Уважаемые пользователи Голос!
Сайт доступен в режиме «чтение» до сентября 2020 года. Операции с токенами Golos, Cyber можно проводить, используя альтернативные клиенты или через эксплорер Cyberway. Подробности здесь: https://golos.io/@goloscore/operacii-s-tokenami-golos-cyber-1594822432061
С уважением, команда “Голос”
GOLOS
RU
EN
UA
nightwolk
7 лет назад

Вирус Petya. Вопросы защиты

В прошлом посте я рассказал немного о вирусе-вымогателе (на самом деле не вымогателе) Пете. Что оно такое, как атакует и почему так плохо. Сейчас же я коснусь такой тонкой и щекотливой темы, как оборона своих кибер-бастионов от этой гадости. В своих суждениях я буду опираться преимущественно на результаты анализа этого вируса, проведенные Лабораторией Касперского, Авастом и ESET. Как я уже писал, вирус лезет с обновлениями программы налоговой отчетности M.E.Doc. Это очень популярная в Украине софтина, которую использует любая контора, которая больше чем на десять компов. Я и сам с ней работал ранее, после чего постарался открестится как можно сильнее и не трогать ее руками вообще. Поэтому если вы используете Медок - плохие новости, он скомпроментирован и вы, скорее всего, сделать с этим ничего не сможете - насколько я помню, необновленные версии ПО не могут отправлять отчетность. Так что, вариант один - не используйте этот софт. 

Мысли вслух: не удивлюсь, если в ближайшее время M.E.Doc объявит о банкротстве и прекратит свое существование - такой удар по репутации выдержать крайне сложно. 

Второй вариант заражения - через нехорошее вложение в почту. Шифровальщик маскируется под офисные документы, PDF. Открытие приводит к запуску вредоноса, комп заражен, вся локальная сеть тоже. Быть очень внимательным при чтении почты - это, как мне кажется, давно должно стать нормой в мире крайне небезопасного интернета. Будьте очень внимательны к вложениям в своей почте! 

К сожалению, фактор людских ошибок крайне велик. Кто-то не заметил, кто-то не подумал, кто-то по запарке жмякнул - комп заражен. Поэтому надо исходить из сценария, что заражение будет и постаратся минимизировать потери. 

1. На все компьютеры необходимо накатить обновление, закрывающее уязвимость EthernalBlue (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx). 

2. Ограничить распространение - закрыть все неиспользуемые порты, петруха лезет на 135, 139, 445. 

3. Озаботится бэкапами и проверкой их работоспособности. Хранить их лучше всего на какой-нибудь линуксовой (или BSD'шной) тачке, которые пока что гораздо менее уязвимы к такого рода зловредам. 

4. Ограничить пользователей, не сидеть под учетками доменных админов, да и вообще не сидеть под учетками админов. Если же все же зараза проникла в сеть, ее надо быстро обнаружить. Для этих целей прекрасно подходят HIDS-системы, в частности OSSEC, который будет анализировать логи и искать аномалии. Грамотно настроенная система такого уровня даст кучу звоночков, которые зловред будет цеплять во время работы. Так же очень важно анализировать траффик на предмет аномалий, но, к сожалению, я затрудняюсь назвать сейчас опенсорсные решения, а те, которые за деньги, мне потрогать руками не довелось. Если есть варианты - пишите в комментариях. 

Уже зараженные компьютеры могут резко уйти в ребут, а при старте замаскироватся под CHKDSK, шифруя содержимое жесткого диска. Поэтому необходимо произвести с пользователями разъяснительную работу - пояснить, что в случае внезапного ребута и подозрительного черного экрана, надо вот прям вот сразу дернуть питание у компа и поставить в известность людей, которые компами зарабатывают себе на жизнь.

Важно! Повышать уровень пользователей на подотчетном предприятии жизненно необходимо. Бабушек из отдела кадров и тетю Алевтину из бухгалтерии просто ставить перед фактом - либо вы учитесь и подписываете бумагу о том, что выслушали, поняли и предупреждены, либо подписываете бумагу, что вам похер и ваши проблемы - результат вашей тупости. Это сложный процесс, я и сам неоднократно сталкивался с прямо таки фанатичным нежеланием хоть как-то разбиратся в работе компьютера (желание перее... стукнуть таких пользунов клавиатурой возникает регулярно), но это важно и нужно. 

Резюмируя вышесказанное: 

Обучение основам безопасности пользователей. 

Накатка секьюрных апдейтов на операционные системы. 

Жесткий контроль траффика по портам. 

Идеально - почта и веб проходят через виртуалку. В дальнейших постах я скорее всего подниму эту тему, потому что она действительно интересна, секьюрна и весьма меня зацепила. 

Использование систем обнаружения вторжений и аномалий. 

Жесткий контроль за правами пользователей. 

По возможности - контроль входящего траффика антивирусными решениями. Некоторые скажут - а почему ты раньше не заикнулся об антивирусах? Я же отвечу - я не считаю антивирусы хорошей штукой. Я уже лет семь не использую их от слова совсем и не страдаю. Ежемесячная проверка разовыми утилитами навроде avz4 и Doctor Web CureIt вполне успешно уже давно ничего не находит. Лучший антивирус - это опытный пользователь. Антивирус же считает себя самым умным на моем компе, жрет ресурсы, требует денег, наглеет и постепенно пользователь оказывается у него в подчинении, хотя должно быть наоборот. В результате возникает тот самый конфликт свободы и безопасности, вот только безопасностью и не пахнет. Потому что антивирусы умеют выискивать только знакомые им вредоносы, а любой незнакомый пройдет мимо любого антивируса, как будто его и нет. Менять удобство работы на иллюзию безопасности? Нет, совершенно не рекомендую.

---

Источники:

Статьи на хабре: 

https://habrahabr.ru/company/pt/blog/331858/

https://habrahabr.ru/company/pt/blog/331962/

https://habrahabr.ru/company/cisco/blog/331990/

https://habrahabr.ru/post/331978/

0
0.016 GOLOS
0
Ответить
На Golos с June 2017
Комментарии (12)
Сортировать по:
Сначала старые
© 2016 - 2024 Golos.io