Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Многолетние уязвимости

Прочитали: 1595 Комментариев: 61 Рейтинг: 70

(С печальной интонацией): шел 2020 год, был месяц июнь. Все началось со странного запроса в нашу техподдержку:

Теперь на серверах начал меняться адрес DNS, на 8.8.8.8 и 9.9.9.9, хотя там установлен ДрВеб.

В общем-то оба адреса известны и не являются вредоносными. Но изменение налицо, и сделал его не администратор, поэтому надо расследовать. А для этого – собрать информацию. Берем специальную утилиту Dr.Web – и вперед!

Промежуточный итог №1. Анализ собранной информации показал, что в настройках антивируса не была включена проверка потенциально опасного ПО.

#drweb

Антивирус не виноват. А ведь мог помочь!

Поскольку постороннее ПО как-то должно было попасть на компьютер, продолжаем расследование.

Судя по последнему отчету, у вас в сети должен быть сервер с адресом _____, на котором видна подозрительная сетевая активность.

С этого сервера предположительно идет брут. Нужна комплексная проверка.

Как вы думаете, какая операционная система была установлена на сервере? Линукс. И, конечно, антивируса там не было: на Линуксе же «вирусов нет»!

С этим разобрались, анализируем функционал вредоносного ПО:

Целый комбайн с брутом rdp, эксплуатацией eternalblue, сканом на bluekeep и smbghost.

Знакомые слова. Напомним: это та же уязвимость, через которую проникал WannaCry в 2017 году.

Сколько лет прошло, а патч установили далеко не все, и злоумышленники до сих пор проникают через эту «дыру».

Перво-наперво нужно проверить заплатки на ОС, чтобы стояли все обновления безопасности + стоял и корректно обновлялся антивирус, как можно более актуальной версии.

В первую очередь требуется поставить патч безопасности MS17-010. Для XP он тоже выпускался. На этой станции его нет, и там сейчас целый зоопарк вредоносных заданий и сервисов.

Вообще данное обновление безопасности красной нитью проходит через весь текущий запрос. Абсолютно на всех станциях в первую очередь стоит убеждаться в том, установлен ли там данный патч.

Быстрый способ проверить это - узнать версию файла %systemroot%\system32\drivers\srv.sys Вот здесь есть статья, в ней табличка Способ 2. Проверка по версии файла %systemroot%\system32\drivers\srv.sys" для всех версий ОС.

Проверяете версию файла относительно той ОС, которая стоит на станции, если версия меньше - патча нет и самым первым делом его надо поставить. Больше или равно - патч есть.

Его отсутствие на любой рабочей станции недопустимо. Сейчас мы рассматриваем случай заражения в пределах локальной сети или сети предприятия. Чтобы ограничить и исключить атаки внутри данной сети, нужно, чтобы обновления безопасности стояли абсолютно на каждой машине.

Даже 1 уязвимая станция подвергнет опасности всю сеть. На уязвимую станцию через системную дыру можно проникнуть извне удаленно и запустить произвольный код. Например, скачать скрипт, исполняемый файл, запустить их и выполнить вшитые в них функции, а затем уже с этой машины пойти дальше по сети. Исполниться может все что угодно, брут аккаунтов для дальнейшего взлома RDP, шифрование данных, кража персональной и конфиденциальной информации и т.д.

При этом остальные станции и сервера могут быть защищены конкретно от атаки извне через EternalBlue, но не защищены от другого типа атаки со станции из своей же родной сети.

Если патч не ставится, значит, нужно выяснять почему и ставить его, иначе, как я уже сказал, это Сизифов труд.

И все это время станция и вся сеть подвергается угрозе более серьезной атаки.

Ставим патчи и чистим...

Из рекомендации службы поддержки «Доктор Веб».

«На этой станции его нет, и там сейчас целый зоопарк вредоносных заданий и сервисов».

И такие запросы – не редкость!

В тот же день:

Вирус пробрался в каждую папку с открытым сетевым доступом для сотрудников. Удаление файла исправляет ситуацию лишь временно, файл появляется вновь.

Помимо этого на станциях была обнаружена подозрительная активность в диспетчере задач с таким же названием DOC001.exe и множество расклонированных системных процессов, которые заполняют всю память компьютера. При переходите в местоположение файла, был обнаружен этот же самый файл и текстовый документ pools.txt, содержащий набор сылок. Имена сылок содержат в себе слова связанные с майнингом криптовалюты.

Вся компьютерная сеть работает со сбоями, доступ к серверам на которых находятся необходимые для работы программы осуществляется со значительными трудностями. Все станции находятся в домене и не одна из них не имеет одновременного доступа к сети интернет и к домену.

И этого тоже можно было избежать.

#Linux #антивирус #патч #признаки_заражения #технологии_Dr.Web #уязвимость

Dr.Web рекомендует

Подобных ситуаций можно избежать, если:

  1. Установлены все патчи.
  2. На всех машинах установлен антивирус.
  3. У антивируса нет запретных зон для проверки.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: