![](\"http:\/\/blog.antiphish.ru\/pictures\/svoldokhin_new.jpg\")
\r\nСергей Волдохин
\r\nsv@antiphish.ru<\/a>\r\n<\/p>\n
По данным СМИ, «сотни» организаций в Украине пострадали от вируса-шифровальщика<\/a>. Во всех пострадавших организациях компьютеры блокировались, а на экране появлялось сообщение с требованием выкупа: К сожалению, антвирусные вендоры, СМИ и специалисты по безопасности до последнего времени не давали ясных описаний, как именно мошенникам удалось так быстро заразить такое большое число крупных организаций.<\/p>\n Но для эффективной защиты от любой кибератаки важно понимать, какой первичный вектор заражения используется.<\/p>\n Что объединяет множество организаций в Украине? Как можно заразить множество организаций, компьютеры которых не доступны из интернета? <\/i><\/p>\n Наши специалисты участвовали в расследовании инцидента, в результате которого на одном из серверов внутри организации появилось как раз такое сообщение о зашифрованных файлах:<\/p>\n Первичный вектор заражения оставался неясен.<\/p>\n Чтобы определить его, пришлось проводить анализ:<\/p>\n Ничего подозрительного обнаружено не было, кроме подобного HTTP GET-запроса:<\/p>\n На зараженной системе была установлена серверная часть программы «М.Е. Doc»<\/a>, которая именно сегодня несколько раз обращалась за обновлениями. Программа была обновлена, и обычный файл по указанному URL весил менее килобайта, а выглядел примерно так:<\/p>\n Однако сегодня в ответ на указанный запрос с сервера программы «М.Е. Doc» было загружено более 300 Килобайт.<\/p>\n Как раз после этого сервер перезагрузился и показал сообщение о зашифрованных файлах.<\/p>\n С помощью программы «М.Е. Doc» (My Electronic Document) автоматизируются процессы отчености и документооборота более чем у 400 тысяч пользователей:<\/p>\n Сегодня на сайте производителя появилось сообщение о том, что на их сервера осуществляется вирусная атака<\/a>:<\/p>\n Вероятно, для распространения внутри сети новый шифровальщик может использовать старые уязвимости и техники, аналогичные WannaCry.<\/p>\n Но, если бы атакующие выбирали самый эффективный вектор первичного заражения для множества организаций в Украине, взлом и компрометация механизма обновлений такой популярной программы выглядит почти идеальным вариантом.<\/p>\n P.S. Лаборатория Касперского подтверждает<\/a> компрометацию механизма обновлений программы «М.Е. Doc» как один из первичных векторов заражения:<\/p>\n О компании «Антифишинг»<\/b><\/p>\n Мы помогаем обучить сотрудников и контролируем их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и учебные примеры мошеннических писем — в том числе те, что применяются для выполнения подобных атак.<\/p>\n Чтобы проверить своих пользователей, заполните форму на сайте<\/a> или напишите нам: ask@antiphish.ru<\/a><\/p>\n<\/div> Оставайтесь в безопасности<\/b><\/p>\n Подпишитесь на рассылку<\/a>, чтобы первыми узнать об актуальных технологиях фишинга и других атаках на человека.<\/p>\n<\/div>",
"date_published": "2017-06-27T23:03:55+03:00",
"date_modified": "2020-10-26T16:58:48+03:00",
"_date_published_rfc2822": "Tue, 27 Jun 2017 23:03:55 +0300",
"_rss_guid_is_permalink": "false",
"_rss_guid": "28",
"_e2_data": {
"is_favourite": false,
"links_required": [],
"og_images": []
}
},
{
"id": "1",
"url": "https:\/\/blog.startx.team\/all\/darkhotel\/",
"title": "Как действуют хакеры",
"content_html": " и что делать, чтобы не стать их жертвой<\/p>\n Вы приезжаете в отель и подключаетесь к местной беспроводной сети. На экране появляется окно с предложением обновить флеш-плеер, вы соглашаетесь. Обновление устанавливается, но компьютер уже не совсем ваш: теперь его контролируют профессиональные хакеры. Они скопируют ваши файлы и почту, сохранят пароли и смогут управлять компьютером так, что вы этого не заметите. <\/i><\/p>\n \r\n\r\nСергей Волдохин В 2014 году Лаборатория Касперского рассказала о проекте Darkhotel — Статья «APT-атака Darkhotel. История необычного гостеприимства<\/u>»<\/a><\/p>\n Для взлома компьютеров неизвестные хакеры использовали как минимум четыре метода. Мы разберем эти методы и объясним, как не стать жертвой в подобных ситуациях.<\/p>\n Провайдер контролирует все, что вы смотрите в интернете и определяет, какие данные вы получите.<\/p>\n Обычно провайдеры передают то, что вы просили: по ссылке blog.antiphish.ru<\/a> откроется наш блог, а по ссылке www.facebook.com<\/a> — сайт социальной сети. Но провайдер может показать вам все, что захочет: например, рекламный ролик, как при подключении к беспроводной сети московского метро.<\/p>\n Как действуют хакеры.<\/b> Хакеры из группы Darkhotel взламывали провайдеров и получали полный доступ к беспроводным сетям крупных отелей и бизнес-центров. Среди тех, кто подключался к этим сетям, они выбирали жертву и показывали ей всплывающее окно с предложением обновить флеш-плеер, гугл хром или другую программу. Вместе с настоящим обновлением запускалась троянская программа, и компьютер оказывался под контролем хакеров.<\/p>\n Как защититься.<\/b> Старайтесь не пользоваться публичными сетями: вместо этого подключайтесь через смартфон или интернет-модем. LTE-соединение, тариф без роуминга или местная SIM-карта — и пароль от вайфай можно не спрашивать.<\/p>\n Если работаете через публичную сеть, постарайтесь защитить все данные, которые передаете. Сразу после выхода в интернет подключайтесь к корпоративному VPN: весь трафик будет зашифрован, а провайдер не сможет перенаправить вас на произвольный сайт.<\/p>\n Если нет VPN, используйте шифрованное соединение на сайтах, с которыми работаете. Для этого набирайте https:\/\/ перед адресом: например, https:\/\/www.antiphish.ru<\/a> вместо www.antiphish.ru. Это не защитит от переадресаций, но поможет сохранить личные данные, которые вы вводите на сайте: логины, пароли, номера платежных карт. <\/p>\n Чтобы не вводить https вручную, используйте специальное расширение браузера<\/a><\/p>\n Мобильный интернет ? VPN ? HTTPS<\/p>\n<\/div> Опытные пользователи знают, как важно вовремя обновлять операционную систему, браузер и другие программы. Можешеники пользуются этим и создают специальные сайты, где под видом обновлений предлагают скачать вирус или троянскую программу:<\/p>\n Для просмотра видео сайт требует обновить версию флеш-плеера Пользователи, которые знают об этой схеме, уходят с таких сайтов, а если обновление действительно нужно — скачивают дистрибутив с сайта производителя или обновляют программу встроенными средствами. Когда есть доступ в интернет, это легко сделать:<\/p>\n Обновление Гугл Хром встроенными средствами браузера.<\/p>\n<\/div> Как действуют хакеры.<\/b> В атаках Darkhotel у хакеров был доступ к инфраструктуре провайдера, поэтому предложение установить фальшивое обновление появлялось еще до подключения к интернету. Пойти на сайт производителя или проверить обновление встроенными средствами не получалось. Пользователи, которые соглашались на установку, запускали троянскую программу и сдавали компьютер хакерам.<\/p>\n Как защититься.<\/b> Обновляйте программы автоматически, встроенными средствами: через центр обновлений или специальный пункт меню.<\/p>\n Если обновляетесь вручную, не соглашайтесь на обновления из неизвестных источников: скачивайте обновления только с сайта производителя. Дождитесь момента, когда окажетесь в собственной сети, или используйте VPN: без этого вас могут отправить на поддельный сайт.<\/p>\n Включите автообновления ? скачивайте дистрибутив Загрузка вредоносных файлов через торренты может заразить даже ваш смартфон. Этот способ работает и для массового заражения компьютеров.<\/p>\n статья «У вас в смартфоне дыра<\/u>»<\/a><\/p>\n Как действуют хакеры.<\/b> Группа Darkhotel создавала специальные торрент-файлы с контентом, который мог заинтересовать жертв. Файлы скачивались в архиве, и для открытия предлагалось использовать специальную программу-распаковщик. Программа извлекала файлы, но при этом устанавливала и запускала троянскую программу:<\/p>\n Интересный контент по-азиатски: чтобы посмотреть аниме, Как защититься.<\/b> Не ищите бесплатный контент, или хотя бы делайте это на известных вам сайтах. Проверяйте то, что загрузили: странно видеть в архиве программу, если вы скачивали фильм.<\/p>\n Не открывайте подозрительные файлы<\/p>\n<\/div> В 2015 году группа Darkhotel изменила тактику. Главным способом заражения стал целевой фишинг — рассылка специальных электронных писем тем, кого хакеры выбирали в качестве жертв.<\/p>\n Как действуют хакеры.<\/b> Пользователи получали письмо с вложенным архивом, внутри которого была троянская программа. Хакеры пользовались техникой переименования файлов, в результате которой у файла менялось видимое расширение: вместо .exe или .scr (настоящие расширения) пользователи видели .jpg — поддельное расширение . Открыть файл с картинкой казалось безопасно.<\/p>\n По расширениям (.doc) и иконкам оба файла похожи на текстовые документы. На самом деле, один из них — программа. <\/p>\n<\/div> Как защититься.<\/b> Не открывайте вложения, которые пришли от неизвестных отправителей.<\/p>\n Если письмо важное и открыть вложение очень нужно, внимательно смотрите на содержимое. Для этого распакуйте архив в отдельную папку и выберите представление, в котором виден тип каждого файла, или посмотрите свойства файла:<\/p>\n Программа, похожая на текстовый документ. <\/p>\n<\/div> О компании «Антифишинг»<\/b><\/p>\n Мы обучаем сотрудников и контролируем их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии — в том числе те, которые применяет группа Darkhotel.<\/p>\n Напишите нам<\/a>, чтобы проверить своих пользователей.<\/p>\n<\/div> Источники изображений:<\/p>\n
\n![](\"http:\/\/blog.antiphish.ru\/pictures\/smarket.jpg\")
\nисточник<\/a><\/i><\/p>\n1. Изолированный сервер<\/h2>\n
![](\"http:\/\/blog.antiphish.ru\/pictures\/md-screen.png\")
<\/p>\n\n
2. Сетевые подключения<\/h2>\n
\n
![](\"http:\/\/blog.antiphish.ru\/pictures\/md-url.png\")
<\/p>\n![](\"http:\/\/blog.antiphish.ru\/pictures\/last-ver_1.png\")
<\/p>\n3. Первичный вектор заражения<\/h2>\n
![](\"http:\/\/blog.antiphish.ru\/pictures\/md.jpg\")
<\/p>\n![](\"http:\/\/blog.antiphish.ru\/pictures\/md-aware.png\")
<\/p>\nВыводы<\/h2>\n
\n
![](\"http:\/\/blog.antiphish.ru\/pictures\/lk-md.png\")
<\/p>\n
\r\nsv@antiphish.ru<\/a>\r\n<\/p>\n![](\"\/pictures\/wtf.jpg\")
\nКак это произошло?<\/p>\n<\/div>
серии целевых атак на руководителей компаний и предпринимателей в Японии, Китае, России и других странах. <\/p>\nАтаки через провайдера<\/h2>\n
Фальшивые обновления<\/h2>\n
![](\"\/pictures\/fake-flash-update.png\")
<\/p>\n
и даже предлагает скачать дистрибутив<\/p>\n<\/div>![](\"\/pictures\/chrome-update.png\")
<\/p>\n
только с сайта производителя<\/p>\n<\/div>Торренты<\/h2>\n
![](\"\/pictures\/rar_1.png\")
<\/p>\n
придется запустить троянскую программу.<\/p>\n<\/div>Целевой фишинг<\/h2><\/p>\n
![](\"\/pictures\/docs.png\")
<\/p>\n![](\"\/pictures\/doc-exe.png\")
<\/p>\nВыводы<\/h2>\n
\n
работайте через VPN.<\/li>\n\n