Страшен ли кролик, как его малюют?
dushanba, 30-oktabr, 2017
Среда, 25 октября 2017 года — день, когда все СМИ трубили о новой эпидемии шифровальщика, гадали об авторстве атаки на Россию, Украину и Германию, судили и рядили о переделе антивирусного рынка и многом другом. Для начала давайте посмотрим, что представляет собой DPH:Trojan.Encoder.32, в просторечии — Bad Rabbit.
Прежде всего о методе распространения. Злоумышленники взломали несколько новостных сайтов (по сообщениям СМИ, пострадали «Фонтанка» и «Новая газета»), внедрили JavaScript. В общем и целом ничего особенного — как мы уже неоднократно писали, более 80% сайтов уязвимы для взлома. Вредоносный код в принципе может быть внедрен на саму страницу и в используемые скрипты, а также подгружен с иного ресурса в момент загрузки взломанной страницы. Вариантов много.
Мы неоднократно предупреждали о том, что взлом сайта, посещаемого некой целевой группой, может стать очень эффективной атакой, тем более если вредоносный код будет размещен непосредственно перед моментом максимальной посещаемости ресурса — скажем, в конце рабочего дня.
http://blog.ptsecurity.ru/2017/09/web-apps-attacks-2017.html
В ходе этой атаки в момент посещения сайта пользователю предлагалось установить обновление для Flash Player. При этом пользователь должен сам (сам, Карл, сам!) кликнуть на кнопку Install и тем самым запустить дроппер.
Сразу возникает несколько вопросов.
- Вопрос 1. Что делают сотрудники отчитавшихся о заражении компаний (в том числе банковских) на новостных сайтах в рабочее время? Вполне понятно, что есть сотрудники, которым по должности положено быть в курсе новостей, но почему тогда их компьютеры находятся в общей корпоративной сети, в которой расположены критически важные ресурсы компании?
- Вопрос 2. Почему пользователь имеет право установки новых приложений?
- Вопрос 3. Почему в браузере не отключены JavaScript'ы?
Три вопроса. Если бы таких возможностей не было — никакой эпидемии кролика тоже не было бы. DPH:Trojan.Encoder.32 не использовал для проникновения никаких уязвимостей — все делал за него пользователь.
Напоминаем, что троянские программы (а DPH:Trojan.Encoder.32 это именно троянец) не могут распространяться сами — их распространяют пользователи своими действиями.
По имеющимся данным, DPH:Trojan.Encoder.32 не использует никаких методов обхода UAC. Пользователь сам соглашается на запуск нового приложения.
- Вопрос 4. Использовался ли в пострадавших компаниях UAC или он был отключен как надоедливый?
DPH:Trojan.Encoder.32 после запуска проверяет наличие процессов dwengine.exe, dwwatcher.exe, dwarkdaemon.exe, dwservice.exe — то есть при наличии Dr.Web он пропускает первый этап шифрования, видимо, с целью избежать преждевременного обнаружения.
Кроме этого, DPH:Trojan.Encoder.32 пытается модифицировать главную загрузочную запись жесткого диска (MBR). Эта операция блокируется антивирусом Dr.Web.
- Вопрос 5. Почему у пользователей не установлен современный антивирус, имеющий механизмы превентивной защиты, контролирующей работу запущенных процессов и обнаруживающей вредоносные программы, еще не поступившие на анализ в антивирусную лабораторию? Сколько раз можно говорить, что «просто» антивирусы, полагающиеся только на антивирусное ядро, — путь к заражению?
Далее DPH:Trojan.Encoder.32 пытается провести сканирование сети в поисках расшаренных ресурсов. Опять же, никакие уязвимости не используются, в троянце жестко зашит список стандартных паролей и логинов.
- Вопрос 6. Сколько раз говорить, что пароль 12345678 — это не защита?
В данном выпуске мы не ставили задачу описать нового троянца, описание уже доступно. Мы лишь показали, что при соблюдении элементарных мер предосторожности никакой эпидемии не было бы. Но она была (у тех, кто не пользуется Dr.Web).
#Trojan.Encoder #троянец #шифровальщикАнтивирусная правДА! рекомендует
Не секрет, что антивирус часто установлен «для галочки», а еще зачастую он выключен. И тем не менее он обязан защищать!
- Антивирус должен быть актуальным (регулярно обновляемым).
- Антивирус должен иметь действующую лицензию.
- Антивирус не должен быть выключен.
- Антивирус должен уметь ловить неизвестные вредоносные программы.
- Антивирус должен использовать превентивную защиту.
- Исключения из проверки — крайне опасны!
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
13:23:56 2018-08-05
Неуёмный Обыватель
22:03:35 2018-06-21
vasvet
19:47:44 2018-04-05
Littlefish
20:55:19 2017-10-31
Спецы должны настроить всё так, что неважно что там нажимают "безграмотные" недисциплинированные сотрудники, на какие сайты ходят и какие файлы открывают/запускают, на то они и специалисты, а не обычные юзеры. Если всё будет грамотно настроено, то от пользователя мало что будет зависеть, в плане причастности к заражению.
Повышение грамотности пользователей и разъяснительная работа тоже не лишнее, однако всё равно по большей части компьютерная безопасность больше зависит от ИТ-отдела, чем от обычных пользователей.
razgen
18:05:32 2017-10-31
- "Все проблемы исключительно от исполнительской дисциплины каждого сотрудника на своём рабочем месте."
- "...на промышленных предприятиях и то более серьёзное отношение к этому вопросу."
- "...Видимо поэтому не часто мы слышим о взломе сетей промышленных предприятий."
Littlefish
15:14:17 2017-10-31
1. Блокировались сайты в интернете, посещение которых не относится к служебным обязанностям.
2. Пользователь не имел прав для установки новых приложений.
3. Были отключены JavaScript'ы.
4. Включён UAC.
5. Был установлен современный антивирус, имеющий механизмы превентивной защиты, контролирующей работу запущенных процессов и обнаруживающей вредоносные программы, еще не поступившие на анализ в антивирусную лабораторию плюс грамотно настроен плюс отключена возможность изменения настроек антивируса.
6. Установлен надёжный пароль с периодической его сменой.
Как было написано в выпуске, при соблюдении хотя бы первых трёх пунктов никакой эпидемии "кролика" не было бы. С настройкой по первым трём пунктам может справиться любой постоянный читатель проекта Антивирусная правда, у которого нету специального технического образования (да даже учащийся старших классов сможет, который интересуется настройкой ПК, сейчас у кого моложе возраст, до разумных пределов конечно, тот быстрее разберётся в настройке ПК и не только).
Если Вы знаете, или кто-нибудь другой знает, чем это там настолько заняты "специалисты" ИТ-отдела пострадавших от шифровальщика Bad Rabbit компаний, что они не могут несколько простых действий сделать, с которыми может справится даже ребёнок, то напишите пожалуйста, интересно будет прочитать.
m18151
02:46:54 2017-10-31
razgen
00:05:27 2017-10-31
О домашнем ПК обычно заботиться один, иногда несколько человек, и этот человек знает, что именно он ответственен за защиту ПК, и он ответственно к этому вопросу подходит.
А в большой компании все перекладывают ответственность друг на друга, найти ответственного довольно сложно.
А мне видится эта проблема наоборот. У домашнего ПК довольно часто бывает два-три пользователя, причём сами они также довольно часто, мягко говоря "чайники" и при возникновении проблем не знают что делать и "куда бежать". А зачастую и не подозревают что проблема уже возникла. Ухудшение работы ПК связанное с внедрением зловреда ПК у них не вызывает беспокойства, они считают что видимо так и должно быть и даже когда ситуация становится совсем критической пытаются разобраться "методом тыка", усугубляя её.
А в любой компании у каждого компьютера исключительно один пользователь. Имеется отдел информационных технологий, укомплектованный высокограмотными специалистами. В случае возникновения вопросов у пользователя он всегда может рассчитывать на оперативную квалифицированную помощь. Все проблемы исключительно от исполнительской дисциплины каждого сотрудника на своём рабочем месте. И озвученная вами поговорка здесь уже будет с точностью до наоборот: у одной няньки (специалист ИТ-отдела) семь дитя (пользователей на рабочих местах).
G-Man
23:37:23 2017-10-30
vla_va
22:59:41 2017-10-30
В...а
22:53:33 2017-10-30
Dvakota
22:29:16 2017-10-30
Galina X
22:24:45 2017-10-30
О домашнем ПК речь не идет,сам виноват.Но в организациях-это вопрос?
Безопасность прежде всего и это главное.
НинаК
22:19:36 2017-10-30
Любитель пляжного футбола
22:09:07 2017-10-30
Многие просто ленятся придумать что-нибудь более сложное, чем 12345, и через 20 лет проблема эта никуда не денется. Так что надо просто заставить. Бедные юзеры, представляю, как заскрипят их мозги! :)
Littlefish
21:51:17 2017-10-30
У семи нянек дитя без глазу...
О домашнем ПК обычно заботиться один, иногда несколько человек, и этот человек знает, что именно он ответственен за защиту ПК, и он ответственно к этому вопросу подходит.
А в большой компании все перекладывают ответственность друг на друга, найти ответственного довольно сложно.
Lia00
21:45:26 2017-10-30
Littlefish
21:44:27 2017-10-30
Геральт
21:36:32 2017-10-30
Littlefish
21:34:40 2017-10-30
Ruslan
21:09:39 2017-10-30
ek
21:09:29 2017-10-30
orw_mikle
20:53:12 2017-10-30
Andromeda
20:31:22 2017-10-30
duduka
20:29:55 2017-10-30
kva-kva
20:27:11 2017-10-30
razgen
20:10:40 2017-10-30
Об этом конечно все знают
И сердце поэтому искренне
Всё тот-же припев повторяет." (М.Рябинин)
Антивирус должен быть всегда включён.
Антивирус должен быть всегда обновлён.
...
Альфа
20:01:18 2017-10-30
Damir
20:00:08 2017-10-30
Сергей
19:53:25 2017-10-30
Serjik
19:18:25 2017-10-30
Zserg
19:15:37 2017-10-30
МЕДВЕДЬ
18:23:17 2017-10-30
Самуил Христианин
18:05:37 2017-10-30
alexander
17:42:36 2017-10-30
Toma
17:18:30 2017-10-30
mk.insta
17:06:46 2017-10-30
Шалтай Александр Болтай
17:06:23 2017-10-30
razgen
16:54:15 2017-10-30
razgen
16:32:37 2017-10-30
А это вообще безответственное отношение к кибербезопасности со стороны администратора корпоративной сети, причём банковской. И никакого контроля со стороны руководства. Да на промышленных предприятиях и то более серьёзное отношение к этому вопросу. Все работы связанные непосредственно с технологическими процессами производства ведутся в автономной сети без подключения их к интернету. Сотрудники которые работают с использованием сети интернет так же имеют ограничения в соответствии с их производственной необходимостью. Видимо поэтому не часто мы слышим о взломе сетей промышленных предприятий. Последний громкий случай был в 2010 г., это вирус-диверсант Stuxnet в ядерной энергетической программе Ирана. Но это был не рядовой случай, разработка не обычных хакеров, а разработка разведывательных служб. Да и проник он не по сети, а вследствие того что сотрудник, вставил инфицированный флеш-накопитель в управляющую систему производства.
La folle
16:23:39 2017-10-30
Masha
15:50:02 2017-10-30
Татьяна
14:30:14 2017-10-30
Антивирус должен иметь действующую лицензию.
Антивирус не должен быть выключен.
Неужели все так просто? :)
SGES
14:01:41 2017-10-30
jennywren
13:58:07 2017-10-30
Дмитрий
13:28:19 2017-10-30
zsergey
13:24:10 2017-10-30
vinnetou
13:19:39 2017-10-30
Alexander
13:08:22 2017-10-30
В рекомендациях Dr.Web к этой статье мне показались несколько неоднозначными некоторые слова и утверждения. Так, "... антивирус ... зачастую выключен ... тем не менее он обязан защищать". Как?!!! Или следующее, "антивирус должен ..." и это, и другое, и еще что-то. И всегда ОН что-то и кому-то должен. Но если ОН должен, то я тут причем?! С него и спрос! А может быть лучше звучала формулировка "антивирус имеет право на ..."? Самоорганизовалось бы общественное движение "В защиту прав антивируса", проводились бы собрания, митинги и демонстрации. К потребителям антивируса можно было бы предъявить претензии за нарушения ЕГО прав и свобод. Такой вот юмор наблюдателя со стороны.
А реальность она такая, как это отражено в статье Антивирусной правды и комментариях любителей Dr.Web, к которым я себя тоже причисляю. На извечный вопрос "что делать", как всегда будет много разнообразных ответов и советов. Фактическое же состояние дел меняться будет очень медленно. Возможно такое свойство "человеков", которым суждено быть вечно кем-то улавливаемыми.
Уверен, что эти "скачки кролика" очередной раз подтвердили, что Dr.Web Security Space - это именно тот продукт надежной и ответственной компании, который должен (или имеет заслуженное право) обеспечить безопасность нашей сетевой жизни.
maestro431
11:43:04 2017-10-30