Многолетние уязвимости

Уязвимые

добавить в избранное

Многолетние уязвимости

Прочитали: 23312 Комментариев: 60 Рейтинг: 76

3 июня 2020

(С печальной интонацией): шел 2020 год, был месяц июнь. Все началось со странного запроса в нашу техподдержку:

Теперь на серверах начал меняться адрес DNS, на 8.8.8.8 и 9.9.9.9, хотя там установлен ДрВеб.

В общем-то оба адреса известны и не являются вредоносными. Но изменение налицо, и сделал его не администратор, поэтому надо расследовать. А для этого – собрать информацию. Берем специальную утилиту Dr.Web – и вперед!

Промежуточный итог №1. Анализ собранной информации показал, что в настройках антивируса не была включена проверка потенциально опасного ПО.

Антивирус не виноват. А ведь мог помочь!

Поскольку постороннее ПО как-то должно было попасть на компьютер, продолжаем расследование.

Судя по последнему отчету, у вас в сети должен быть сервер с адресом _____, на котором видна подозрительная сетевая активность.

С этого сервера предположительно идет брут. Нужна комплексная проверка.

Как вы думаете, какая операционная система была установлена на сервере? Линукс. И, конечно, антивируса там не было: на Линуксе же «вирусов нет»!

С этим разобрались, анализируем функционал вредоносного ПО:

Целый комбайн с брутом rdp, эксплуатацией eternalblue, сканом на bluekeep и smbghost.

Знакомые слова. Напомним: это та же уязвимость, через которую проникал WannaCry в 2017 году.

Сколько лет прошло, а патч установили далеко не все, и злоумышленники до сих пор проникают через эту «дыру».

Перво-наперво нужно проверить заплатки на ОС, чтобы стояли все обновления безопасности + стоял и корректно обновлялся антивирус, как можно более актуальной версии.

В первую очередь требуется поставить патч безопасности MS17-010. Для XP он тоже выпускался. На этой станции его нет, и там сейчас целый зоопарк вредоносных заданий и сервисов.

Вообще данное обновление безопасности красной нитью проходит через весь текущий запрос. Абсолютно на всех станциях в первую очередь стоит убеждаться в том, установлен ли там данный патч.

Быстрый способ проверить это - узнать версию файла %systemroot%\system32\drivers\srv.sys Вот здесь есть статья, в ней табличка Способ 2. Проверка по версии файла %systemroot%\system32\drivers\srv.sys" для всех версий ОС.

Проверяете версию файла относительно той ОС, которая стоит на станции, если версия меньше - патча нет и самым первым делом его надо поставить. Больше или равно - патч есть.

Его отсутствие на любой рабочей станции недопустимо. Сейчас мы рассматриваем случай заражения в пределах локальной сети или сети предприятия. Чтобы ограничить и исключить атаки внутри данной сети, нужно, чтобы обновления безопасности стояли абсолютно на каждой машине.

Даже 1 уязвимая станция подвергнет опасности всю сеть. На уязвимую станцию через системную дыру можно проникнуть извне удаленно и запустить произвольный код. Например, скачать скрипт, исполняемый файл, запустить их и выполнить вшитые в них функции, а затем уже с этой машины пойти дальше по сети. Исполниться может все что угодно, брут аккаунтов для дальнейшего взлома RDP, шифрование данных, кража персональной и конфиденциальной информации и т.д.

При этом остальные станции и сервера могут быть защищены конкретно от атаки извне через EternalBlue, но не защищены от другого типа атаки со станции из своей же родной сети.

Если патч не ставится, значит, нужно выяснять почему и ставить его, иначе, как я уже сказал, это Сизифов труд.

И все это время станция и вся сеть подвергается угрозе более серьезной атаки.

Ставим патчи и чистим...

Из рекомендации службы поддержки «Доктор Веб».

«На этой станции его нет, и там сейчас целый зоопарк вредоносных заданий и сервисов».

И такие запросы – не редкость!

В тот же день:

Вирус пробрался в каждую папку с открытым сетевым доступом для сотрудников. Удаление файла исправляет ситуацию лишь временно, файл появляется вновь.

Помимо этого на станциях была обнаружена подозрительная активность в диспетчере задач с таким же названием DOC001.exe и множество расклонированных системных процессов, которые заполняют всю память компьютера. При переходите в местоположение файла, был обнаружен этот же самый файл и текстовый документ pools.txt, содержащий набор сылок. Имена сылок содержат в себе слова связанные с майнингом криптовалюты.

Вся компьютерная сеть работает со сбоями, доступ к серверам на которых находятся необходимые для работы программы осуществляется со значительными трудностями. Все станции находятся в домене и не одна из них не имеет одновременного доступа к сети интернет и к домену.

И этого тоже можно было избежать.

#Linux #антивирус #патч #признаки_заражения #технологии_Dr.Web #уязвимость

Антивирусная правДА! рекомендует

Подобных ситуаций можно избежать, если:

Установлены все патчи.
На всех машинах установлен антивирус.
У антивируса нет запретных зон для проверки.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Вячеслав
11:03:50 2020-11-09

нужно взять на вооружение

Вячeслaв Собкор
13:48:22 2020-06-04

@Шалтай_Александр_Болтай, а знаете - вы абсолютно правы. Неоднократно наблюдал, что большие бюджеты в ИТ приводят к тому, что начинают внедрять дорогие системы, совершенно забыв про базовые меры защиты. И если в какой мелкой фирме админ просто вылижет ограничения, то в большом бизнесе заводятся эффективные менеджеры

Вячeслaв Собкор
10:09:12 2020-06-04

@runikot, на самом деле не так уж и сложно. Патчи ставятся автоматически. От пользователя нужно только не отключать так или иначе средства защиты. Плюс не работать от учетки админа и соблюдать осторожность при скачивании и открытии ссылок. Ничего особо экстраодинарного. огромное число заражений идут в связи с самодеятельностью пользователей. Так как только они могут отключить защиту (взломы не берем, их мало относительно), скачать троян - соременные вредоносные программы это именно трояны в большинстве - сами по себе они обычно на машину попасть не могут - черви и вирусы крайняя редкость

Вячeслaв Собкор
09:44:18 2020-06-04

@anatol, так так собственно дело и обстоит. В большинстве своем патчи не устанавливаются. Вот свежее
Чаще всего в ходе тестирования эксперты сталкивались с отсутствием актуальных обновлений ОС. Так, по данным пентестеров Positive Technologies, в 30% компаний до сих пор можно обнаружить уязвимости ОС Windows, описанные в бюллетене безопасности 2017 года MS17-010, а в некоторых даже MS08-067 (октябрь 2008 года).

Именно поэтому и эпидемии. Но вы вакцинированы, если применять мадицинскую терминологию. Да есть риск что-то подхватить - но ниже чем у иных

Неуёмный Обыватель Собкор
02:47:44 2020-06-04

Ну и дела. И такое , оказывается, бывает.

kokuxo
02:43:57 2020-06-04

Доверяю Dr.Web!

Lia00 Собкор
02:09:49 2020-06-04

что только в мире не случается...

Sasha50 Собкор
01:42:04 2020-06-04

Любая ОС может быть подвергнута атаки, поэтому везде надо ставить антивирус.

Денисенко Павел Андреевич
23:25:45 2020-06-03

Устанавливать патчи нужно только из доверенных источников, с оф.сайтов.

Альфа
21:59:43 2020-06-03

Во многих случаях мы сами создаём себе проблемы.

Геральт Собкор
21:48:24 2020-06-03

Человеческий фактор налицо.

Dvakota
21:21:28 2020-06-03

Все те же грабли, на которые наступают раз за разом.

Korney
21:20:25 2020-06-03

Доверяю Dr.Web! Надёжа уся тильки на него, ридного.

L1t1um
21:03:25 2020-06-03

Полностью доверяюсь Dr.Web. Спасибо за выпуск!

anatol
20:38:06 2020-06-03

А что делать, если у тебя патчи и корректно настроен антивирус, а на других машинах с точностью до наоборот?

Шалтай Александр Болтай Собкор
20:34:55 2020-06-03

В своих хоромах дорогих вы уязвимее других.

Татьяна
20:10:11 2020-06-03

Многолетние уязвимости были и еще у многих останутся надолго.

Sashka
19:48:31 2020-06-03

Если вам нечего скрывать, - то разрешите доступ антивируса ковсему.

Slava90
18:26:37 2020-06-03

Спасибо за статью информация полезная.

EvgenyZ
17:41:08 2020-06-03

Не все относятся к информационной безопасности с должным вниманием.

Toma
16:17:10 2020-06-03

Антивирус сам знает, что проверять. Просто не нужно ему мешать.

I23
14:29:33 2020-06-03

Антивирус проникнет куда надо, осталось правильно его настроить.

Lightness
13:43:27 2020-06-03

Век живи - век учись... Полезно, иногда, пройтись по настройкам Др Веб, да повнимательнее :)

maestro431
13:09:25 2020-06-03

Если на ОС Антивирус предусмотрен, то он должен обязательно быть установлен. Лучше Антивирус Доктор Веб!

Lenba
12:56:15 2020-06-03

С каждым днём (с каждым выпуском) больше добавляем себе опыта.

Masha
12:41:09 2020-06-03

У антивируса не должно быть запретных зон для проверки!

runikot
12:25:33 2020-06-03

Не, сложно для обычного юзверя, для домашних ПК тоже необходимо выполнить рекомендации?

vinnetou
12:25:14 2020-06-03

Спасибо за выпуск!!! У моего антивируса нет запретных зон для проверки,пусть всё проверяет,так спокойнее.

Sergey
12:23:33 2020-06-03

@Людмила, на 100% с Вами согласен.

Людмила
12:20:42 2020-06-03

@Sergey,
противно наблюдать, как доят страну. и шантажируют отъездами программистов.

ZesMen
12:12:26 2020-06-03

Как то с похожим сталкивался, когда всякие разные приложения через прописаный ip ставились.

Sergey
12:11:57 2020-06-03

@Людмила, ей богу не хотел Вам наступать, как говориться, на больную мозоль:)) Просто она попалась под руку, когда прочитал свежий выпуск "АП" про странный запрос в техподдержку и сегодняшние новости на лентах информагенств. Видно эта тема с заявлением Касперской Вам близка и небезразлична:)) Спасибо, я прочитал статью. Тут и так понятно, все на фоне кризиса сейчас хотят денег от государства: и артисты, и туристы, и программисты. Список, уверен, будет еще продолжен:))

Людмила
11:32:25 2020-06-03

@Sergey,
крепко вы меня задели отсылкой к этой дамочке:))) чтобы вы понимали ради чего эта возня - вот этот куш: https://www.cnews.ru/news/top/2020-06-03_pravitelstvo_vklyuchilo_lgotnoe

Sergey
11:16:56 2020-06-03

@Людмила, это радует и обнадеживает. Отечественный софт должен жить, развиваться и не уступать иностранным аналогам. Я двумя руками за лозунг: "Отечественное - значит лучшее!". Неплохо бы еще в регионах машинный парк с софтом обновить хотя бы до Windows-7. Уверен, что об этом известно и меры в ближайшее время будут приняты.

Людмила
10:47:14 2020-06-03

@Sergey,
приведенные цифры - манипуляция. цифры приведены от ответов 30 компаний из 187 (!) компаний, являющихся членами АРПП. у «Доктор Веб» рост. посмотрим скажется ли и на нас падение летом - все может быть. но пока у нас устойчивый рост. о чем мы и заявили в этом опросе. но зачем рассказывать о растущих компаниях, когда надо клянчить у государства деньги?

Alexander Собкор
10:46:27 2020-06-03

Уязвимые и уязвлённые, постаревшие и устаревшие, молодые и креативные, системы и программы установленные...
Всяк сверчок знай свой шесток, на чужой не садись, а севши - берегись...

Интересный детективный сценарий, начавшийся с печальной интонации и таинственного придыхания, и благополучно разрешившийся торжеством в финале...

И ведь, действительно, всей этой катавасии можно было избежать изначально, но... Невнимательность и самонадеянность, пофигизм и гордыня самовозвысили участников театрального действа над профессионализмом Dr.Web. Вот и получили... ожидаемый результат... Благо, что ещё не всё было "потеряно" и был возможен приемлемый "откат".

Доверие и ещё раз доверие!!! Иного отношения к Dr.Web быть не должно... Ну и правильные настройки, и систематические обновления, конечно...

Людмила
10:42:42 2020-06-03

@Sergey,
вот оригинал https://regnum.ru/news/economy/2962102.html

Xamanaptr
10:34:57 2020-06-03

В целом смысл понятен, если есть брешь в защите, рано или поздно ей кто-нибудь воспользуется!

Людмила
10:30:56 2020-06-03

@Sergey,
не думаю что наше отставание от Запада критичное. отнюдь. а интервью этой госпожи - возмутительное во многих его частях. ВОЗМУТИТЕЛЬНОЕ!

Sergey
10:28:49 2020-06-03

@Людмила, тогда это получается совсем грустная картина нашей реальности. Отстаем от Запада мы пока еще капитально. В одном из прошлых выпусков "АП" говорили про отсутствие интернета в некоторых регионах, сейчас @Вячеслав говорит еще про массовое использование машин (читай - динозавров) с Windows-98, да еще буквально сегодня в СМИ появилась информация, что Наталья Касперская предупредила Мишустина о риске эмиграции отечественных IT-специалистов из-за кризиса.

Zserg
10:10:01 2020-06-03

Дружим с антивирусом Dr.Web. И будет всё как надо.

Dmur
10:00:06 2020-06-03

Да, таких случаев много. Нужно обновления устанавливать и антивирус правильно настраивать.

Людмила
09:57:32 2020-06-03

@Sergey,
"Какая-то уж совсем отсталая и запущенная организация (фирма). "
вовсе нет. очень распространенная ситуация. такое повсеместно.

Вячeслaв Собкор
09:53:55 2020-06-03

@tigra, плач Ярославны. Интернет переполнен статьями, что бывает, если не ставить обновления. Но воз и ныне там

Вячeслaв Собкор
09:52:43 2020-06-03

@Sergey, вы не поверите сколько машин с той же Windows 2008. Денег нет или спец какое-то ПО которое уже и не обновишь

kozinka.ru Собкор
09:47:11 2020-06-03

@admin, пройдёт ещё лет пять и такие обращения в техподдержку непременно будут. Всё нормально.
@tigra, поясню - о старых граблях, которые где-то некому поднять.

orw_mikle
09:29:32 2020-06-03

На домашнем ПК у антивируса Dr.Web нет запретных зон для проверки, а по поводу рабочего так уверенно сказать не могу.

I46
09:25:47 2020-06-03

Все рекомендации - в точку!

ka_s
09:23:57 2020-06-03

Гигиенические процедуры прошел. Проверил настройки и наличие обновлений. Всё в норме. Спасибо!

marisha-san Собкор
09:19:42 2020-06-03

Спасение... дело рук самих...

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Многолетние уязвимости

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей