-
добавить в избранное
Кто виноват и что делать
22 октября 2019
Многие «вечные вопросы», применимые в том числе и в сфере информационной безопасности, на поверку оказываются вполне решаемыми, если следовать общеизвестным принципам защиты: пользоваться только легальным ПО, своевременно обновлять все программы, по возможности отказаться от устаревшего оборудования и неподдерживаемого разработчиком ПО, установить антивирус и регулярно его обновлять, проводить ежедневную антивирусную проверку, не работать с правами администратора, не переходить по ссылкам в подозрительных почтовых сообщениях, делать регулярные бэкапы, использовать технологии превентивной защиты от еще не известных угроз и т. д. и т. п. Но время от времени появляются новости, прочитав которые, не знаешь что и сказать.
Дженнетт Манфра, представитель Агентства по кибербезопасности и безопасности инфраструктуры (CISA), входящего в состав Министерства внутренней безопасности (МВБ) США, полагает, что никто не сможет остановить еще одну глобальную волну атак вроде WannaCry.
По ее словам, уникальность атаки 2017 года (WannaCry) заключается в невероятной скорости распространения вредоноса.
«Понятия не имею, сможем ли мы когда-либо предотвратить подобную эпидемию. В этом случае мы сталкиваемся с компьютерным червем. Мне кажется, что преступники даже не рассчитывали на такие масштабы кибероперации», – заявила заместитель директора CISA.
WannaCry не был ужасным-преужасным вирусом. Он распространялся (а его клоны и продолжают распространяться) через уязвимость, заплатку для которой не установили на момент начала эпидемии и продолжают игнорировать и сейчас. Анализ Trojan.Encoder.11432 (он же – WannaCry, WannaCryptor, WanaCrypt0r, WCrypt, WCRY и WNCRY), проведенный специалистами компании «Доктор Веб», показал, что его характеризуют:
- отсутствие перешифрования,
- отсутствие средств маскировки от антивирусных программ,
- уязвимая система связи серверами управления.
Вот, например, куда более продвинутый вирус:
Trojan.EternalRocks.1 использует сразу семь эксплоитов АНБ – EternalBlue, Eternalchampion, Eternalromance, Eternalsynergy, Doublepulsar, Architouch и SMBtouch и подобно WannaCry проникает через открытые порты 445.
С целью обмануть системы защиты – маскируется под WannaCry, но при этом не загружает на атакуемую систему вымогательское ПО.
Для связи с C&C-сервером EternalRocks использует Tor.
В отличие от WannaCry в коде отсутствует вшитый адрес домена, позволяющего его отключить.
На зараженной системе EternalRocks получает права администратора, и даже если потом на ОС было установлено исправляющее уязвимость обновление, червь продолжает действовать.
И распространяется WannaCry не с такой уж ужасной скоростью. Бывали и куда более мощные эпидемии (хотя и менее разрушительные), например Adylkuzz:
WannaCry хоть и стал известным, но его обогнал «тихий» вирус-майнер Adylkuzz, который использовал аналогичные способы распространения и заражения компьютеров под управлением Windows.
Или троянец UIWIX:
В отличие от WannaCry Trojan.Encoder.11536 (UIWIX) не использует файлы – после эксплуатации уязвимости он выполняется в памяти.
UIWIX гораздо незаметнее, чем WannaCry. В ходе атаки на диск компьютера не записываются никакие файлы/компоненты, что усложняет обнаружение вредоносного ПО.
Оказавшись на виртуальной машине или в песочнице – самоуничтожается.
В его коде нет вшитого адреса домена, позволяющего отключить функцию шифрования файлов.
Самое интересное, что эти черви стали для исследователей сюрпризом.
В процессе исследования ребята подключили к интернету уязвимый к EternalBlue компьютер и ждали, когда он подхватит WannaCry. Но к их большому удивлению, компьютер подцепил неожиданного и менее шумного гостя – вирус-майнера Adylkuzz. Ребята несколько раз повторили операцию подключения чистого компьютера к интернету, результат тот же: примерно через 20 минут он оказывался зараженным вирусом Adylkuzz и подключается к его ботнету.
Фактически для защиты от подавляющего числа угроз нужно устанавливать обновления, не разрешать пользователям устанавливать новое ПО и запрещать им работать с правами администраторов системы. Но все эти правила нарушаются. И нарушаются именно в крупных компаниях, где обновление – долгий процесс, с вероятностью что-то порушить в каком-нибудь сервисе.
После установки кумулятивного обновления для Windows 10 гипервизор VMware Workstation перестает запускаться.
В обсуждении проблемы на сайте Microsoft пользователи жалуются, что обновление их лицензий на 100 VMware Workstation обойдется в €11,5 тыс.
Установка обновлений требует использования специального тестового сегмента сети, в котором будут проверяться все сценарии типичной работы сервисов и пользователей после установки обновления. И устанавливаться обновления должны только после прохождения таких тестов. Дорого, долго и, честно признаемся, не может дать стопроцентной гарантии.
Плюс старое ПО. До сих пор у многих работает ПО, требующее SMB v1, – именно то, уязвимое, через которое и проникал WannaCry. И отказаться от этой версии протокола никак нельзя. Например, по причине того, что нет уже того разработчика, который писал сервис, и никому неведомо, как оно работает. Или железо давно снято с поддержки производителем. Проблемы, конечно, можно решить, но это стоит денег.
#уязвимость #эксплойт #троянец #Trojan.Encoder #Windows #обновления_безопасности #пароль #антивирус #лицензия
Антивирусная правДА! рекомендует
Что делать, если нельзя избавиться от устаревшего ПО и поставить антивирус на уязвимое «железо» тоже нельзя?
- Сегментируйте сеть. Уязвимый участок сети должен быть изолирован от иных участков. Злоумышленники не должны выйти за пределы зараженного сегмента.
- Используйте стойкие пароли. Злоумышленники не должны иметь возможность их подобрать для развития атаки с зараженных машин. Пароли к внешним сервисам, антивирусу и иному ПО должны отличаться от паролей для операционной системы.
- Где возможно – устанавливайте обновления.
- Используйте белый список разрешенных программ и по мере возможности не разрешайте работать сервисам и пользователям с правами администратора. Злоумышленники не должны иметь возможность доустановить свое ПО.
- Ограничьте доступ к сетевым и локальным ресурсам. Входящие соединения – только с разрешенных адресов.
- Там, где установлен антивирус, его версия должна быть актуальной, а лицензия – действующей.
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
kozinka.ru
17:04:47 2019-12-17
Спасибо за столь нужные рекомендации!
Oleg
02:01:04 2019-11-17
Шалтай Александр Болтай
23:06:05 2019-10-22
Toma
22:57:55 2019-10-22
Геральт
22:17:09 2019-10-22
Korney
21:29:01 2019-10-22
orw_mikle
20:56:51 2019-10-22
Dvakota
20:28:21 2019-10-22
anatol
20:20:13 2019-10-22
razgen
20:16:45 2019-10-22
Татьяна
20:14:06 2019-10-22
I23
19:29:46 2019-10-22
Masha
19:25:07 2019-10-22
Lia00
19:16:28 2019-10-22
L1t1um
18:51:22 2019-10-22
Dmur
18:18:22 2019-10-22
I46
14:46:27 2019-10-22
Serg07
14:21:17 2019-10-22
Денисенко Павел Андреевич
13:49:56 2019-10-22
EvgenyZ
12:46:31 2019-10-22
achemolganskiy
12:38:33 2019-10-22
vinnetou
12:09:14 2019-10-22
FeliXAK
11:39:45 2019-10-22
Tanya086
11:39:26 2019-10-22
dyadya_Sasha
11:10:13 2019-10-22
Lex
11:08:15 2019-10-22
Cheshek
10:47:06 2019-10-22
Саня
10:32:16 2019-10-22
Alexander
10:07:09 2019-10-22
Конечно, просвещение необходимо, - предупреждён, значит вооружён. Многое нам в помощь...
И опыт, сын ошибок трудных,
И гений, парадоксов друг,
И случай, Бог изобретатель...
То, что проверено Временем, что "прижилось" и стало традицией, то привычное и "понятное", что воспринимается как банальность, то, о чём твердят как очищающую и оберегающую мантру... Всё это может в какой-то момент стать именно тем камнем преткновения, который не позволит угрозе сделать пакость.
Всё это работает, всё это помогает (иногда?), всё это необходимо использовать как по отдельности, так и в комплексе (эффективнее!). Но, полагаю, уже сегодня - то время, когда количество не переходит в качество. И требуются принципиально новые подходы в организации защиты от беспрерывно появляющихся угроз и "дыр" в электронных системах. Этого требует и превентивная защита.
P.S. Данность реальности в том, что "защита" и "нападение" всегда в одной связке. Первое не существует без второго. Лысому не нужен парикмахер.
P.P.S. И как бы то ни было "на самом деле", и кто бы и о чём бы ни говорил, какие бы мантры и танцы с бубном не производились, - только актуальный Dr.Web Security Space нам всем в помощь.
Alexey
09:36:02 2019-10-22
SGES
09:26:35 2019-10-22
Vlad X
09:02:07 2019-10-22
Оборудование надо обновлять,а это накладно.
Александр
08:51:38 2019-10-22
Неуёмный Обыватель
08:44:37 2019-10-22
Zserg
08:35:10 2019-10-22
marisha-san
08:22:43 2019-10-22
vkor
08:19:39 2019-10-22
Главное, не сваливаться в риторику.
Авторам статьи вроде удалось.
Lenba
08:07:39 2019-10-22
tigra
08:03:32 2019-10-22
DoctorW
08:00:37 2019-10-22
Пaвeл
07:53:43 2019-10-22
maestro431
07:47:22 2019-10-22
ka_s
07:18:31 2019-10-22
cruise
06:36:20 2019-10-22
Любитель пляжного футбола
06:14:40 2019-10-22
Sasha50
05:35:23 2019-10-22
Sasha50
05:33:36 2019-10-22
Morpheus
04:51:27 2019-10-22
Xamanaptr
04:44:44 2019-10-22