в архивах, и запретите подключение с компьютеров пользователей к сторонним почтовым серверам.
Подробные сведения по предотвращению атак шифрующих троянцев Вы можете получить из курса DWCERT-070-6 «Защита рабочих станций и файловых серверов Windows от действий программ-шифровальщиков», выложенного на странице
█ 10.09.2017 08:35
Цитата:
недоос же... в инет еще смотрела? ну-ну... дальше можно было и не читать AndreyZh ➤ теневые копии
Цитата:
не обязательно было куда-то сливать. может, мусором был не мусор, а что-то зашифрованное AndreyZh ➤ Конечно это было враньё
Цитата:
хм... просто пользователи Windows... AndreyZh ➤ почему "мы такие тупые спецы"
Судя по всему, не вирус и не червь. У меня один кретин уже так все потерял (стерли все с сервера базы, оставили матерное всякое). Просто не надо совать RDP на штатный порт в инет всем. Тот кретин еще и у админа примитивный пароль оставил. Учетку админа, кстати, надо переименовывать. А подбор паролей отслеживать (к тому дня три пароль перебирали). И, наконец... Забудьте уже про винду на сервере...
█ 10.09.2017 09:14
RDP просто так наружу вообще никогда нельзя выпускать. Ну или если подключение по RDP идет только с 1 адреса (филиал) то разрешать подключение только с этого ip. Если клиентам нужно подключаться с разных мест обязательно наличие нормального VPN. Да, и настройка доступа к бекапам только той программе которая их делает, и запрещение доступа всем пользователям тоже очень полезная штука.
█ 10.09.2017 13:49
А ещё можно если льется на шару включать не только на время бэкапа ...
█ 10.09.2017 20:17
И лить не по кривой с кучей дыр самбе...
█ 11.09.2017 10:32
интересненько. в списке рекомендаций почему то не увидел предложение настроить блокировку учетных записей при нескольких неправильных попытках ввода пароля.
так же для хранения копий можно на ftp настроить прием информации, но не не позволять удалять принятое.
знаю одну контору где для хранения копий важной информации используется автоматическая сетевая библиотека на dvd-r, вот там записанное уже никак не удалить.
а по произошедшему, можно поподробнее узнать как все было настроено и работало? RDP висел на стандартном порту?
так же для хранения копий можно на ftp настроить прием информации, но не не позволять удалять принятое.
знаю одну контору где для хранения копий важной информации используется автоматическая сетевая библиотека на dvd-r, вот там записанное уже никак не удалить.
а по произошедшему, можно поподробнее узнать как все было настроено и работало? RDP висел на стандартном порту?
█ 11.09.2017 11:50
Просил не "умничать", да ладно... Наверное полезно дать, в том числе мне рекомендации по настройкам не требующим постоянного привлечения высококлассных админов и (или) дающим абсолютную гарантию от проникновения 
Тута Linux на сервер предлагали - бред!!! Знакомый прогер работает в конторе со всеми Linux ПК, что не защищает от постоянных (удивлялся, что мы долго продержались) атак, уничтожающих данные... и чуток, в меру своей компетенции рассказал об организационных мерах по зеркалированию данных... что впрочем не всегда, как надо помогает
Тута Linux на сервер предлагали - бред!!! Знакомый прогер работает в конторе со всеми Linux ПК, что не защищает от постоянных (удивлялся, что мы долго продержались) атак, уничтожающих данные... и чуток, в меру своей компетенции рассказал об организационных мерах по зеркалированию данных... что впрочем не всегда, как надо помогает
Цитата:
Тоже мимо... везде своя специфика! На сервере нужно постоянно пастись 1-3 работников одновременно, находящихся... один сейчас в испании baggio ➤ какая разница на стандартном или нет? за выставление порта наружу без ограничений по айпишинкам нужно расстреливать сразу...
█ 11.09.2017 11:56
есть разница. на стандартный порт сначала постучат скрипты которые пробегают по диапазону адресов с целью найти адрес поинтереснее. все больше вредоносного ПО пишется под конкретную цель. так что в первую очередь надо не стать такой целью.
Часовой пояс GMT +3, время: 17:14.
Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.