Антивирус «для галочки»
22 декабря 2016
Постоянные читатели выпусков проекта «Антивирусная правДА!» наверняка уже обратили внимание, что основные советы, которые мы даем и которые должны обеспечить защиту от вредоносных программ, не так уж и сложны:
- поддерживать актуальность антивируса;
- не работать с повышенными правами;
- устанавливать обновления безопасности;
- не кликать по всем ссылкам подряд;
- делать резервные копии важных данных.
Ничего особо секретного, все очевидно и логично. Почему же тогда СМИ пестрят новостями о взломах, утечках? Одно из двух: либо наши советы не работают, поскольку хакеры с легкостью их обходят, либо они не обеспечивают защиту, а за высокий уровень безопасности нужно доплатить.
А еще есть вариант обхода защиты с помощью инсайдера:
Но обычно все куда проще…
Исходное заражение произошло из-за того, что антивирус на рабочей станции сотрудника, запустившего ВПО из фишингового письма, содержащего documents.exe, был отключен или использовал устаревшие антивирусные базы.
Необходимо отметить, что антивирусное ПО выявляло как исходные вредоносные вложения, так и активность злоумышленников после компрометации — задолго до того, как произошла кража средств. В числе прочего выявлялась подозрительная активность легитимного ПО Ammyy Admin. В некоторых случаях заражение было предотвращено антивирусом.
https://www.ptsecurity.com/upload/ptru/analytics/Cobalt-Snatch-rus.pdf
documents.exe, Карл! Кому придет в голову попытаться запустить такие файлы?!
При этом антивирусу это вредоносное ПО давно было известно, но его просто отключили! Там, где он был включен — просто включен, о детекте с помощью различных поведенческих анализаторов даже не было и речи — заражение не прошло.
Но дальше еще веселее:
Расследование показало, что запуск файла из фишинговых писем в разное время осуществили несколько сотрудников.
То есть никаких ограничений на запуск и работу запрещенного в банке ПО не существовало!
Для поиска и загрузки различных утилит (например, Mimikatz), злоумышленники использовали легитимные ресурсы, в частности распространенные поисковые системы, прямо со скомпрометированных узлов.
Мало того, что компьютеры сотрудников не были изолированы от Интернета, так банк еще и попался на удочку злоумышленников, которые прямо в ходе атаки непосредственно с зараженных машин искали нужные им утилиты для продолжения диверсии. Злобные хакеры, работающие в командной строке не глядя на монитор и воспринимающие ответы исключительно на слух… Да, неудивительно, что защита пала перед ними!
Ключевыми факторами, которые способствовали быстрому развитию вектора атаки на другие ресурсы ЛВС, стали отсутствие сегментации сети и избыточные привилегии учетной записи (атакованный пользователь являлся локальным администратором на всех рабочих станциях в локальной сети). Это позволило злоумышленникам легко развивать атаку, ведь им не пришлось использовать дополнительные эксплойты для повышения привилегий, а также искать пути проникновения в сегмент управления.
Для загрузки файлов применялся общедоступный ресурс для обмена файлами sendspace.com.
Анализ журналов системы защиты подтвердил перемещения в сети со скомпрометированных компьютеров, в том числе подтвердились факты подключений к банкоматам с помощью RAdmin. В инфраструктуре атакованного банка это ПО активно используется администраторами для удаленного управления, среди прочего, и банкоматами.
Сеть банкомата не была отделена от основной локальной сети и, видимо, от Интернета тоже, а специалисты по ИБ даже не заметили, что в банк ломятся неизвестные.
Кстати, если вы используете Dr.Web, то старт RAdmin (или другого средства удаленного управления) вызывает предупреждение о запуске потенциально опасной программы.
- Были скомпрометированы рабочие станции ключевых сотрудников, критически важные серверы, в том числе терминальный сервер и контроллер домена. Кроме того, злоумышленники получили пароли практически всех пользователей компании, включая учетные записи администраторов, что позволило беспрепятственно перемещаться внутри сети.
- За одну ночь из 6 банкоматов банка были похищены денежные средства в размере, эквивалентном 2 213 056 российским рублям в местной валюте.
- Чтобы получить наличные из банкоматов, использовались подставные лица (дропы). Один из таких дропов, гражданин Молдавии, был задержан с поличным правоохранительными органами при выемке банкнот.
Антивирусная правДА! рекомендует
Многие настолько уверены в своих силах, что не видят необходимости в использовании антивируса или периодически его отключают под предлогом торможения системы, при этом продолжая работать с правами администратора. Рано или поздно они за это расплачиваются.
Виноваты не плохие советы — виноваты те, кто думают, что антивирусы нужны для галочки.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
PahomUbuntu
15:52:55 2018-11-15
Toma
17:16:05 2018-07-30
Денисенко Павел Андреевич
21:31:29 2018-07-18
vasvet
12:20:12 2018-04-03
alex-diesel
18:23:56 2018-03-27
где-то накопилось слишком много системных ошибок и компьютеры не причина, а индикатор.
ka_s
08:48:41 2017-08-19
Natalya_2017
09:05:08 2017-04-07
Роза
19:37:22 2017-03-24
cruise
06:33:55 2017-03-06
eaglebuk
21:59:45 2017-02-03
Неуёмный Обыватель
03:03:19 2017-01-16
2018
20:00:52 2017-01-13
Но Вы знаете, что такое СОРМ-3?
Сотрудники ДрВеба точняк не в курсе.
Ripushka
00:07:12 2017-01-08
philosoph
23:12:45 2017-01-04
AntonIT
15:49:05 2017-01-03
Heorenmaru
22:03:45 2016-12-30
А именно добавили и включили по дефолту настройку "скрывать расширения для зарегистрированных типов файлов", из-за этой опции пользователи не могут отличить document.doc от document.exe.
Gerard de Villiers
18:39:34 2016-12-29
Довертись Dr.Web, проверьте им, да и сами не плошайте…
Nexusknv
10:08:20 2016-12-23
павел
08:59:00 2016-12-23
Неуёмный Обыватель
23:42:08 2016-12-22
razgen
23:10:31 2016-12-22
К...н
23:03:10 2016-12-22
ek
22:51:20 2016-12-22
НинаК
22:39:30 2016-12-22
1milS
22:17:45 2016-12-22
Геральт
21:37:51 2016-12-22
dyadya_Sasha
21:11:47 2016-12-22
То, что для читателей Аправды является прописной истиной, для других может быть неприятным открытием. Уверен, что кто-нибудь из ближайших знакомых точно запустил бы documents.exe. Уровень просвещенности в сфере информационной безопасности ещё очень и очень слабенький.
kva-kva
21:08:59 2016-12-22
Marsn77
20:59:08 2016-12-22
mk.insta
20:56:17 2016-12-22
orw_mikle
20:10:41 2016-12-22
krant
20:10:08 2016-12-22
Сергей
19:56:10 2016-12-22
tankirulyat
18:18:18 2016-12-22
djabax
16:31:03 2016-12-22
Zserg
15:13:17 2016-12-22
maxtat
14:49:45 2016-12-22
Sapfir
14:49:40 2016-12-22
Неуёмный Обыватель
14:33:48 2016-12-22
Дмитpий
13:18:09 2016-12-22
Old Fellow
13:13:01 2016-12-22
Шалтай Александр Болтай
13:04:31 2016-12-22
Masha
12:32:36 2016-12-22
Родриго
12:04:02 2016-12-22
Людмила
11:59:56 2016-12-22
персональное спасибо и вам!
sania2186
11:59:44 2016-12-22
Людмила
11:59:08 2016-12-22
спасибо, что помните:)) Для тех кто не в теме — сегодня день основания компании «Доктор Веб» Игорем Анатольевичем Даниловым.
Альфа
11:43:19 2016-12-22
Dzhetrou
11:14:47 2016-12-22
Azat
11:01:23 2016-12-22