В прошлом посте я рассказал немного о вирусе-вымогателе (на самом деле не вымогателе) Пете. Что оно такое, как атакует и почему так плохо. Сейчас же я коснусь такой тонкой и щекотливой темы, как оборона своих кибер-бастионов от этой гадости. В своих суждениях я буду опираться преимущественно на результаты анализа этого вируса, проведенные Лабораторией Касперского, Авастом и ESET. Как я уже писал, вирус лезет с обновлениями программы налоговой отчетности M.E.Doc. Это очень популярная в Украине софтина, которую использует любая контора, которая больше чем на десять компов. Я и сам с ней работал ранее, после чего постарался открестится как можно сильнее и не трогать ее руками вообще. Поэтому если вы используете Медок - плохие новости, он скомпроментирован и вы, скорее всего, сделать с этим ничего не сможете - насколько я помню, необновленные версии ПО не могут отправлять отчетность. Так что, вариант один - не используйте этот софт.
Мысли вслух: не удивлюсь, если в ближайшее время M.E.Doc объявит о банкротстве и прекратит свое существование - такой удар по репутации выдержать крайне сложно.
Второй вариант заражения - через нехорошее вложение в почту. Шифровальщик маскируется под офисные документы, PDF. Открытие приводит к запуску вредоноса, комп заражен, вся локальная сеть тоже. Быть очень внимательным при чтении почты - это, как мне кажется, давно должно стать нормой в мире крайне небезопасного интернета. Будьте очень внимательны к вложениям в своей почте!
К сожалению, фактор людских ошибок крайне велик. Кто-то не заметил, кто-то не подумал, кто-то по запарке жмякнул - комп заражен. Поэтому надо исходить из сценария, что заражение будет и постаратся минимизировать потери.
1. На все компьютеры необходимо накатить обновление, закрывающее уязвимость EthernalBlue (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx).
2. Ограничить распространение - закрыть все неиспользуемые порты, петруха лезет на 135, 139, 445.
3. Озаботится бэкапами и проверкой их работоспособности. Хранить их лучше всего на какой-нибудь линуксовой (или BSD'шной) тачке, которые пока что гораздо менее уязвимы к такого рода зловредам.
4. Ограничить пользователей, не сидеть под учетками доменных админов, да и вообще не сидеть под учетками админов. Если же все же зараза проникла в сеть, ее надо быстро обнаружить. Для этих целей прекрасно подходят HIDS-системы, в частности OSSEC, который будет анализировать логи и искать аномалии. Грамотно настроенная система такого уровня даст кучу звоночков, которые зловред будет цеплять во время работы. Так же очень важно анализировать траффик на предмет аномалий, но, к сожалению, я затрудняюсь назвать сейчас опенсорсные решения, а те, которые за деньги, мне потрогать руками не довелось. Если есть варианты - пишите в комментариях.
Уже зараженные компьютеры могут резко уйти в ребут, а при старте замаскироватся под CHKDSK, шифруя содержимое жесткого диска. Поэтому необходимо произвести с пользователями разъяснительную работу - пояснить, что в случае внезапного ребута и подозрительного черного экрана, надо вот прям вот сразу дернуть питание у компа и поставить в известность людей, которые компами зарабатывают себе на жизнь.
Важно! Повышать уровень пользователей на подотчетном предприятии жизненно необходимо. Бабушек из отдела кадров и тетю Алевтину из бухгалтерии просто ставить перед фактом - либо вы учитесь и подписываете бумагу о том, что выслушали, поняли и предупреждены, либо подписываете бумагу, что вам похер и ваши проблемы - результат вашей тупости. Это сложный процесс, я и сам неоднократно сталкивался с прямо таки фанатичным нежеланием хоть как-то разбиратся в работе компьютера (желание перее... стукнуть таких пользунов клавиатурой возникает регулярно), но это важно и нужно.
Резюмируя вышесказанное:
Обучение основам безопасности пользователей.
Накатка секьюрных апдейтов на операционные системы.
Жесткий контроль траффика по портам.
Идеально - почта и веб проходят через виртуалку. В дальнейших постах я скорее всего подниму эту тему, потому что она действительно интересна, секьюрна и весьма меня зацепила.
Использование систем обнаружения вторжений и аномалий.
Жесткий контроль за правами пользователей.
По возможности - контроль входящего траффика антивирусными решениями. Некоторые скажут - а почему ты раньше не заикнулся об антивирусах? Я же отвечу - я не считаю антивирусы хорошей штукой. Я уже лет семь не использую их от слова совсем и не страдаю. Ежемесячная проверка разовыми утилитами навроде avz4 и Doctor Web CureIt вполне успешно уже давно ничего не находит. Лучший антивирус - это опытный пользователь. Антивирус же считает себя самым умным на моем компе, жрет ресурсы, требует денег, наглеет и постепенно пользователь оказывается у него в подчинении, хотя должно быть наоборот. В результате возникает тот самый конфликт свободы и безопасности, вот только безопасностью и не пахнет. Потому что антивирусы умеют выискивать только знакомые им вредоносы, а любой незнакомый пройдет мимо любого антивируса, как будто его и нет. Менять удобство работы на иллюзию безопасности? Нет, совершенно не рекомендую.
---
Источники:
Статьи на хабре:
https://habrahabr.ru/company/pt/blog/331858/
https://habrahabr.ru/company/pt/blog/331962/
@nightwolk Поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Награда за количество голосов
Вы можете нажать на любой бейдж, чтобы увидеть свою страницу на Доске Почета.
Чтобы увидеть больше информации о Доске Почета, нажмите здесь
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стоп
Голосуя за это уведомление, вы помогаете всем пользователям Голоса. Узнайте, как здесь.
@nightwolk Поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Награда за количество полученных голосов
Вы можете нажать на любой бейдж, чтобы увидеть свою страницу на Доске Почета.
Чтобы увидеть больше информации о Доске Почета, нажмите здесь
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стоп
Голосуя за это уведомление, вы помогаете всем пользователям Голоса. Узнайте, как здесь.
Ваш пост поддержали следующие Инвесторы Сообщества "Добрый кит":
mikkitezz, kot, myhardmoney
Поэтому я тоже проголосовал за него!
Узнать подробности о сообществе можно тут:
Разрешите представиться - Кит Добрый
Правила
Инструкция по внесению Инвестиционного взноса
Вы тоже можете стать Инвестором и поддержать проект!!!
Если Вы хотите отказаться от поддержки Доброго Кита, то ответьте на этот комментарий командой "!нехочу"
Да, веб из под виртуалки это практически идеальный вариант для защиты от подобных вирусов.
Мне понравилось, как один знакомый специально у себя оставлял открытый порт на который вешал виртуалку и наблюдал действия кулхацкеров, которые в неё ломились)
Тот самый ханипод)) Да, это хорошая идея. Веб из виртуалки вообще отличная защита от любой угрозы со стороны веба, но это довольно сложно реализовать технически. Но оно того стоит
Проблема в том, что виртуалка не защищает от социальной инженерии))) пароли люди прое..ют и с виртуалок)))
Социальная инженерия - это отдельная тема и именно для этого надо работать с пользователями, как бы сложно это не было)
Лучшая учеба это пример)))
Раньше, кстати, вирусы злее были, начинку жгли))) Сейчас в основном по рублю бьют.
Про антивирусы все правильно сказано. Все, что по-настоящему опасно они пропускают на Добро пожаловать! Нет никакой адекватной защиты кроме множества ложных срабатываний.
В принципе, я очень надеялся на эвристический анализ. Это хорошая, благодатная тема, которая могла бы сделать действительно важные вещи. Но увы! как показывает практика, эвристика дает исключительно ложные срабатывания и не дает защиты. Как пример - эпидемия того самого Пети, которая до сих пор кошмарит мир. У массы пострадавших были самые последние обновления платных самых крутых антивирусных брендов. Это помогло? Нет. Так зачем им вообще платить деньги?
Удивительно почему люди не поставили обновления после эпидемии wannacry. Я практически сразу поставил.
Ну, эта уязвимость критична только в двух случаях - есть винда смотрит белым айпишником в мир и если зараза уже в локальной сети. Я вот на домашнюю винду все еще не поставил, и до сих пор жив, но моя винда - отдельный разговор, там вообще такая дичь творится.... Большая часть виндовых пиратов не рискнет ставить обновления, система может рухнуть. Многие пользователи считают, что обновления только мешают. Многим пофиг. Причин много, по которым люди не обновляются