Многолетние уязвимости
3 июня 2020
(С печальной интонацией): шел 2020 год, был месяц июнь. Все началось со странного запроса в нашу техподдержку:
Теперь на серверах начал меняться адрес DNS, на 8.8.8.8 и 9.9.9.9, хотя там установлен ДрВеб.
В общем-то оба адреса известны и не являются вредоносными. Но изменение налицо, и сделал его не администратор, поэтому надо расследовать. А для этого – собрать информацию. Берем специальную утилиту Dr.Web – и вперед!
Промежуточный итог №1. Анализ собранной информации показал, что в настройках антивируса не была включена проверка потенциально опасного ПО.
Антивирус не виноват. А ведь мог помочь!
Поскольку постороннее ПО как-то должно было попасть на компьютер, продолжаем расследование.
Судя по последнему отчету, у вас в сети должен быть сервер с адресом _____, на котором видна подозрительная сетевая активность.
С этого сервера предположительно идет брут. Нужна комплексная проверка.
Как вы думаете, какая операционная система была установлена на сервере? Линукс. И, конечно, антивируса там не было: на Линуксе же «вирусов нет»!
С этим разобрались, анализируем функционал вредоносного ПО:
Целый комбайн с брутом rdp, эксплуатацией eternalblue, сканом на bluekeep и smbghost.
Знакомые слова. Напомним: это та же уязвимость, через которую проникал WannaCry в 2017 году.
Сколько лет прошло, а патч установили далеко не все, и злоумышленники до сих пор проникают через эту «дыру».
Перво-наперво нужно проверить заплатки на ОС, чтобы стояли все обновления безопасности + стоял и корректно обновлялся антивирус, как можно более актуальной версии.
В первую очередь требуется поставить патч безопасности MS17-010. Для XP он тоже выпускался. На этой станции его нет, и там сейчас целый зоопарк вредоносных заданий и сервисов.
Вообще данное обновление безопасности красной нитью проходит через весь текущий запрос. Абсолютно на всех станциях в первую очередь стоит убеждаться в том, установлен ли там данный патч.
Быстрый способ проверить это - узнать версию файла %systemroot%\system32\drivers\srv.sys Вот здесь есть статья, в ней табличка Способ 2. Проверка по версии файла %systemroot%\system32\drivers\srv.sys" для всех версий ОС.
Проверяете версию файла относительно той ОС, которая стоит на станции, если версия меньше - патча нет и самым первым делом его надо поставить. Больше или равно - патч есть.
Его отсутствие на любой рабочей станции недопустимо. Сейчас мы рассматриваем случай заражения в пределах локальной сети или сети предприятия. Чтобы ограничить и исключить атаки внутри данной сети, нужно, чтобы обновления безопасности стояли абсолютно на каждой машине.
Даже 1 уязвимая станция подвергнет опасности всю сеть. На уязвимую станцию через системную дыру можно проникнуть извне удаленно и запустить произвольный код. Например, скачать скрипт, исполняемый файл, запустить их и выполнить вшитые в них функции, а затем уже с этой машины пойти дальше по сети. Исполниться может все что угодно, брут аккаунтов для дальнейшего взлома RDP, шифрование данных, кража персональной и конфиденциальной информации и т.д.
При этом остальные станции и сервера могут быть защищены конкретно от атаки извне через EternalBlue, но не защищены от другого типа атаки со станции из своей же родной сети.
Если патч не ставится, значит, нужно выяснять почему и ставить его, иначе, как я уже сказал, это Сизифов труд.
И все это время станция и вся сеть подвергается угрозе более серьезной атаки.
Ставим патчи и чистим...
Из рекомендации службы поддержки «Доктор Веб».
«На этой станции его нет, и там сейчас целый зоопарк вредоносных заданий и сервисов».
И такие запросы – не редкость!
В тот же день:
Вирус пробрался в каждую папку с открытым сетевым доступом для сотрудников. Удаление файла исправляет ситуацию лишь временно, файл появляется вновь.
Помимо этого на станциях была обнаружена подозрительная активность в диспетчере задач с таким же названием DOC001.exe и множество расклонированных системных процессов, которые заполняют всю память компьютера. При переходите в местоположение файла, был обнаружен этот же самый файл и текстовый документ pools.txt, содержащий набор сылок. Имена сылок содержат в себе слова связанные с майнингом криптовалюты.
Вся компьютерная сеть работает со сбоями, доступ к серверам на которых находятся необходимые для работы программы осуществляется со значительными трудностями. Все станции находятся в домене и не одна из них не имеет одновременного доступа к сети интернет и к домену.
И этого тоже можно было избежать.
#Linux #антивирус #патч #признаки_заражения #технологии_Dr.Web #уязвимость
Антивирусная правДА! рекомендует
Подобных ситуаций можно избежать, если:
- Установлены все патчи.
- На всех машинах установлен антивирус.
- У антивируса нет запретных зон для проверки.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Вячеслав
11:03:50 2020-11-09
Вячeслaв
13:48:22 2020-06-04
Вячeслaв
10:09:12 2020-06-04
Вячeслaв
09:44:18 2020-06-04
Чаще всего в ходе тестирования эксперты сталкивались с отсутствием актуальных обновлений ОС. Так, по данным пентестеров Positive Technologies, в 30% компаний до сих пор можно обнаружить уязвимости ОС Windows, описанные в бюллетене безопасности 2017 года MS17-010, а в некоторых даже MS08-067 (октябрь 2008 года).
Именно поэтому и эпидемии. Но вы вакцинированы, если применять мадицинскую терминологию. Да есть риск что-то подхватить - но ниже чем у иных
Неуёмный Обыватель
02:47:44 2020-06-04
kokuxo
02:43:57 2020-06-04
Lia00
02:09:49 2020-06-04
Sasha50
01:42:04 2020-06-04
Денисенко Павел Андреевич
23:25:45 2020-06-03
Альфа
21:59:43 2020-06-03
Геральт
21:48:24 2020-06-03
Dvakota
21:21:28 2020-06-03
Korney
21:20:25 2020-06-03
L1t1um
21:03:25 2020-06-03
anatol
20:38:06 2020-06-03
Шалтай Александр Болтай
20:34:55 2020-06-03
Татьяна
20:10:11 2020-06-03
Sashka
19:48:31 2020-06-03
Slava90
18:26:37 2020-06-03
EvgenyZ
17:41:08 2020-06-03
Toma
16:17:10 2020-06-03
I23
14:29:33 2020-06-03
Lightness
13:43:27 2020-06-03
maestro431
13:09:25 2020-06-03
Lenba
12:56:15 2020-06-03
Masha
12:41:09 2020-06-03
runikot
12:25:33 2020-06-03
vinnetou
12:25:14 2020-06-03
Sergey
12:23:33 2020-06-03
Людмила
12:20:42 2020-06-03
противно наблюдать, как доят страну. и шантажируют отъездами программистов.
ZesMen
12:12:26 2020-06-03
Sergey
12:11:57 2020-06-03
Людмила
11:32:25 2020-06-03
крепко вы меня задели отсылкой к этой дамочке:))) чтобы вы понимали ради чего эта возня - вот этот куш: https://www.cnews.ru/news/top/2020-06-03_pravitelstvo_vklyuchilo_lgotnoe
Sergey
11:16:56 2020-06-03
Людмила
10:47:14 2020-06-03
приведенные цифры - манипуляция. цифры приведены от ответов 30 компаний из 187 (!) компаний, являющихся членами АРПП. у «Доктор Веб» рост. посмотрим скажется ли и на нас падение летом - все может быть. но пока у нас устойчивый рост. о чем мы и заявили в этом опросе. но зачем рассказывать о растущих компаниях, когда надо клянчить у государства деньги?
Alexander
10:46:27 2020-06-03
Всяк сверчок знай свой шесток, на чужой не садись, а севши - берегись...
Интересный детективный сценарий, начавшийся с печальной интонации и таинственного придыхания, и благополучно разрешившийся торжеством в финале...
И ведь, действительно, всей этой катавасии можно было избежать изначально, но... Невнимательность и самонадеянность, пофигизм и гордыня самовозвысили участников театрального действа над профессионализмом Dr.Web. Вот и получили... ожидаемый результат... Благо, что ещё не всё было "потеряно" и был возможен приемлемый "откат".
Доверие и ещё раз доверие!!! Иного отношения к Dr.Web быть не должно... Ну и правильные настройки, и систематические обновления, конечно...
Людмила
10:42:42 2020-06-03
вот оригинал https://regnum.ru/news/economy/2962102.html
Xamanaptr
10:34:57 2020-06-03
Людмила
10:30:56 2020-06-03
не думаю что наше отставание от Запада критичное. отнюдь. а интервью этой госпожи - возмутительное во многих его частях. ВОЗМУТИТЕЛЬНОЕ!
Sergey
10:28:49 2020-06-03
Zserg
10:10:01 2020-06-03
Dmur
10:00:06 2020-06-03
Людмила
09:57:32 2020-06-03
"Какая-то уж совсем отсталая и запущенная организация (фирма). "
вовсе нет. очень распространенная ситуация. такое повсеместно.
Вячeслaв
09:53:55 2020-06-03
Вячeслaв
09:52:43 2020-06-03
DrKV
09:47:11 2020-06-03
@tigra, поясню - о старых граблях, которые где-то некому поднять.
orw_mikle
09:29:32 2020-06-03
I46
09:25:47 2020-06-03
ka_s
09:23:57 2020-06-03
marisha-san
09:19:42 2020-06-03