{
    "version": "https:\/\/jsonfeed.org\/version\/1",
    "title": "Блог Start X: заметки с тегом массовые атаки",
    "_rss_description": "как поведение людей влияет на безопасность Наши продукты • Дайджесты • Статьи • Список постов",
    "_rss_language": "ru",
    "_itunes_email": "",
    "_itunes_categories_xml": "",
    "_itunes_image": "",
    "_itunes_explicit": "",
    "home_page_url": "https:\/\/blog.startx.team\/tags\/massovye-ataki\/",
    "feed_url": "https:\/\/blog.startx.team\/tags\/massovye-ataki\/json\/",
    "icon": "https:\/\/blog.startx.team\/user\/userpic@2x.jpg?1687861408",
    "author": {
        "name": "Start X",
        "url": "https:\/\/blog.startx.team\/",
        "avatar": "https:\/\/blog.startx.team\/user\/userpic@2x.jpg?1687861408"
    },
    "items": [
        {
            "id": "28",
            "url": "https:\/\/blog.startx.team\/all\/petya-iiv\/",
            "title": "Массовые атаки #Petya: первичный вектор заражения",
            "content_html": "<p main>\r\n<i>Главной сегодняшней новостью стали массовые атаки вируса-шифровальщика в Украине. Мы опишем по крайней мере один вектор заражения, который стал известен нашим специалистам. <\/i><\/p>\n<p aside style=\"opacity: 1; text-align: center;\">\r\n<img src=\"http:\/\/blog.antiphish.ru\/pictures\/svoldokhin_new.jpg\" width=\"40%\"\/> <br \/>\r\nСергей Волдохин <br \/>\r\n<a href=\"mailto:sv@antiphish.ru\">sv@antiphish.ru<\/a>\r\n<\/p>\n<p>По данным СМИ, <a href=\"https:\/\/vc.ru\/p\/petya-attack\">«сотни» организаций в Украине пострадали от вируса-шифровальщика<\/a>. Во всех пострадавших организациях компьютеры блокировались, а на экране появлялось сообщение с требованием выкупа:<br \/><br \/>\n<img src=\"http:\/\/blog.antiphish.ru\/pictures\/smarket.jpg\" \/><br \/>\n<i><a href=\"https:\/\/habrahabr.ru\/post\/331762\/\">источник<\/a><\/i><\/p>\n<p>К сожалению, антвирусные вендоры, СМИ и специалисты по безопасности до последнего времени не давали ясных описаний, как именно мошенникам удалось так быстро заразить такое большое число крупных организаций.<\/p>\n<p>Но для эффективной защиты от любой кибератаки важно понимать, какой первичный вектор заражения используется.<\/p>\n<p><i>Что объединяет множество организаций в Украине? Как можно заразить множество организаций, компьютеры которых не доступны из интернета? <\/i><\/p>\n<h2>1. Изолированный сервер<\/h2>\n<p>Наши специалисты участвовали в расследовании инцидента, в результате которого на одном из серверов внутри организации появилось как раз такое сообщение о зашифрованных файлах:<\/p>\n<p><img src=\"http:\/\/blog.antiphish.ru\/pictures\/md-screen.png\" \/><\/p>\n<ul>\n<li>Это был служебный сервер, на нем не работали сотрудники и не было сессий администраторов — заражение через флешки или фишинговые письма исключается.<\/li>\n<li>Он не был доступен ни из интернета, ни из большинства других сетей организации — внешнее заражение через 0day в SMB или других публично доступных сервисах операционной системы исключается.<\/li>\n<li>На нем был антивирус, установлены последние обновления и не было никаких программных уязвимостей (сервер буквально за день до инцидента проверялся коммерческим сканером уязвимостей) — заражение через 1day-уявзимости и массовые эксплойты исключается.<\/li>\n<\/ul>\n<p>Первичный вектор заражения оставался неясен.<\/p>\n<h2>2. Сетевые подключения<\/h2>\n<p>Чтобы определить его, пришлось проводить анализ:<\/p>\n<ol start=\"1\">\n<li>Журналов сетевых подключений с межсетевых экранов и маршрутизаторов.<\/li>\n<li>Журналов веб-доступа через прокси (сервер имел доступ в интернет).<\/li>\n<li>Событий безопасности с сервера (все экспортировалось в SIEM).<\/li>\n<\/ol>\n<p>Ничего подозрительного обнаружено не было, кроме подобного HTTP GET-запроса:<\/p>\n<p><img src=\"http:\/\/blog.antiphish.ru\/pictures\/md-url.png\" \/><\/p>\n<p>На зараженной системе была установлена серверная часть <a href=\"http:\/\/www.me-doc.com.ua\/\">программы «М.Е. Doc»<\/a>, которая именно сегодня несколько раз обращалась за обновлениями. Программа была обновлена, и обычный файл по указанному URL весил менее килобайта, а выглядел примерно так:<\/p>\n<p><img src=\"http:\/\/blog.antiphish.ru\/pictures\/last-ver_1.png\" \/><\/p>\n<p>Однако сегодня в ответ на указанный запрос с сервера программы «М.Е. Doc» было загружено более 300 Килобайт.<\/p>\n<p>Как раз после этого сервер перезагрузился и показал сообщение о зашифрованных файлах.<\/p>\n<h2>3. Первичный вектор заражения<\/h2>\n<p>С помощью программы «М.Е. Doc» (My Electronic Document) автоматизируются процессы отчености и документооборота более чем у 400 тысяч пользователей:<\/p>\n<p><img src=\"http:\/\/blog.antiphish.ru\/pictures\/md.jpg\" \/><\/p>\n<p>Сегодня на сайте производителя появилось сообщение о том, что на их сервера <a href=\"http:\/\/www.me-doc.com.ua\/vnimaniyu-polzovateley\">осуществляется вирусная атака<\/a>:<\/p>\n<p><img src=\"http:\/\/blog.antiphish.ru\/pictures\/md-aware.png\" \/><\/p>\n<p>Вероятно, для распространения внутри сети новый шифровальщик может использовать старые уязвимости и техники, аналогичные WannaCry.<\/p>\n<p>Но, если бы атакующие выбирали самый эффективный вектор первичного заражения для множества организаций в Украине, взлом и компрометация механизма обновлений такой популярной программы выглядит почти идеальным вариантом.<\/p>\n<h2>Выводы<\/h2>\n<ol start=\"1\">\n<li>Вирусы могут распространяться через поддельные обновления программ.<\/li>\n<li>На время активной эпидемии #Petya отключите функции автоматических обновлений «М.Е. Doc» и других недоверенных программ сторонних производителей.<\/li>\n<li>Сегментируйте свою сеть, чтобы заражение одного компьютера или сервера не приводило к компрометации всех критичных систем.<\/li>\n<li>Собирайте журналы безопасности и логи сетевых подключений в отдельном, защищенном хранилище. Эти данные очень помогут в расследовании подобных инцидентов.<\/li>\n<\/ol>\n<p>P.S. Лаборатория Касперского <a href=\"https:\/\/securelist.com\/schroedingers-petya\/78870\/\">подтверждает<\/a> компрометацию механизма обновлений программы «М.Е. Doc» как один из первичных векторов заражения:<\/p>\n<p><img src=\"http:\/\/blog.antiphish.ru\/pictures\/lk-md.png\" \/><\/p>\n<div style=\"padding: 1em; background-color: cornsilk; width: 80%; margin-bottom: 1em;\"><p><b>О компании «Антифишинг»<\/b><\/p>\n<p>Мы помогаем обучить сотрудников и контролируем их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и учебные примеры мошеннических писем — в том числе те, что применяются для выполнения подобных атак.<\/p>\n<p>Чтобы проверить своих пользователей, заполните <a href=\"http:\/\/www.antiphish.ru\">форму на сайте<\/a> или напишите нам: <a href=\"mailto:ask@antiphish.ru\">ask@antiphish.ru<\/a><\/p>\n<\/div><div style=\"padding: 1em; border: 2px solid #4CAF50; width: 80%; \"><p><b>Оставайтесь в безопасности<\/b><\/p>\n<p><a href=\"http:\/\/eepurl.com\/cEpWoj\">Подпишитесь на рассылку<\/a>, чтобы первыми узнать об актуальных технологиях фишинга и других атаках на человека.<\/p>\n<\/div>",
            "date_published": "2017-06-27T23:03:55+03:00",
            "date_modified": "2020-10-26T16:58:48+03:00",
            "_date_published_rfc2822": "Tue, 27 Jun 2017 23:03:55 +0300",
            "_rss_guid_is_permalink": "false",
            "_rss_guid": "28",
            "_e2_data": {
                "is_favourite": false,
                "links_required": [],
                "og_images": []
            }
        }
    ],
    "_e2_version": 3820,
    "_e2_ua_string": "E2 (v3820; Aegea)"
}