https://blog.startx.team/tags/massovye-ataki/ как поведение людей влияет на безопасность Наши продукты • Дайджесты • Статьи • Список постов Start X ru E2 (v3820; Aegea) Start X как поведение людей влияет на безопасность Наши продукты • Дайджесты • Статьи • Список постов 28 https://blog.startx.team/all/petya-iiv/ Tue, 27 Jun 2017 23:03:55 +0300 Start X https://blog.startx.team/all/petya-iiv/ <p main> <i>Главной сегодняшней новостью стали массовые атаки вируса-шифровальщика в Украине. Мы опишем по крайней мере один вектор заражения, который стал известен нашим специалистам. </i></p> <p aside style="opacity: 1; text-align: center;"> <img src="http://blog.antiphish.ru/pictures/svoldokhin_new.jpg" width="40%"/> <br /> Сергей Волдохин <br /> <a href="mailto:sv@antiphish.ru">sv@antiphish.ru</a> </p> <p>По данным СМИ, <a href="https://vc.ru/p/petya-attack">«сотни» организаций в Украине пострадали от вируса-шифровальщика</a>. Во всех пострадавших организациях компьютеры блокировались, а на экране появлялось сообщение с требованием выкупа:<br /><br /> <img src="http://blog.antiphish.ru/pictures/smarket.jpg" /><br /> <i><a href="https://habrahabr.ru/post/331762/">источник</a></i></p> <p>К сожалению, антвирусные вендоры, СМИ и специалисты по безопасности до последнего времени не давали ясных описаний, как именно мошенникам удалось так быстро заразить такое большое число крупных организаций.</p> <p>Но для эффективной защиты от любой кибератаки важно понимать, какой первичный вектор заражения используется.</p> <p><i>Что объединяет множество организаций в Украине? Как можно заразить множество организаций, компьютеры которых не доступны из интернета? </i></p> <h2>1. Изолированный сервер</h2> <p>Наши специалисты участвовали в расследовании инцидента, в результате которого на одном из серверов внутри организации появилось как раз такое сообщение о зашифрованных файлах:</p> <p><img src="http://blog.antiphish.ru/pictures/md-screen.png" /></p> <ul> <li>Это был служебный сервер, на нем не работали сотрудники и не было сессий администраторов — заражение через флешки или фишинговые письма исключается.</li> <li>Он не был доступен ни из интернета, ни из большинства других сетей организации — внешнее заражение через 0day в SMB или других публично доступных сервисах операционной системы исключается.</li> <li>На нем был антивирус, установлены последние обновления и не было никаких программных уязвимостей (сервер буквально за день до инцидента проверялся коммерческим сканером уязвимостей) — заражение через 1day-уявзимости и массовые эксплойты исключается.</li> </ul> <p>Первичный вектор заражения оставался неясен.</p> <h2>2. Сетевые подключения</h2> <p>Чтобы определить его, пришлось проводить анализ:</p> <ol start="1"> <li>Журналов сетевых подключений с межсетевых экранов и маршрутизаторов.</li> <li>Журналов веб-доступа через прокси (сервер имел доступ в интернет).</li> <li>Событий безопасности с сервера (все экспортировалось в SIEM).</li> </ol> <p>Ничего подозрительного обнаружено не было, кроме подобного HTTP GET-запроса:</p> <p><img src="http://blog.antiphish.ru/pictures/md-url.png" /></p> <p>На зараженной системе была установлена серверная часть <a href="http://www.me-doc.com.ua/">программы «М.Е. Doc»</a>, которая именно сегодня несколько раз обращалась за обновлениями. Программа была обновлена, и обычный файл по указанному URL весил менее килобайта, а выглядел примерно так:</p> <p><img src="http://blog.antiphish.ru/pictures/last-ver_1.png" /></p> <p>Однако сегодня в ответ на указанный запрос с сервера программы «М.Е. Doc» было загружено более 300 Килобайт.</p> <p>Как раз после этого сервер перезагрузился и показал сообщение о зашифрованных файлах.</p> <h2>3. Первичный вектор заражения</h2> <p>С помощью программы «М.Е. Doc» (My Electronic Document) автоматизируются процессы отчености и документооборота более чем у 400 тысяч пользователей:</p> <p><img src="http://blog.antiphish.ru/pictures/md.jpg" /></p> <p>Сегодня на сайте производителя появилось сообщение о том, что на их сервера <a href="http://www.me-doc.com.ua/vnimaniyu-polzovateley">осуществляется вирусная атака</a>:</p> <p><img src="http://blog.antiphish.ru/pictures/md-aware.png" /></p> <p>Вероятно, для распространения внутри сети новый шифровальщик может использовать старые уязвимости и техники, аналогичные WannaCry.</p> <p>Но, если бы атакующие выбирали самый эффективный вектор первичного заражения для множества организаций в Украине, взлом и компрометация механизма обновлений такой популярной программы выглядит почти идеальным вариантом.</p> <h2>Выводы</h2> <ol start="1"> <li>Вирусы могут распространяться через поддельные обновления программ.</li> <li>На время активной эпидемии #Petya отключите функции автоматических обновлений «М.Е. Doc» и других недоверенных программ сторонних производителей.</li> <li>Сегментируйте свою сеть, чтобы заражение одного компьютера или сервера не приводило к компрометации всех критичных систем.</li> <li>Собирайте журналы безопасности и логи сетевых подключений в отдельном, защищенном хранилище. Эти данные очень помогут в расследовании подобных инцидентов.</li> </ol> <p>P.S. Лаборатория Касперского <a href="https://securelist.com/schroedingers-petya/78870/">подтверждает</a> компрометацию механизма обновлений программы «М.Е. Doc» как один из первичных векторов заражения:</p> <p><img src="http://blog.antiphish.ru/pictures/lk-md.png" /></p> <div style="padding: 1em; background-color: cornsilk; width: 80%; margin-bottom: 1em;"><p><b>О компании «Антифишинг»</b></p> <p>Мы помогаем обучить сотрудников и контролируем их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и учебные примеры мошеннических писем — в том числе те, что применяются для выполнения подобных атак.</p> <p>Чтобы проверить своих пользователей, заполните <a href="http://www.antiphish.ru">форму на сайте</a> или напишите нам: <a href="mailto:ask@antiphish.ru">ask@antiphish.ru</a></p> </div><div style="padding: 1em; border: 2px solid #4CAF50; width: 80%; "><p><b>Оставайтесь в безопасности</b></p> <p><a href="http://eepurl.com/cEpWoj">Подпишитесь на рассылку</a>, чтобы первыми узнать об актуальных технологиях фишинга и других атаках на человека.</p> </div>