Блог Start X: заметки с тегом целевые атаки

Массовые атаки #Petya: первичный вектор заражения

Start X — Tue, 27 Jun 2017 23:03:55 +0300

Главной сегодняшней новостью стали массовые атаки вируса-шифровальщика в Украине. Мы опишем по крайней мере один вектор заражения, который стал известен нашим специалистам.

Сергей Волдохин
sv@antiphish.ru

По данным СМИ, «сотни» организаций в Украине пострадали от вируса-шифровальщика. Во всех пострадавших организациях компьютеры блокировались, а на экране появлялось сообщение с требованием выкупа:

источник

К сожалению, антвирусные вендоры, СМИ и специалисты по безопасности до последнего времени не давали ясных описаний, как именно мошенникам удалось так быстро заразить такое большое число крупных организаций.

Но для эффективной защиты от любой кибератаки важно понимать, какой первичный вектор заражения используется.

Что объединяет множество организаций в Украине? Как можно заразить множество организаций, компьютеры которых не доступны из интернета?

1. Изолированный сервер

Наши специалисты участвовали в расследовании инцидента, в результате которого на одном из серверов внутри организации появилось как раз такое сообщение о зашифрованных файлах:

Это был служебный сервер, на нем не работали сотрудники и не было сессий администраторов — заражение через флешки или фишинговые письма исключается.
Он не был доступен ни из интернета, ни из большинства других сетей организации — внешнее заражение через 0day в SMB или других публично доступных сервисах операционной системы исключается.
На нем был антивирус, установлены последние обновления и не было никаких программных уязвимостей (сервер буквально за день до инцидента проверялся коммерческим сканером уязвимостей) — заражение через 1day-уявзимости и массовые эксплойты исключается.

Первичный вектор заражения оставался неясен.

2. Сетевые подключения

Чтобы определить его, пришлось проводить анализ:

Журналов сетевых подключений с межсетевых экранов и маршрутизаторов.
Журналов веб-доступа через прокси (сервер имел доступ в интернет).
Событий безопасности с сервера (все экспортировалось в SIEM).

Ничего подозрительного обнаружено не было, кроме подобного HTTP GET-запроса:

На зараженной системе была установлена серверная часть программы «М.Е. Doc», которая именно сегодня несколько раз обращалась за обновлениями. Программа была обновлена, и обычный файл по указанному URL весил менее килобайта, а выглядел примерно так:

Однако сегодня в ответ на указанный запрос с сервера программы «М.Е. Doc» было загружено более 300 Килобайт.

Как раз после этого сервер перезагрузился и показал сообщение о зашифрованных файлах.

3. Первичный вектор заражения

С помощью программы «М.Е. Doc» (My Electronic Document) автоматизируются процессы отчености и документооборота более чем у 400 тысяч пользователей:

Сегодня на сайте производителя появилось сообщение о том, что на их сервера осуществляется вирусная атака:

Вероятно, для распространения внутри сети новый шифровальщик может использовать старые уязвимости и техники, аналогичные WannaCry.

Но, если бы атакующие выбирали самый эффективный вектор первичного заражения для множества организаций в Украине, взлом и компрометация механизма обновлений такой популярной программы выглядит почти идеальным вариантом.

Выводы

Вирусы могут распространяться через поддельные обновления программ.
На время активной эпидемии #Petya отключите функции автоматических обновлений «М.Е. Doc» и других недоверенных программ сторонних производителей.
Сегментируйте свою сеть, чтобы заражение одного компьютера или сервера не приводило к компрометации всех критичных систем.
Собирайте журналы безопасности и логи сетевых подключений в отдельном, защищенном хранилище. Эти данные очень помогут в расследовании подобных инцидентов.

P.S. Лаборатория Касперского подтверждает компрометацию механизма обновлений программы «М.Е. Doc» как один из первичных векторов заражения:

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролируем их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и учебные примеры мошеннических писем — в том числе те, что применяются для выполнения подобных атак.

Чтобы проверить своих пользователей, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы первыми узнать об актуальных технологиях фишинга и других атаках на человека.

Как действуют хакеры

Start X — Mon, 06 Jun 2016 01:56:51 +0300

и что делать, чтобы не стать их жертвой

Вы приезжаете в отель и подключаетесь к местной беспроводной сети. На экране появляется окно с предложением обновить флеш-плеер, вы соглашаетесь. Обновление устанавливается, но компьютер уже не совсем ваш: теперь его контролируют профессиональные хакеры. Они скопируют ваши файлы и почту, сохранят пароли и смогут управлять компьютером так, что вы этого не заметите.

Сергей Волдохин
sv@antiphish.ru

Как это произошло?

В 2014 году Лаборатория Касперского рассказала о проекте Darkhotel —
серии целевых атак на руководителей компаний и предпринимателей в Японии, Китае, России и других странах.

Статья «APT-атака Darkhotel. История необычного гостеприимства»

Для взлома компьютеров неизвестные хакеры использовали как минимум четыре метода. Мы разберем эти методы и объясним, как не стать жертвой в подобных ситуациях.

Атаки через провайдера

Провайдер контролирует все, что вы смотрите в интернете и определяет, какие данные вы получите.

Обычно провайдеры передают то, что вы просили: по ссылке blog.antiphish.ru откроется наш блог, а по ссылке www.facebook.com — сайт социальной сети. Но провайдер может показать вам все, что захочет: например, рекламный ролик, как при подключении к беспроводной сети московского метро.

Как действуют хакеры. Хакеры из группы Darkhotel взламывали провайдеров и получали полный доступ к беспроводным сетям крупных отелей и бизнес-центров. Среди тех, кто подключался к этим сетям, они выбирали жертву и показывали ей всплывающее окно с предложением обновить флеш-плеер, гугл хром или другую программу. Вместе с настоящим обновлением запускалась троянская программа, и компьютер оказывался под контролем хакеров.

Как защититься. Старайтесь не пользоваться публичными сетями: вместо этого подключайтесь через смартфон или интернет-модем. LTE-соединение, тариф без роуминга или местная SIM-карта — и пароль от вайфай можно не спрашивать.

Если работаете через публичную сеть, постарайтесь защитить все данные, которые передаете. Сразу после выхода в интернет подключайтесь к корпоративному VPN: весь трафик будет зашифрован, а провайдер не сможет перенаправить вас на произвольный сайт.

Если нет VPN, используйте шифрованное соединение на сайтах, с которыми работаете. Для этого набирайте https:// перед адресом: например, https://www.antiphish.ru вместо www.antiphish.ru. Это не защитит от переадресаций, но поможет сохранить личные данные, которые вы вводите на сайте: логины, пароли, номера платежных карт.

Чтобы не вводить https вручную, используйте специальное расширение браузера

Мобильный интернет ? VPN ? HTTPS

Фальшивые обновления

Опытные пользователи знают, как важно вовремя обновлять операционную систему, браузер и другие программы. Можешеники пользуются этим и создают специальные сайты, где под видом обновлений предлагают скачать вирус или троянскую программу:

Для просмотра видео сайт требует обновить версию флеш-плеера
и даже предлагает скачать дистрибутив

Пользователи, которые знают об этой схеме, уходят с таких сайтов, а если обновление действительно нужно — скачивают дистрибутив с сайта производителя или обновляют программу встроенными средствами. Когда есть доступ в интернет, это легко сделать:

Обновление Гугл Хром встроенными средствами браузера.

Как действуют хакеры. В атаках Darkhotel у хакеров был доступ к инфраструктуре провайдера, поэтому предложение установить фальшивое обновление появлялось еще до подключения к интернету. Пойти на сайт производителя или проверить обновление встроенными средствами не получалось. Пользователи, которые соглашались на установку, запускали троянскую программу и сдавали компьютер хакерам.

Как защититься. Обновляйте программы автоматически, встроенными средствами: через центр обновлений или специальный пункт меню.

Если обновляетесь вручную, не соглашайтесь на обновления из неизвестных источников: скачивайте обновления только с сайта производителя. Дождитесь момента, когда окажетесь в собственной сети, или используйте VPN: без этого вас могут отправить на поддельный сайт.

Включите автообновления ? скачивайте дистрибутив
только с сайта производителя

Торренты

Загрузка вредоносных файлов через торренты может заразить даже ваш смартфон. Этот способ работает и для массового заражения компьютеров.

статья «У вас в смартфоне дыра»

Как действуют хакеры. Группа Darkhotel создавала специальные торрент-файлы с контентом, который мог заинтересовать жертв. Файлы скачивались в архиве, и для открытия предлагалось использовать специальную программу-распаковщик. Программа извлекала файлы, но при этом устанавливала и запускала троянскую программу:

Интересный контент по-азиатски: чтобы посмотреть аниме,
придется запустить троянскую программу.

Как защититься. Не ищите бесплатный контент, или хотя бы делайте это на известных вам сайтах. Проверяйте то, что загрузили: странно видеть в архиве программу, если вы скачивали фильм.

Не открывайте подозрительные файлы

Целевой фишинг

В 2015 году группа Darkhotel изменила тактику. Главным способом заражения стал целевой фишинг — рассылка специальных электронных писем тем, кого хакеры выбирали в качестве жертв.

Как действуют хакеры. Пользователи получали письмо с вложенным архивом, внутри которого была троянская программа. Хакеры пользовались техникой переименования файлов, в результате которой у файла менялось видимое расширение: вместо .exe или .scr (настоящие расширения) пользователи видели .jpg — поддельное расширение . Открыть файл с картинкой казалось безопасно.

По расширениям (.doc) и иконкам оба файла похожи на текстовые документы. На самом деле, один из них — программа.

Как защититься. Не открывайте вложения, которые пришли от неизвестных отправителей.

Если письмо важное и открыть вложение очень нужно, внимательно смотрите на содержимое. Для этого распакуйте архив в отдельную папку и выберите представление, в котором виден тип каждого файла, или посмотрите свойства файла:

Программа, похожая на текстовый документ.

Выводы

Старайтесь не пользоваться публичными сетями, а если приходится —
работайте через VPN.
Заходите на все сайты через HTTPS-соединение.
Включите автоматические обновления всех программ.
Если обновляетесь вручную — скачивайте дистрибутивы только с сайта производителя.
Проверяйте загруженные архивы. Файлы могут быть переименованы: используйте проводник, чтобы увидеть настоящий тип каждого файла.
Не запускайте неизвестные программы, скринсейверы и любые файлы, в которых не уверены.

О компании «Антифишинг»

Мы обучаем сотрудников и контролируем их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии — в том числе те, которые применяет группа Darkhotel.

Напишите нам, чтобы проверить своих пользователей.

Источники изображений: