Вирусы разбушевались. Лучше всех отличился Petya. Неплохой повод либо нанять нового толкового и неленивого администратора либо уволить настоящего.) Но не спешите с выводами, нередко когда против человеческого нехлюйства, в том числе и главного менеджера компании, все потуги админа бессильны. Просто начните с себя, на работе и дома, под какой учеткой сидим дома, антивирус есть, и операционка честная. И т.п.
Но перед этим прочтите этот пресс-релиз от Microsoft. Кстати линуксоиуды, не спешите злорадствовать. Ваша популярность, а вместе с ней и вирусня, еще придут.
Многие клиенты по всему миру стали жертвами программы-шантажиста Petya (Petya/Misha, ExPetr, NotPetya). Данное вредоносное ПО получило большое количество названий, многие из которых так или иначе связанs с Petya. Причина этой неразберихи связана с тем, что оригинальный вирус-шифровальщик с именем Petya появился в 2016 году. Тот экземпляр являлся классической программой-вымогателем и не умел распространяться без участия со стороны пользователя. Ключевое отличие нынешней программы-шантажиста от других в том, что, при определенных обстоятельствах, вирусу не нужна помощь жертвы для инициации заражения.
Это уже второй случай такого масштаба в мире за последнее время - предыдущий вирус Wannacrypt (Wannacry) также использовал канал распространения, не требующий вовлечения пользователя, и заражал компьютеры без установленных обновлений безопасности. Детальное описание природы и механики работы Wannacrypt можно получить в блоге Microsoft. Ниже вы найдете ключевую информацию по вирусу Petya.
Вирус Petya, в отличие от Wannacrypt, использует дополнительные каналы распространения.
На данный момент установлено, что вирус:
• Может распространяться по электронной почте. В данном случае обычно используются приемы социальной инженерии, чтобы убедить пользователя открыть вредоносное вложение
• Использует ту же уязвимость, что и Wannacrypt для распространения по сети через протокол SMB (если обновление MS17-010 не установлено)
• Попадая на один из компьютеров организации перемещается методом lateral movement – крадет доступные в памяти пароли доменных учетных записей и использует их для доступа к соседним компьютерам.
• Может распространяться по электронной почте. В данном случае обычно используются приемы социальной инженерии, чтобы убедить пользователя открыть вредоносное вложение
• Использует ту же уязвимость, что и Wannacrypt для распространения по сети через протокол SMB (если обновление MS17-010 не установлено)
• Попадая на один из компьютеров организации перемещается методом lateral movement – крадет доступные в памяти пароли доменных учетных записей и использует их для доступа к соседним компьютерам.
Еще один интересный момент состоит в том, что по мнению исследователей (включая Microsoft), началу атаки способствовал производитель бухгалтерского ПО M.E.Doc. Аналитики считают, что первичное распространение вируса было осуществлено посредством автоматической доставки обновлений для ПО M.E.Doc с серверов обновлений этого производителя.
Основные причины заражения и способы борьбы
На момент отправки письма неизвестны детали атаки на инфраструктуру обновлений компании M.E.Doc также, как и нет окончательного подтверждения, что именно подсистема обновлений данной компании причастна к первоначальному распространению вируса. Тем не менее, если предположить, что атака действительно была организована посредством нарушения цепочки целостности поставок (software supply chain), то в качестве основной причины можно назвать несоблюдение основополагающих принципов безопасной разработки и защиты цепочки поставок. Конечным пользователям достаточно проблематично бороться с такими угрозами, так как устанавливаемое ПО, по сути, является доверенным. Тем не менее, возможности Windows 10 Defender Advanced Threat Protection (ATP) позволяют обнаружить компрометацию и остановить распространение внутри сети компании. Подробное описание работы Windows 10 Defender ATP при выявлении подобного типа атак представлено в нашем блоге.
Почтовый канал распространения
Канал распространения вредоносного программного обеспечения по почте типичен для большинства атак, – с помощью социальной инженерии можно спровоцировать пользователя на неаккуратные действия и, таким образом, скомпрометировать его систему. Данный способ распространения Petya должен быть знаком большинству специалистов, как и способы противодействия: обучение пользователей и современные средства фильтрации входящей почты, – в дополнении классическим инструментам антивирусного анализа и антиспама рекомендуется использовать так называемые «песочницы» (sandbox) или «камеры детонации» (detonation chamber). Сервис Office365 ATP – это облачная реализация технологии «песочницы». Сервис проверяет на подозрительное поведение все передаваемые по почте вложения и ссылки. Первые несколько часов распространения Petya далеко не все антивирусы умели идентифицировать угрозу, в отличии от механизма «песочницы», который регистрировал подозрительное поведение и блокировал дальнейшую пересылку вложения письма.
Современные средства защиты уделяют поведенческому анализу большое внимание, другой сервис Windows 10 Defender ATP реализует данный подход уже на уровне сетевого узла. Данный уровень защиты необходим, на тот случай, если злонамеренное ПО смогло прорваться через все кордоны и запуститься на рабочей станции пользователя. Анализируя поведение системных процессов, состояние памяти, изменение ключей реестра, обращений к файловой системе и многих других параметров Windows 10 Defender ATP помогает определить попытки или факт компрометации на ранних стадиях.
Уязвимость SMBv1
Второй способ распространения вируса заключается в эксплуатации обнаруженных ранее уязвимостей в протоколе SMBv1. Эту уязвимость уже использовал Wannacry месяцем ранее, и многие участники рынка предоставили подробные рекомендации по защите от такого способа проникновения. Конечно же, самый верный способ – это своевременная установка обновлений, которые были выпущены даже для систем, вышедших из цикла поддержки. Но есть и другие рекомендации, такие как отключение SMBv1 в принципе (данная рекомендация была опубликована еще летом 2016 года.) и настройка локальных межсетевых экранов для ограничения коммуникаций рабочих станций между собой (такой подход значительно замедлит распространение вируса даже в среде без установленных обновлений). Для того, что оперативно отслеживать текущее состояние защищенности вашей инфраструктуры и изменение настроек, связанных с безопасностью, можно использовать сервис Operation Management Suite. Кстати, корректно работающее средство защиты хоста в состоянии определить появление вируса на машине даже при эксплуатации вирусом вышеуказанной уязвимости. Классические антивирусы получили такую возможность сразу после внесения вендорами соответствующих сигнатур, а вот система поведенческого анализа Windows 10 Defender ATP могла помочь на самых ранних стадиях распространения, когда еще не было соответствующих сигнатур в антивирусных базах. Другая эффективная мера против Petya и множества других вредоносных программ – ограничение запускаемых в ОС приложений, например, с помощью механизма Windows 10 Device Guard.
Краткая справка как отключить SMBv1.
Windows PowerShell 2.0 or a later version of PowerShell:
To disable SMBv1 on the SMB server, run the following cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
To disable SMBv1 on the SMB server, run the following cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
To enable or disable SMBv1 on the SMB server, configure the following registry key:
Registry subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersRegistry entry: SMB1
REG_DWORD: 0 = Disabled
REG_DWORD: 1 = Enabled
Default: 1 = Enabled
Registry subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersRegistry entry: SMB1
REG_DWORD: 0 = Disabled
REG_DWORD: 1 = Enabled
Default: 1 = Enabled
To disable SMBv1 on the SMB client, run the following commands:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Горизонтальное перемещение (Lateral Movement)
Ну и наконец, третий способ распространения связан с кражей учетных записей - то, что называется Lateral Movement. Такие же подходы активно используют в своей работе большинство аудиторов безопасности, при этом, данный метод не связан напрямую с какой-либо уязвимостью, он скорее использует недостатки архитектуры единого входа Single Sign On. Тем не менее, о различных способах кражи учетных данных и способах снижения этих рисков говорится уже не первый год. Microsoft, в частности, опубликовал подробнейший документ об атаках класса Pass The Hash, а также предоставляет рекомендации по защите привилегированных записей.
Чтобы не дублировать целиком статьи укажем наиболее актуальные действия:
• Настоятельно рекомендуется не использовать один и тот же пароль для локальных администраторов ваших рабочих станций и серверов. В противном случае злоумышленнику будет достаточно вскрыть пароль один раз (достав его с какой-то скомпрометированной машины) и стать локальным администратором на всех хостах вашей сети. А при определенных условиях даже нет необходимости вскрывать пароль – достаточно использовать хэш пароля, который хранится в одном из файлов на диске. Управлять разными (случайными) паролями локальных администраторов может помочь решение Local Administrator Password Solution;
• Рекомендуется отключить все провайдеры аутентификации, которые хранят в памяти пароли в открытом виде. По имеющейся на данный момент
информации для дальнейшего перемещения с скомпрометированных машин Petya, в основном, использовал данный недостаток, то есть считывал из памяти пароли доменных пользователей в открытом виде и использовал их на соседних машинах. Как только на скомпрометированной машине появлялась сессия доменного пользователя с более высокими правами, вирус, по сути, сразу же «перескакивал» на следующий уровень. Таким образом, Petya достаточно быстро получал права доменного администратора и заражал все серверы в сети, включая контроллеры домена. Более подробно о том, что необходимо сделать для исключения присутствия паролей в открытом виде рассказано в уже упомянутом документе по противодействию Pass the Hash;
• Как уже было сказано ранее, для передвижения между хостами, порой достаточно хэша пароля, который также хранится в памяти (это актуально как для хеша локального администратора, так и для доменной учетной записи). Такой подход используют все те же атаки типа Pass The Hash, а для защиты надо внимательно следовать инструкциям документа по противодействию Pass the Hash атакам и постоянно улучшать практики управления привилегированным учетными записями. С выходом Windows 10 хранение хешей паролей в памяти (а это необходимо для реализации SSO) было значительно сокращено и максимально изолировано – за изоляцию отвечает новый компонент системы Credential Guard. Таким образом, даже скомпрометированные машины (например, посредством фишинга) Windows 10 (с включенным Credential Guard) не станут причиной дальнейшего распространения Petya, так как он не сможет получить необходимые ему для дальнейшего продвижения пароли каких-либо доменных учетных записей (это утверждение верно только в отношении распространения методом кражи паролей, при этом, в случае наличия в сети хостов без установленного обновления MS17-010, вирус со скомпрометированной Windows 10 может
попасть на соседние системы, используя уязвимость SMBv1, упомянутую ранее). Отследить подозрительные перемещения в вашей сети и распознать факт компрометации учетных данных может помочь решение – Advanced Threat Analytics. Продукт отслеживает все события аутентификации в домене, обучается на поведении пользователей и помогает идентифицировать случаи компрометации учетных записей на ранних стадиях. С его помощью можно избежать компрометации всего домена и остановить вирус на самых ранних этапах.
• Настоятельно рекомендуется не использовать один и тот же пароль для локальных администраторов ваших рабочих станций и серверов. В противном случае злоумышленнику будет достаточно вскрыть пароль один раз (достав его с какой-то скомпрометированной машины) и стать локальным администратором на всех хостах вашей сети. А при определенных условиях даже нет необходимости вскрывать пароль – достаточно использовать хэш пароля, который хранится в одном из файлов на диске. Управлять разными (случайными) паролями локальных администраторов может помочь решение Local Administrator Password Solution;
• Рекомендуется отключить все провайдеры аутентификации, которые хранят в памяти пароли в открытом виде. По имеющейся на данный момент
информации для дальнейшего перемещения с скомпрометированных машин Petya, в основном, использовал данный недостаток, то есть считывал из памяти пароли доменных пользователей в открытом виде и использовал их на соседних машинах. Как только на скомпрометированной машине появлялась сессия доменного пользователя с более высокими правами, вирус, по сути, сразу же «перескакивал» на следующий уровень. Таким образом, Petya достаточно быстро получал права доменного администратора и заражал все серверы в сети, включая контроллеры домена. Более подробно о том, что необходимо сделать для исключения присутствия паролей в открытом виде рассказано в уже упомянутом документе по противодействию Pass the Hash;
• Как уже было сказано ранее, для передвижения между хостами, порой достаточно хэша пароля, который также хранится в памяти (это актуально как для хеша локального администратора, так и для доменной учетной записи). Такой подход используют все те же атаки типа Pass The Hash, а для защиты надо внимательно следовать инструкциям документа по противодействию Pass the Hash атакам и постоянно улучшать практики управления привилегированным учетными записями. С выходом Windows 10 хранение хешей паролей в памяти (а это необходимо для реализации SSO) было значительно сокращено и максимально изолировано – за изоляцию отвечает новый компонент системы Credential Guard. Таким образом, даже скомпрометированные машины (например, посредством фишинга) Windows 10 (с включенным Credential Guard) не станут причиной дальнейшего распространения Petya, так как он не сможет получить необходимые ему для дальнейшего продвижения пароли каких-либо доменных учетных записей (это утверждение верно только в отношении распространения методом кражи паролей, при этом, в случае наличия в сети хостов без установленного обновления MS17-010, вирус со скомпрометированной Windows 10 может
попасть на соседние системы, используя уязвимость SMBv1, упомянутую ранее). Отследить подозрительные перемещения в вашей сети и распознать факт компрометации учетных данных может помочь решение – Advanced Threat Analytics. Продукт отслеживает все события аутентификации в домене, обучается на поведении пользователей и помогает идентифицировать случаи компрометации учетных записей на ранних стадиях. С его помощью можно избежать компрометации всего домена и остановить вирус на самых ранних этапах.
Рекомендации по восстановлению
Если вам все же не повезло стать жертвой данного вируса, то, к сожалению, учитывая последние данные аналитиков, изучавших коды Petya, других вариантов помимо восстановления из резервной копии, видимо, нет. Аналитики пришли к выводу, что целью вируса было даже не вымогательство, а уничтожение данных, замаскированное под вымогательство. С точки зрения восстановления важно учитывать то, что из-за наличия в вирусе функционала, связанного с кражей учетных данных, вам надо тщательно подойти к смене паролей тех учетных записей, которые могли быть скомпрометированы. Так как потенциально скомпрометированы могли быть все записи, значит менять пароли, скорее всего, придется везде. Еще один важный момент связан с восстановлением скомпрометированной доменной инфраструктуры из резервной копии. Чтобы не допустить повторной компрометации – целесообразно ознакомиться с материалами нашего видеоблога.
Следующие рекомендации помогут восстановиться в потенциально токсичной среде с минимальными рисками:
• Предварительная минимизация числа администраторов группы Администраторы домена, если затронуты контроллеры, Администраторы серверов);
• Сброс паролей учетных записей Администраторов домена – в первую очередь, далее Администраторов серверов, далее – обычных пользователи;
• Сведение к минимуму (в идеале – очистка списков) прочих категорий привилегированных пользователей (Администраторы резервного копирования, Администраторы учетных записей, Администраторы серверов);
• Проверка полномочий User Rights Assignment на контроллерах домена, исключение избыточных привилегий, если уровень контроллеров домена был затронут;
• Двойной сброс пароля системной учетной записи krbtgt (отмена действия билета GoldenTicket при компрометации на уровне домена);
• Своевременная установка обновлений ПО;
• При отсутствии правильно реализованного решения по рандомизации паролей на рабочих станциях и серверах – запрет удаленного входа для Local Accounts/Local accounts and members of local Administrators group для рабочих станций и серверов.
• Предварительная минимизация числа администраторов группы Администраторы домена, если затронуты контроллеры, Администраторы серверов);
• Сброс паролей учетных записей Администраторов домена – в первую очередь, далее Администраторов серверов, далее – обычных пользователи;
• Сведение к минимуму (в идеале – очистка списков) прочих категорий привилегированных пользователей (Администраторы резервного копирования, Администраторы учетных записей, Администраторы серверов);
• Проверка полномочий User Rights Assignment на контроллерах домена, исключение избыточных привилегий, если уровень контроллеров домена был затронут;
• Двойной сброс пароля системной учетной записи krbtgt (отмена действия билета GoldenTicket при компрометации на уровне домена);
• Своевременная установка обновлений ПО;
• При отсутствии правильно реализованного решения по рандомизации паролей на рабочих станциях и серверах – запрет удаленного входа для Local Accounts/Local accounts and members of local Administrators group для рабочих станций и серверов.
Конечно, восстановление (особенно серверной инфраструктуры) – это не то, чем хотелось бы заниматься после каждого вируса/атаки (гораздо предпочтительней останавливать злоумышленников на более ранних рубежах). С другой стороны, нельзя не иметь отработанного Плана восстановления и соответствующих средств восстановления. Простоту восстановления могут обеспечить следующие технологии и подходы:
• Реализация катастрофоустойчивости с Azure Site Recovery;
• Использование файловые хранилищ с поддержкой версионности, такого как Office365 (Sharepoint Online/OneDrive for Business) – в этом случае, зашифрованными оказались бы только последние версии файлов, и вирусу не
удалось бы удалить предыдущие версии файлов, так как такие права есть только у соответствующего администратора$
• Использование SaaS сервисов – в случае использования SaaS, например, O365, не пришлось бы восстанавливать инфраструктуру Exchange или Sharepoint, так за безопасность на этом уровне (в рамках SaaS сервиса) отвечает провайдер облачных услуг.
Справедливости ради надо отметить, что указанные выше подходы не являются панацеей – в случае компрометации учетных записей, управляющих облачными подписками, компания также рискует потерять информацию, сохраненную в облаке. По счастью, облачные сервисы предлагают большое количество разнообразных вариантов по защите учетных записей, начиная с многофакторной аутентификации и заканчивая четкой ролевой моделью и выдачей администраторских прав на ограниченное время. Но это уже другая история.
Заключение
Как видно из описания выше, для защиты от современных угроз должна использоваться комплексная стратегия. Лишь выверенное сочетание определенных инструментов и подходов может дать нужные плоды. Подобная стратегия должна, по мере возможности учитывать необходимость использования наиболее современных продуктов, тех продуктов, которые только на уровне архитектуры делают некоторые векторы атаки либо невозможными в принципе, либо существенно затрудняют деятельность злоумышленников.
No comments:
Post a Comment
А что вы думаете по этому поводу?