[ОТВЕТИТЬ]
10.09.2017 08:18
AndreyZh
 
Вот в одной из контатирующих со мной контор возникла компьютерная катастрофа. Уже два года назад была "успешная" атака шифровальщиков по которой лаборатория Касперского "расписалась в собственном бессилии" и в плане защиты была реализована, как казалось надежная защита от этого, а точнее "правила доступа" на сервере, методы автоматического сохранения данных на сервере и внешний ПК, теневые копии, два вида антивируса (на сервере DrWeb) на ПК сохранения AVP.

Замечу!!! Этим занимались опытные профессионалы с отличной репутацией и тема "предупреждения", а не "умничания", как надо БЫЛО делать!

На сервер можно (нужно постоянно) входить из вне, имелся статичный адрес и пароль администратора длинной 23 символа (латынь, цифра, русские буквы, разные шрифты)... Который, как показали вскрывается прогой (не сказали какой, но показали) за 10 минут. Понятно, что теневые копии, диск оперативного сохранения на сервере и ПК для сохранения были доступны с сервера (для пользователей других ПК, но не админа сервера прописаны правила и ограничения).

Что случилось:

Червь из интернет по адресу наткнулся на сервер (хотя возможно всё было известно, т.к. была кучка недоброжелателей, знающих атрибуты входа на него); "штатными" средствами установлена "нормальная" программа (следы, время её установки определились), которая удалила, перезаписав сектора "мусором" всю информацию с доступных из сервера расшаренных ресурсов; затем она деинсталировала себя и стерла свои файлы.

На каждом стертом диске оставлен текстовый файл с просьбой о письме, если нужна инфа (по письму о деньгах за якобы возврат данных из облака, куда она типа сохранила данные). Конечно это было враньё: уничтожено 5 терабайт инфы, со скоростью провайдера это качается несколько суток, а программа уничтожение "прожила" на сервере 1 час.

Начальство, как обычно "удивляется", почему "мы это допустили" и почему "мы такие тупые спецы", но как бы ни было нужно придумать, как в дальнейшем себя обезопасить... После всех консультаций - назад в "каменный век"!

Никаких сценариев, только ручная работа по сохранению важных данных с отключением устройств сохранения, выключение серверов на нерабочее время!!!

Переписка с AVP & DrWeb показала, что в таких ситуациях они не помощники... Более того они "отмахнулись" - это НЕ ВИРУСЫ, т.е. к ним "вопросов не должно быть"! Приведу подробный ответ от DrWeb, в котором есть полезные рекомендации:

Цитата:
Здравствуйте!

Если recuva показывает, что файл утрачен, то его восстановление, вероятней всего, невозможно. Можете попробовать обратиться к специалистам по восстановлению данных с дисков (рекламная ссылка) - если они подтвердят, то данные, скорей всего, утрачены безвозвратно.

К сожалению, стопроцентную защиту от потери данных при подобного рода атаках ни один антивирус дать не может. Предотвратить потерю информации при возможных повторениях таких атак можно только одним способом: организовать регулярное резервное копирование ценных данных таким образом, чтобы ни с одного компьютера в сети не было одновременного доступа на запись к оригиналам и к резервным копиям (к резервным копиям лучше вообще никого не пускать на запись, кроме самого приложения, выполняющего резервное копирование). Хорошей практикой резервного копирования является следующее: в каждый момент времени должны существовать минимум две (последняя и предпоследняя) резервных копии; бэкап нельзя хранить в той системе, для которой он создан; и т.д. по учебнику.

Судя по описанию ситуации, злоумышленних подключался к пострадавшему серверу через RDP, подобрав или похитив пароль (причём пароль, похоже, был с администраторскими правами). Если подключение к серверу по RDP из Интернета нужно для работы, так что его нельзя заблокировать, для снижения риска повторной атаки нужно выполнить следующее:

1. Обязательно проведите аудит учётных записей пользователей на предмет надёжности паролей. Все пароли в любом случае поменять. Все новые пароли должны соответсвовать стандартным правилам безопасности, то есть пароль должен быть не короче восьми символов, несмысловой (Qwerty12 - это уже смысловой) и должен содержать символы по крайней мере трёх наборов из следующих четырёх: строчная латиница, заглавная латиница, цифры, спецсимволы.

Перед выдачей новых паролей сотрудникам, подключающимся удалённо с домашних компьютеров или из других офисов, обяжите сотрудников провести антивирусную проверку систем, где будут использоваться эти пароли.

2. C помощью сетевого экрана ограничьте RDP-доступ к компьютеру, чтобы подключение по RDP было разрешено только из доверенных подсетей, откуда действительно нужно подключение (а если есть возможность, лучше разрешить подключение только с заданных IP-адресов), а подключения из других подсетей блокировались.

3. Для усложнения проникновения можно вообще запретить доступ к серверу из Интернета, оставив разрешение только на подключение из локальной сети, а для внешних подключений организовать VPN-соединение с локальной сетью (которое тоже можно ограничить по разрешённым сетям). Тогда атакующим придётся сначала подобрать пароль для VPN, а потом ещё подбирать пароль для RDP. Естественно, логины и пароли для RDP и VPN не должны совпадать.

Для снижения риска запуска пользователями новых вредоносных программ, ещё не попавших в базы антивирусов, рекомендуем дополнительно следующие меры:

У пользователей не должно быть администраторских прав в системе (заодно отсутствие администраторских прав не позволит удалить антивирус). Для этих пользователей должен стоять запрет на запуск исполняемых файлов из каких-либо каталогов, кроме разрешённых администратором (в первую очередь, должен быть запрет на запуск из домашнего каталога и со сменных носителей), и запрет на запись в каталоги, из которых можно запускать файлы. О политиках ограниченного использования программ можно почитать на сайте Microsoft. Вот одна из статей на эту тему:
Дополнительно такой запрет не даст пользователям запускать собственные приложения, ненужные для работы (агенты систем обмена сообщениями, игры, portable-версии программ и т.п.).

Проведите обучение пользователей компьютеров, чтобы они знали, что любой файл, полученный извне по электронной почте, через ICQ, через Skype или другим способом даже от ближайшего знакомого или партнёра, может содержать вредоносный код, который не детектируется антивирусами. Вредоносные программы семейства Trojan.Encoder сейчас очень часто распространяются в виде электронных писем якобы из суда или из других организаций, а также под видом резюме или бухгалтерских документов (счета, платёжные поручения, акты и т.п.), причём рассылка может выполняться с заражённого компьютеря от имени пользователя этого компьютера по адресам, найденным в его переписке, поэтому если от кого-то даже хорошо знакомого без предварительного согласования приходит файл, необходимо связаться с отправителем по другому каналу связи (лучше всего голосом по телефону или через Skype) и узнать, действительно ли он отправлял этот файл. Если же под видом документа приходит исполняемый файл, то с вероятностью практически стопроцентной это не документ, а что-то вредоносное, так что первое, что нужно сделать с таким файлом, если антивирус на него не реагирует, - это отправить его в нашу лабораторию для анализа и дождаться ответа.

Дополнительно рекомендуем отключить в свойствах папок для всех пользователей и всех папок режим "Скрывать расширения для зарегистрированных типов файлов", чтобы система отображала полные расширения и проинструктировать пользователей на тему файлов с исполняемыми расширениями: lnk, exe, scr, com, bat, cmd, pif, js, vbs, wsf, jar, hta.

По возможности, организуйте на почтовом сервере фильтрацию писем, содержащих вложения этих типов как в явном виде, так и в архивах, и запретите подключение с компьютеров пользователей к сторонним почтовым серверам.

Подробные сведения по предотвращению атак шифрующих троянцев Вы можете получить из курса DWCERT-070-6 «Защита рабочих станций и файловых серверов Windows от действий программ-шифровальщиков», выложенного на странице
P.S. Во время очередного "полового акта" с начальством перевели это в термины "ресурсы", на что было сказано "и не мечтайте"!
10.09.2017 08:35
OlegON
 
Цитата:
AndreyZh теневые копии
недоос же... в инет еще смотрела? ну-ну... дальше можно было и не читать

Цитата:
AndreyZh Конечно это было враньё
не обязательно было куда-то сливать. может, мусором был не мусор, а что-то зашифрованное

Цитата:
AndreyZh почему "мы такие тупые спецы"
хм... просто пользователи Windows...

Судя по всему, не вирус и не червь. У меня один кретин уже так все потерял (стерли все с сервера базы, оставили матерное всякое). Просто не надо совать RDP на штатный порт в инет всем. Тот кретин еще и у админа примитивный пароль оставил. Учетку админа, кстати, надо переименовывать. А подбор паролей отслеживать (к тому дня три пароль перебирали). И, наконец... Забудьте уже про винду на сервере...
10.09.2017 09:14
DEeMON
 
RDP просто так наружу вообще никогда нельзя выпускать. Ну или если подключение по RDP идет только с 1 адреса (филиал) то разрешать подключение только с этого ip. Если клиентам нужно подключаться с разных мест обязательно наличие нормального VPN. Да, и настройка доступа к бекапам только той программе которая их делает, и запрещение доступа всем пользователям тоже очень полезная штука.
10.09.2017 13:49
baggio
 
А ещё можно если льется на шару включать не только на время бэкапа ...
10.09.2017 20:17
OlegON
 
И лить не по кривой с кучей дыр самбе...
11.09.2017 10:32
mamont
 
интересненько. в списке рекомендаций почему то не увидел предложение настроить блокировку учетных записей при нескольких неправильных попытках ввода пароля.
так же для хранения копий можно на ftp настроить прием информации, но не не позволять удалять принятое.
знаю одну контору где для хранения копий важной информации используется автоматическая сетевая библиотека на dvd-r, вот там записанное уже никак не удалить.

а по произошедшему, можно поподробнее узнать как все было настроено и работало? RDP висел на стандартном порту?
11.09.2017 11:04
OlegON
 
Цитата:
mamont не увидел предложение
админов поменять :)
11.09.2017 11:14
baggio
 
Цитата:
mamont можно поподробнее узнать как все было настроено и работало? RDP висел на стандартном порту?

какая разница на стандартном или нет? за выставление порта наружу без ограничений по айпишинкам нужно расстреливать сразу...
11.09.2017 11:50
AndreyZh
 
Просил не "умничать", да ладно... Наверное полезно дать, в том числе мне рекомендации по настройкам не требующим постоянного привлечения высококлассных админов и (или) дающим абсолютную гарантию от проникновения

Тута Linux на сервер предлагали - бред!!! Знакомый прогер работает в конторе со всеми Linux ПК, что не защищает от постоянных (удивлялся, что мы долго продержались) атак, уничтожающих данные... и чуток, в меру своей компетенции рассказал об организационных мерах по зеркалированию данных... что впрочем не всегда, как надо помогает

Цитата:
baggio какая разница на стандартном или нет? за выставление порта наружу без ограничений по айпишинкам нужно расстреливать сразу...
Тоже мимо... везде своя специфика! На сервере нужно постоянно пастись 1-3 работников одновременно, находящихся... один сейчас в испании
11.09.2017 11:56
mamont
 
есть разница. на стандартный порт сначала постучат скрипты которые пробегают по диапазону адресов с целью найти адрес поинтереснее. все больше вредоносного ПО пишется под конкретную цель. так что в первую очередь надо не стать такой целью.
11.09.2017 12:40
baggio
 
Цитата:
AndreyZh Тоже мимо... везде своя специфика! На сервере нужно постоянно пастись 1-3 работников одновременно, находящихся... один сейчас в испании
да успокойтесь нет никакой специфики... просто реально нужно заворачивать в vpn.. если уж невтепеж можно было бы rdp в ssh тоннель завернуть...

конечно от заказа конкретного не спасет но от китайский школьников легко...
11.09.2017 12:44
OlegON
 
Цитата:
AndreyZh дающим абсолютную гарантию от проникновения
найдите тех, кто вам это пообещает и это будут мошенники :) ломается все
Цитата:
AndreyZh Linux на сервер предлагали - бред!!! Знакомый прогер работает в конторе со всеми Linux ПК, что не защищает от постоянных атак
Linux значительно проще защитить, чем винду. Спорить не буду. У меня "атаки" приблизительно раз в минуту. Проблем нет, тьфу-тьфу-тьфу.

Рекомендации уже выкладывали, если хотите - заведем тему, еще раз соберем.
11.09.2017 14:53
AndreyZh
 
Извините уважаемые специалисты за тон!!!

Просто в один из "домов" пришла беда, а советы "задним числом" типа, что "надо было это или что за ламеры не продумали" сейчас, когда нужно сначала срочно восстановить нечто работающее, а только затем думать о будущем...

Это синдром сантехника - ИМХО. Все наверняка встречались, когда он приходит, первым делом обсирает пердшественика, а сам не менее кривожопо делает работу, обязательно об чём-то "забыв"?

Возможно зря создал эту тему? Просто встретился абсолютно новый тип атаки на компьютерные ресурсы неизвестный даже лабораториям Касперского и DrWeb - вот и сдуру решил предупредить всех... Возможно и другие с этим встречались, но google "молчит в тряпочку". Пока доступно размещу текст письма "попрошайки" во вложении


Цитата:
baggio да успокойтесь нет никакой специфики... просто реально нужно заворачивать в vpn.. если уж невтепеж можно было бы rdp в ssh тоннель завернуть...

конечно от заказа конкретного не спасет но от китайский школьников легко...
Цитата:
OlegON найдите тех, кто вам это пообещает и это будут мошенники :) ломается все
Linux значительно проще защитить, чем винду. Спорить не буду. У меня "атаки" приблизительно раз в минуту. Проблем нет, тьфу-тьфу-тьфу.

Рекомендации уже выкладывали, если хотите - заведем тему, еще раз соберем.
Повторюсь!!! Спецы AVP & DrWeb не нашли способ проникновения на сервер, а посему вполне допустима установка "подарка" каким-то из бывших работников... и не факт, что вход и закладка был на сервер из интернет, а не на сервер с другого ПК локальной сети... Ни о одного из этих способов вышеприведенные рекомендации не спасут...
Вложения
Тип файла: txt ИНФОРМАЦИЯ!!!.txt (465 байт, 10 просмотров)
11.09.2017 15:35
Fomka
 
AndreyZh, да правильно, что тему создал. Надо людям иногда напоминать. Если кого-то не ломали, это не значит, что не шмогли. Просто не было того кому это было очень сильно нужно.
11.09.2017 16:32
OlegON
 
Ни разу не хотел поглумиться или аналогичное. Взломать могут всех.

Показалось, что заметка выставлена для обсуждения причин. Судя по описанию, причины в неграмотности админов, что я и выдал, не потому, что поиздеваться хочу и не по поводу, а просто описанное странно, как велогонки с закрытыми глазами. Как уже говорил, аналогичное мне попадалось, не один раз. Кстати, во втором разе винду заменили на Линукс и при том, что человек не поменялся, благополучно все работает уже раза в три дольше, чем до этого на винде.

То, что спецы не нашли следов, не говорит ровным счетом ничего. Следы достаточно легко спрятать, а спецы, во-первых, криворукие, есть везде, а во-вторых, бывают немотивированные искать черную кошку в темной комнате. Смысла в этом нет.

Закладка от старых пользователей исключается в случае грамотного админа. От админа, да... Но, ссориться с админом не надо - факт.
11.09.2017 16:44
mamont
 
если письмо попрошайка говорит про облако, может стоит посмотреть детальную статистику от провайдера? может возможно увидеть направление атаки, или место утечки данных?
тем более что инфраструктура провайдера отдельно от клиентской, данные по статистике потереть сложнее.
11.09.2017 16:57
AndreyZh
 
Цитата:
mamont если письмо попрошайка говорит про облако, может стоит посмотреть детальную статистику от провайдера? может возможно увидеть направление атаки, или место утечки данных?
тем более что инфраструктура провайдера отдельно от клиентской, данные по статистике потереть сложнее.
Старался очень подробно описать ситуацию, например:

Цитата:
AndreyZh ...Червь из интернет по адресу наткнулся на сервер (хотя возможно всё было известно, т.к. была кучка недоброжелателей, знающих атрибуты входа на него); "штатными" средствами установлена "нормальная" программа (следы, время её установки определились), которая удалила, перезаписав сектора "мусором" всю информацию с доступных из сервера расшаренных ресурсов; затем она деинсталировала себя и стерла свои файлы.

На каждом стертом диске оставлен текстовый файл с просьбой о письме, если нужна инфа (по письму о деньгах за якобы возврат данных из облака, куда она типа сохранила данные). Конечно это было враньё: уничтожено 5 терабайт инфы, со скоростью провайдера это качается несколько суток, а программа уничтожение "прожила" на сервере 1 час...
P.S. Службы техподдержки Каспера и DrWeb реально пытались (возможно недостаточно?) помочь. Однако с их точки зрения - это не вирус!
11.09.2017 17:14
OlegON
 
Цитата:
AndreyZh Однако с их точки зрения - это не вирус!
я же дал диагноз, даже бесплатно :)
Цитата:
OlegON Судя по всему, не вирус и не червь.
не думаю, что провайдера интересует что-то конкретное у пользователя прикрывать и мониторить... у него и так забот хватает...
12.09.2017 00:35
baggio
 
Цитата:
Сообщение от AndreyZh ➤
...Червь из интернет по адресу наткнулся на сервер (хотя возможно всё было известно, т.к. была кучка недоброжелателей, знающих атрибуты входа на него); "штатными" средствами установлена "нормальная" программа (следы, время её установки определились), которая удалила, перезаписав сектора "мусором" всю информацию с доступных из сервера расшаренных ресурсов; затем она деинсталировала себя и стерла свои файлы.

На каждом стертом диске оставлен текстовый файл с просьбой о письме, если нужна инфа (по письму о деньгах за якобы возврат данных из облака, куда она типа сохранила данные). Конечно это было враньё: уничтожено 5 терабайт инфы, со скоростью провайдера это качается несколько суток, а программа уничтожение "прожила" на сервере 1 час...
Дак вам про то и толкуют что:

а) рдп наружу низя... оно дырявое было\есть\будет
б) да это не вирус... пока нет вирусов с искуственным интелектом которые сами ставят программы и избирательно подчищяют данные...
в) логическим выводом должно стать то что кто то "слил" данные для входа и пришел "писец" в лице конкретного человека... а не вируса с ИИ...
г) все остальное лишь попытка замаскировать все под вирус...

я думаю вам и самим это понятно... просто зачем писать и валить на вирусы?
19.09.2017 08:55
AndreyZh
 
Вот уже на 80% восстановлена важная информация... а с остальным... но поднял тему не по этому... Так и не разрешенным остался вопрос - убран или затаился зловред в системе? Посему пока выключаем технику на ночь и на выходные, а на отключаемом и локальном внешнем диске создаем ежедневные копии важных данных. Однако и не по этому поднял тему!

Одна из моих "любимых" и считаю полезных программ CCleaner, которая стоит почти на всех ПК и серверах сетей, правда, если устанавливаю я, то, как правило отключаю автообновление. Так вот и новость:

Цитата:
Зараженную утилиту CCleaner скачало более двух миллионов пользователей

Популярная утилита CCleaner (сокращение от «Crap Cleaner»), которая должна очищать систему для повышения ее производительности, была взломана для распространения вредоносного ПО на миллионы компьютеров пользователей по всему миру.

На что способен взломанный CCleaner?

Одна из версий чрезвычайно популярного приложения оказалось заражена зловредом, позволяющим загружать и устанавливать другое подозрительное программное обеспечение, в том числе, для вымогательства и шпионажа.

На данный момент известно, что вредоносная программа была также запрограммирована на сбор самых разных пользовательских данных, в их числе:

- Имя компьютера
- Список установленных программ, включая обновления Windows
- Список запущенных процессов
- MAC-адреса первых трех сетевых адаптеров
- Дополнительная информация о работе системы
Подробнее:

P.S. Таким образом и эта програмулина могла стать инициатором и швейцаром атаки... и от неё не было возможности защититься штатными средствами?
Опции темы


Часовой пояс GMT +3, время: 02:07.

 

Форум сделан на основе vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.