Недозащита

Слабые звенья

добавить в избранное

Недозащита

Прочитали: 19068 Комментариев: 52 Рейтинг: 76

16 сентября 2020

Двери недонавесили и недозакрыли...
Окна недовставили и недозастеклили...
Сквозняки гуляют и бацил разносят...
Персонал болеет и начальство поносит...

Это неприятно, но это - полбеды.
Информация пропала... А ну её туды...
Петицию составлю, в "Поддержку" сообщу,
Пущай там разберутся,
Иль антивирус "Новый" назло им запущу...

Участник проекта Alexander

Вот дословно обращение в нашу техподдержку:

У нас произошло масштабное заражение на всех серверах, где стоит антивирус drweb. При этом утилита cureit обнаруживает огромное количество вирусов. Нужно срочно принимать решение удалять ваш антивирус и ставить другой, или это изначально неправильно настроенная установка.

Антивирус молчит. Но хорошо уже то, что пользователь допускает возможность неверных настроек.

Результат анализа инцидента оказался таким:

В системе… не установлен главный компонент защиты, файловый монитор - SpIDer Guard для серверов Windows. Этот компонент работал в сентябре 2019 года, но был удален. Без этого компонента защиты в системе не осуществляется мониторинг файлов, с которыми ведется работа - чтения, запись, копирование и т. д.

Работал, но был удален год назад. При этом, конечно, никто «ничего не трогал», «ничего не менял» …

После изначальной установки и настройки, как раз в сентябре 19го, я больше не менял никаких настроек.

После установки компонента тот сразу начал выявлять попытки заражения:

Теперь в автозагрузке периодически появляется зараженный файл, антивирус его удаляет и потом все начинается по новой.

Анализ уже этого инцидента показал, что попытки заражения идут с некоего устройства:

Принцип распространения этого трояна такой: в сети имеется незащищенный компьютер или компьютер без файлового монитора SpIDer Guard, с этого ПК распространяется инфекция через уязвимости ОС (там, где не установлены все патчи для ОС), либо через получение доступа с помощью сбрученного пароля (если пароли простые, то они легко взламываются).

На всех машинах, где обнаруживается подобная вирусная активность, необходимо проверить и сменить пароли учетных записей на более сложные, несмысловые, т.н. несловарные, которые ранее нигде не использовались. Это так же важно, потому что в данном случае это может использоваться как один из векторов атаки. Заражается одна из машин в сети, а далее по сети идет подбор паролей к другим учетным записям. Если для какой-то учетной записи его удается подобрать, то дальнейшие действия на удаленном ПК будут пытаться выполнить именно от имени этой взломанной учетной записи.

Подводя итог, главная задача - найти источник распространения инфекции - это незащищенный ПК в Вашей сети. Это может быть какая-либо давно забытая станция с неустановленным или необновленным антивирусом, устаревшей или давно не обновляемой операционной систем без критических обновлений, которая ко всему прочему вполне вероятно (хоть и необязательно) может иметь доступ в сеть.

Мы попросили прислать подробности с той машины, с которой идет атака. И тут выяснилось странное:

\\192.168.ххх.yyy\sgexe\sgmain.exe -такого сетевого устройства нет, оно не пингуется, на него не заходится, и его нет в таблице arp.

То есть атака по сети идет с неизвестного администратору устройства!
Без сомнения надо срочно «ставить другой» антивирус…

Причина произошедшего – в том, что администратор не контролировал свою сеть. Мы не знаем, было ли установлено ограничение на подключение новых устройств в сети, какова была парольная защита и т. п. До этого, к сожалению, анализ инцидента не дошел. Но как можно было не замечать, что на серверах по сути отсутствует антивирусная защита – не установлен ее основной компонент файловый монитор, контролирующий все операции с файлами?

И если бы это был единичный случай… Еще один анализ инцидента:

Антивирус на машине был установлен без компонента SpIDer Guard, следовательно, не имел защиты в реальном времени.

В этом случае злоумышленник воспользовался отсутствием некоторых компонентов антивируса:

Наиболее вероятно, в систему был выполнен несанкционированный вход через подбор/похищение пароля одной из учетных записей, по RDP (или через терминальную сессию), злоумышленник удалил антивирусную программу, запустил шифровальщик.

#антивирус #настройки_Dr.Web #поддержка #признаки_заражения

Антивирусная правДА! рекомендует

Отсутствие антивирусной защиты обязательно (рано или поздно) пагубно скажется на состоянии компьютерной сети. Но не менее опасна ситуация, когда антивирус установлен, но некоторые его модули по какой-либо причине не активированы.

Абсолютно все компоненты защиты имеют важное значение, в антивирусе нет ничего лишнего.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Alexander Собкор
16:29:14 2021-02-18

@Ekaterina, спасибо за ответ и внесение некоторой ясности. Занятость сотрудников понятна и естественна. Компьютеры со своим виртуальным пространством не только активно "семимильными" шагами развиваются, но и всё больше захватывают реальный мир. Облегчая нам жизнь, с одной стороны, и делая его более уязвимым, с другой. Причём, опасность со стороны злоумышленников, уже давно вытеснила вероятность "естественных" компьютерных сбоев. Например, из-за технических багов или халатности обслуживающего персонала.

Актуальная тема всегда одна, - это безопасность в своей многогранности. Это и настройки продуктов Dr.Web, и "тюнинг" компьютерных операционных систем, и хитрости сетевой работы, и обеспечение закрытости в "облаках", и множество другого интересного и важного. Тема - одна, а её "лиц" - множество множеств. Есть у проекта устоявшиеся рубрики, и каждая найдёт своего почитателя и приверженца.

Мы ценим самоотверженность и трудолюбие сотрудников коллектива компании "Доктор Веб". Спасибо Вам за Ваш труд. Всегда с нетерпением и интересом ждём свежих выпусков АВП.

Ekaterina
14:18:10 2021-02-18

@Alexander, @Пaвeл, добрый день!

Вы совершенно правы, выпуски АВП - это большой труд в котором задействована целая команда наших экспертов, на данный момент ввиду большой загруженности сотрудников мы немного сбились с темпа, обещаем уже завтра выложить новый интересный выпуск и радовать вас 3 раза в неделю, а иногда и чаще 😉

Будем рады, если вы поделитесь в комментариях своим мнением, какие вопросы или темы наиболее актуальны для вас, чтобы мы написали о них в ближайших выпусках АВП.

Alexander Собкор
11:54:29 2021-02-18

@Пaвeл, согласен с Вами. Подготовка выпусков АП - это большой труд. Вероятно, это направление возложено как дополнительная нагрузка на 1-2 работников. Может быть, за это доплачивают, или иначе как-то уравновешивают интеллектуальные затраты. А если "овчинка не стоит выделки"? Тогда понятны перебои с выходом новых выпусков...

Устроила бы даже определённая однозначность выхода очередной статьи по средам, например. Но еженедельно! В каждую среду каждого месяца года!!! А если 2-3 выпуска в неделю, - так это вообще прекрасно!

И главное, - необходима оперативная информация от администратора проекта "Антивирусная правДА" об изменениях в расписании их выхода. Не зря же говорят, что "нет хуже, чем ждать и догонять"...

@admin, а какое Ваше мнение?

Пaвeл Собкор
08:17:45 2021-02-18

@Alexander, поддерживаю Вас!
Если бы знать, что выпуски будут выходить два - три раза в неделю по таким-то дням, была бы определенность.
И вообще подготовка и публикация нового выпуска каждый день - это большая работа. Хватило бы и два раза в неделю.

Alexander Собкор
11:55:14 2021-02-17

Как-то неуютно...
Очень не хватает...
Где ты? Выпуск "Правды"?
С кем же он гуляет!?

Всякое в интеллектуальном и производственном процессе может случиться... И биткоин дорожает, и сеть ИИ местами рвётся, и зима за небесную ось цепляется...

Но ведь жизнь продолжается! Продукты "Доктор Веб" систематически совершенствуются, обновления, на установленном Dr.Web Security Space, постоянно появляются. И это - здорово!!!

И всё же чего-то не хватает... Да, конечно, - выпусков "Антивирусной правды", - но это и так понятно... Вот и @Morpheus 04:40:56 2021-02-12 заметил, "...выпуски как-то сбились с ритма...".

А ещё информационная неясность не даёт покоя... Будет или не будет... А когда будет? А долго ещё не будет? Может быть, мы в чём-то провинились? Или…

@admin, полагаю, что многих беспокоит эта неопределённость... Просветите нас, пожалуйста...

P.S. Выпуск для размещения этого обращения выбрал как наиболее подходящий по названию.

Filip_s
14:49:02 2020-11-19

Наверно администратором той сети был главный директор компании.

Вячеслав
10:16:50 2020-11-09

самое главное понимать для чего защита нужна, а там разбермся

sss
16:04:06 2020-10-19

Поздравим Героя истории песней Аллы Пугачёвой про волшебника недоучку ;))

Karnegi
19:21:28 2020-09-17

Крепость цепи определяется крепостью ее самого слабого звена!

Lia00 Собкор
00:27:54 2020-09-17

чего только в мире не бывает...

Шалтай Александр Болтай Собкор
21:20:22 2020-09-16

— Ты купил колбасы, идёшь домой, а на тебя напала стая собак?
— Защити докторскую!

Dvakota
20:57:59 2020-09-16

Вынули кирпичик - в стене брешь.

Геральт Собкор
20:45:20 2020-09-16

Да блин. Ну и бывают же такие случаи.

anatol
20:38:54 2020-09-16

Ситуацию с неактивированным компонентом антивируса можно описать следующим образом- купил дорогой билет, но им не воспользовался.

orw_mikle
20:17:07 2020-09-16

Это тоже самое, как купить крутой, навороченный смарт-телевизор, а настроить только федеральные, бесплатные каналы по обычной антенне и сидеть, переключать пультом каналы и негодовать, что купил такое "г".

dyadya_Sasha Собкор
19:10:01 2020-09-16

Построили дом из суперкрепких и суперкачественных материалов, а он развалился. На ручках сэкономили, взяли кривые вместо золотых.

matt1954
19:07:48 2020-09-16

Конечно,все компоненты антивирусника важны-включайте всё!

Masha
18:19:30 2020-09-16

Все компоненты антивируса имеют важное значение! Разве это кому-то еще непонятно?

L1t1um
18:13:31 2020-09-16

Досадно, что народ начинает сначала обвинять антивирус, не разобравшись в своих ошибках...

Альфа
17:46:44 2020-09-16

Это всё прописные истины, но некоторые упорно их игнорируют1

Dmur
17:46:07 2020-09-16

Здесь на лицо неграмотные действия системного администратора, или кто там у них отвечал за установку и работу антивируса.

yuraorc
17:14:46 2020-09-16

Странный человек. Если не ставить монитор то зачем вообще что-то ставить...

Mara
17:03:28 2020-09-16

У меня все компоненты антивированы, при установке галочку и на брандмауэре ставлю.

EvgenyZ
16:30:19 2020-09-16

Все компоненты антивируса должны быть активированы - сомнений нет.

Денисенко Павел Андреевич
16:12:23 2020-09-16

Антивирус всегда должен быть полностью включен.

Serg07
16:07:55 2020-09-16

Странный администратор. Неужели не нашлось более квалифицированного. :(

Toma
15:00:03 2020-09-16

Недозащита может быть опасна. Лучше пусть будет перестраховка и перезащита.

Татьяна
14:37:51 2020-09-16

Всем большое спасибо за поздравления! Очень приятно!

Татьяна
14:37:15 2020-09-16

Очень странные действия системного администратора. Конечно нельзя отключать ни один из компонентов антивируса.

vkor
14:21:24 2020-09-16

Отключить компоненты защиты = назло маме отморозить уши.

tigra Собкор
14:18:03 2020-09-16

Всё остальное-временные сложности))

tigra Собкор
14:17:18 2020-09-16

@Alexander, "...Dr.Web Security Space – это слишком сложно? ..." Самой сложной можно считать формулу дезоксирибонуклеиновой кислоты (ДНК) . Молекулу, в которой кодируется геном организма. Её молекулярный вес достигает миллиардов. Растянутая в линию, молекула ДНК будет иметь длину до 3 см. Ничего сложнее в природе нет. Картина маслом-что мы знаем о сложностях))))

Пaвeл Собкор
13:31:52 2020-09-16

"Абсолютно все компоненты защиты имеют важное значение, в антивирусе нет ничего лишнего." - полностью согласен.

Zserg
11:55:22 2020-09-16

Используй антивирус на полную катушку!

vinnetou
11:38:27 2020-09-16

Все компоненты защиты должны всегда быть включены,иначе для чего их разрабатывали ?

Любитель пляжного футбола Собкор
11:12:17 2020-09-16 Именинник

Всё-таки интересно, зачем они потом SpIDer Guard удалили, чем он им мешал-то? :) Али лишним посчитали?

kozinka.ru Собкор
10:44:59 2020-09-16

@ka_s, согласен на 100%! Вот прямо в десятку!

Во многих организациях отправной точкой любой непонятной ситуации является вопрос: какой за "это" штраф?
Ну, а если никакого, то и зачем он (админ) вообще нужен? Попросим "знающего человека" - закупит, настроит, проверит и поможет (если что). Зачем штатную единицу держать, зарплату ему платить? Сидит он кнопочки на клаве с утра до вечера жмёт! Какая с него польза? И так всё работает!

P.S. А давайте всех пожарников уволим! Что мы сами пожар не потушим? Соберёмся, каждый по ведру - и потушим! Зачем кормить такую армию бездельников, которые день-до-вечера домино гоняют?
Такие мысли никому даже в голову не приходят.

MaNiV
10:14:37 2020-09-16

Руководство этого админа в курсе случившегося? Он еще там работает? )))

admin_29
09:39:10 2020-09-16

молодцы сами удалили, и еще потом претензии предъявляют

Baikal_40
09:23:15 2020-09-16

Не забудь включить все компоненты защиты!

Alexander Собкор
09:17:14 2020-09-16

Недозащита недо-строенного недо-оснащённого и недо-подключенного объекта... Это круто! Это по нашему!

Двери недонавесили и недозакрыли...
Окна недовставили и недозастеклили...
Сквозняки гуляют и бацилы разносят...
Персонал болеет и начальство поносит...

Это неприятно, но это - полбеды.
Информация пропала... А ну её туды...
Петицию составлю, в "Поддержку" сообщу,
Пущая там разберутся,
Иль антивирус "Новый" назло им запущу...

P.S. Может быть, для некоторых, Dr.Web Security Space – это слишком сложно? И даже простейшие рекомендации о его поддержке в рабочем состоянии – это "китайская грамота"?

Vlad X
08:25:29 2020-09-16

Администратор должен знать свои сети.

Родриго
08:15:11 2020-09-16

Интересно, прямо детектив-расследование. Если человек допустил возможность собственной ошибки - может быть ещё научится, иначе расплатится за свою ригидность.
К сожалению, чаще встречаю тех, кто готов винить внешний мир, дабы не замарать собственную искалеченную самооценку.
Хорошего дня!

Tatiana
08:14:40 2020-09-16

Абсолютно все компоненты защиты имеют важное значение, в антивирусе нет ничего лишнего!!!

GREEN Собкор
08:04:17 2020-09-16

Читая подобное, не перестаешь удивляться. Что это? Безалаберность (безответственность?) или просто "недалёкий" (мягко сказано!) сисадмин? Работать на такой ответственной должности и при это не знать (не владеть информацией?) инфраструктуры собственной сети предприятия?
Нонсенс!
Это не есть хороший сисадмин. «На зеркало неча пенять, коли рожа крива.»

Неуёмный Обыватель Собкор
08:03:58 2020-09-16

Когда говорят "на всех устройствах был установлен антивирус", чаще всего забывают вставлять слово "известных мне" между "всех" и "устройствах".

maestro431
08:01:10 2020-09-16

Включайте все компоненты защиты!

ka_s
07:11:14 2020-09-16

Общепринято, что в организации должны быть генеральный директор и главный бухгалтер, при определенной численности появляется специалист по охране труда. Должность системного программиста вроде как и не обязательна. За ее отсутствие инспекторы не штрафуют, но потерять можно весь бизнес, если компьютерной безопасности не уделять должного внимания.

Sergey
06:35:52 2020-09-16

Администратора сети однозначно надо менять. Элементарная безграмотность и безалаберность. Сколько можно твердить, что антивирус должен осуществлять комплексную защиту и отключение, а тем более удаление одного из модулей защиты приводит к заражению, шифрованию и потере информации.

Slava90
06:19:10 2020-09-16

Обвинять работу антивируса и за собственной невнимательности, как то не серьёзно.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Недозащита

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей