Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Антивирус «для галочки»

Прочитали: 17941 Комментариев: 76 Рейтинг: 341

22 декабря 2016

Постоянные читатели выпусков проекта «Антивирусная правДА!» наверняка уже обратили внимание, что основные советы, которые мы даем и которые должны обеспечить защиту от вредоносных программ, не так уж и сложны:

  • поддерживать актуальность антивируса;
  • не работать с повышенными правами;
  • устанавливать обновления безопасности;
  • не кликать по всем ссылкам подряд;
  • делать резервные копии важных данных.

Ничего особо секретного, все очевидно и логично. Почему же тогда СМИ пестрят новостями о взломах, утечках? Одно из двух: либо наши советы не работают, поскольку хакеры с легкостью их обходят, либо они не обеспечивают защиту, а за высокий уровень безопасности нужно доплатить.

А еще есть вариант обхода защиты с помощью инсайдера:

#drweb

#drweb

Но обычно все куда проще…

Исходное заражение произошло из-за того, что антивирус на рабочей станции сотрудника, запустившего ВПО из фишингового письма, содержащего documents.exe, был отключен или использовал устаревшие антивирусные базы.

Необходимо отметить, что антивирусное ПО выявляло как исходные вредоносные вложения, так и активность злоумышленников после компрометации — задолго до того, как произошла кража средств. В числе прочего выявлялась подозрительная активность легитимного ПО Ammyy Admin. В некоторых случаях заражение было предотвращено антивирусом.

https://www.ptsecurity.com/upload/ptru/analytics/Cobalt-Snatch-rus.pdf

documents.exe, Карл! Кому придет в голову попытаться запустить такие файлы?!

При этом антивирусу это вредоносное ПО давно было известно, но его просто отключили! Там, где он был включен — просто включен, о детекте с помощью различных поведенческих анализаторов даже не было и речи — заражение не прошло.

Но дальше еще веселее:

Расследование показало, что запуск файла из фишинговых писем в разное время осуществили несколько сотрудников.

То есть никаких ограничений на запуск и работу запрещенного в банке ПО не существовало!

Для поиска и загрузки различных утилит (например, Mimikatz), злоумышленники использовали легитимные ресурсы, в частности распространенные поисковые системы, прямо со скомпрометированных узлов.

Мало того, что компьютеры сотрудников не были изолированы от Интернета, так банк еще и попался на удочку злоумышленников, которые прямо в ходе атаки непосредственно с зараженных машин искали нужные им утилиты для продолжения диверсии. Злобные хакеры, работающие в командной строке не глядя на монитор и воспринимающие ответы исключительно на слух… Да, неудивительно, что защита пала перед ними!

Ключевыми факторами, которые способствовали быстрому развитию вектора атаки на другие ресурсы ЛВС, стали отсутствие сегментации сети и избыточные привилегии учетной записи (атакованный пользователь являлся локальным администратором на всех рабочих станциях в локальной сети). Это позволило злоумышленникам легко развивать атаку, ведь им не пришлось использовать дополнительные эксплойты для повышения привилегий, а также искать пути проникновения в сегмент управления.

Для загрузки файлов применялся общедоступный ресурс для обмена файлами sendspace.com.

Анализ журналов системы защиты подтвердил перемещения в сети со скомпрометированных компьютеров, в том числе подтвердились факты подключений к банкоматам с помощью RAdmin. В инфраструктуре атакованного банка это ПО активно используется администраторами для удаленного управления, среди прочего, и банкоматами.

Сеть банкомата не была отделена от основной локальной сети и, видимо, от Интернета тоже, а специалисты по ИБ даже не заметили, что в банк ломятся неизвестные.

Кстати, если вы используете Dr.Web, то старт RAdmin (или другого средства удаленного управления) вызывает предупреждение о запуске потенциально опасной программы.

  • Были скомпрометированы рабочие станции ключевых сотрудников, критически важные серверы, в том числе терминальный сервер и контроллер домена. Кроме того, злоумышленники получили пароли практически всех пользователей компании, включая учетные записи администраторов, что позволило беспрепятственно перемещаться внутри сети.
  • За одну ночь из 6 банкоматов банка были похищены денежные средства в размере, эквивалентном 2 213 056 российским рублям в местной валюте.
  • Чтобы получить наличные из банкоматов, использовались подставные лица (дропы). Один из таких дропов, гражданин Молдавии, был задержан с поличным правоохранительными органами при выемке банкнот.
#антивирус #безопасность #взлом #киберпреступление

Антивирусная правДА! рекомендует

Многие настолько уверены в своих силах, что не видят необходимости в использовании антивируса или периодически его отключают под предлогом торможения системы, при этом продолжая работать с правами администратора. Рано или поздно они за это расплачиваются.

Виноваты не плохие советы — виноваты те, кто думают, что антивирусы нужны для галочки.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: