Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (79)
  • добавить в избранное
    Добавить в закладки

Кто виноват и что делать

Прочитали: 2224 Комментариев: 50 Рейтинг: 74

Многие «вечные вопросы», применимые в том числе и в сфере информационной безопасности, на поверку оказываются вполне решаемыми, если следовать общеизвестным принципам защиты: пользоваться только легальным ПО, своевременно обновлять все программы, по возможности отказаться от устаревшего оборудования и неподдерживаемого разработчиком ПО, установить антивирус и регулярно его обновлять, проводить ежедневную антивирусную проверку, не работать с правами администратора, не переходить по ссылкам в подозрительных почтовых сообщениях, делать регулярные бэкапы, использовать технологии превентивной защиты от еще не известных угроз и т. д. и т. п. Но время от времени появляются новости, прочитав которые, не знаешь что и сказать.

Дженнетт Манфра, представитель Агентства по кибербезопасности и безопасности инфраструктуры (CISA), входящего в состав Министерства внутренней безопасности (МВБ) США, полагает, что никто не сможет остановить еще одну глобальную волну атак вроде WannaCry.

По ее словам, уникальность атаки 2017 года (WannaCry) заключается в невероятной скорости распространения вредоноса.

«Понятия не имею, сможем ли мы когда-либо предотвратить подобную эпидемию. В этом случае мы сталкиваемся с компьютерным червем. Мне кажется, что преступники даже не рассчитывали на такие масштабы кибероперации», – заявила заместитель директора CISA.

Источник

WannaCry не был ужасным-преужасным вирусом. Он распространялся (а его клоны и продолжают распространяться) через уязвимость, заплатку для которой не установили на момент начала эпидемии и продолжают игнорировать и сейчас. Анализ Trojan.Encoder.11432 (он же – WannaCry, WannaCryptor, WanaCrypt0r, WCrypt, WCRY и WNCRY), проведенный специалистами компании «Доктор Веб», показал, что его характеризуют:

  • отсутствие перешифрования,
  • отсутствие средств маскировки от антивирусных программ,
  • уязвимая система связи серверами управления.

Вот, например, куда более продвинутый вирус:

Trojan.EternalRocks.1 использует сразу семь эксплоитов АНБ – EternalBlue, Eternalchampion, Eternalromance, Eternalsynergy, Doublepulsar, Architouch и SMBtouch и подобно WannaCry проникает через открытые порты 445.

С целью обмануть системы защиты – маскируется под WannaCry, но при этом не загружает на атакуемую систему вымогательское ПО.

Для связи с C&C-сервером EternalRocks использует Tor.

В отличие от WannaCry в коде отсутствует вшитый адрес домена, позволяющего его отключить.

На зараженной системе EternalRocks получает права администратора, и даже если потом на ОС было установлено исправляющее уязвимость обновление, червь продолжает действовать.

Источник

И распространяется WannaCry не с такой уж ужасной скоростью. Бывали и куда более мощные эпидемии (хотя и менее разрушительные), например Adylkuzz:

WannaCry хоть и стал известным, но его обогнал «тихий» вирус-майнер Adylkuzz, который использовал аналогичные способы распространения и заражения компьютеров под управлением Windows.

Источник 1, 2

Или троянец UIWIX:

В отличие от WannaCry Trojan.Encoder.11536 (UIWIX) не использует файлы – после эксплуатации уязвимости он выполняется в памяти.

UIWIX гораздо незаметнее, чем WannaCry. В ходе атаки на диск компьютера не записываются никакие файлы/компоненты, что усложняет обнаружение вредоносного ПО.

Оказавшись на виртуальной машине или в песочнице – самоуничтожается.

В его коде нет вшитого адреса домена, позволяющего отключить функцию шифрования файлов.

Источник 1, 2

Самое интересное, что эти черви стали для исследователей сюрпризом.

В процессе исследования ребята подключили к интернету уязвимый к EternalBlue компьютер и ждали, когда он подхватит WannaCry. Но к их большому удивлению, компьютер подцепил неожиданного и менее шумного гостя – вирус-майнера Adylkuzz. Ребята несколько раз повторили операцию подключения чистого компьютера к интернету, результат тот же: примерно через 20 минут он оказывался зараженным вирусом Adylkuzz и подключается к его ботнету.

Источник 1, 2

Фактически для защиты от подавляющего числа угроз нужно устанавливать обновления, не разрешать пользователям устанавливать новое ПО и запрещать им работать с правами администраторов системы. Но все эти правила нарушаются. И нарушаются именно в крупных компаниях, где обновление – долгий процесс, с вероятностью что-то порушить в каком-нибудь сервисе.

После установки кумулятивного обновления для Windows 10 гипервизор VMware Workstation перестает запускаться.

В обсуждении проблемы на сайте Microsoft пользователи жалуются, что обновление их лицензий на 100 VMware Workstation обойдется в €11,5 тыс.

Источник

Установка обновлений требует использования специального тестового сегмента сети, в котором будут проверяться все сценарии типичной работы сервисов и пользователей после установки обновления. И устанавливаться обновления должны только после прохождения таких тестов. Дорого, долго и, честно признаемся, не может дать стопроцентной гарантии.

Плюс старое ПО. До сих пор у многих работает ПО, требующее SMB v1, – именно то, уязвимое, через которое и проникал WannaCry. И отказаться от этой версии протокола никак нельзя. Например, по причине того, что нет уже того разработчика, который писал сервис, и никому неведомо, как оно работает. Или железо давно снято с поддержки производителем. Проблемы, конечно, можно решить, но это стоит денег.

#уязвимость #эксплойт #троянец #Trojan.Encoder #Windows #обновления_безопасности #пароль #антивирус #лицензия

Dr.Web рекомендует

Что делать, если нельзя избавиться от устаревшего ПО и поставить антивирус на уязвимое «железо» тоже нельзя?

  1. Сегментируйте сеть. Уязвимый участок сети должен быть изолирован от иных участков. Злоумышленники не должны выйти за пределы зараженного сегмента.
  2. Используйте стойкие пароли. Злоумышленники не должны иметь возможность их подобрать для развития атаки с зараженных машин. Пароли к внешним сервисам, антивирусу и иному ПО должны отличаться от паролей для операционной системы.
  3. Где возможно – устанавливайте обновления.
  4. Используйте белый список разрешенных программ и по мере возможности не разрешайте работать сервисам и пользователям с правами администратора. Злоумышленники не должны иметь возможность доустановить свое ПО.
  5. Ограничьте доступ к сетевым и локальным ресурсам. Входящие соединения – только с разрешенных адресов.
  6. Там, где установлен антивирус, его версия должна быть актуальной, а лицензия – действующей.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей