Zillya! та СБУ попереджають про можливі кібератаки напередодні Дня Незалежності України

Антивірусна компанія Zillya! нагадує українським користувачам ПК та Інтернет про те, що напередодні Дня Незалежності України можливі кібератаки, які можуть бути наслідком діяльності шкідливого ПЗ Petya, якє за заявою СБУ вело кібершпигунстку двяльність в мережі українських установ та підприємств.

Що стосується корпоративного сегмента, то це сфера відповідальності адміністраторів або служби кібербезпеки, які повинні уважно ставиться до рекомендацій компаній і лабораторій, що працюють в сфері кіберзахисту, наприклад, негайно закрити TCP-порти 1024-1035, 135, 139 і 445.

Зараження WannaCry/ Petya відбувалося як через заражені оновлення програм так і через електронну пошту, завдяки відкриттю вкладеного в СПАМ-лист архіву або іншого документа. Таким чином епідемію спровокувала неуважність і ігнорування базових правил кібербезпеки.\

ЯКІ ДІЇ ЗРОБИТИ ДЛЯ ЗАХИСТУ ВІД PETYA

Зараження локальних мереж шкідливим ПЗ WannaCry/ Petya проводиться двома транспортними протоколами:

1. Спам розсилка по електронній пошті.

a. Користувач отримує лист з приєднаним JS файлом, архівом в якому міститься JS файл або посиланням на скомпрометований сайт. Після активації скрипт завантажує виконуваний файл і інфікує систему.

b. Користувач отримує лист з документом MS Office, що містить макрос. Макрос після запуску користувачем завантажує з мережі виконуваний файл і активує його.

2. Заражений ПК в мережі сканує мережеве оточення і, використовуючи вразливість EternalBlue заражає інші ПК в мережі.

При відсутності прав адміністратора троянська програма шифрує файли на дисках комп'ютера, до яких може отримати доступ. При наявності прав адміністратора троянська програма заражає MBR завантажувального жорсткого диска і після перезавантаження комп'ютера (виконуваної примусово) шифрує вміст жорсткого диска.

МЕТОДИ ПРОТИДІЇ ЗАРАЖЕННЮ WANNACRY/ PETYA:

1. Відключення застарілого протоколу SMB1. Інструкція по відключенню SMB1 в TechBlog компанії Microsoft: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
2. Встановлення оновлень безпеки операційної системи Windows з Microsoft Security Bulletin MS17-010: https://support.microsoft.com/en-us/help/4013389/title
3. Якщо є можливість відмовитися від використання в локальній мережі протоколу NetBios (не використовуються для організації роботи мережеві папки і мережеві диски), в брандмауер локальних ПК і мережевого устаткування заблокувати TCP / IP порти 135, 139 і 445
4. Блокування можливості відкриття JS файлів, отриманих по електронній пошті
5. Блокування відкриття файлів, приєднаних до листів електронної пошти в ZIP архівах

Ідентифікатори компрометації:

1. Звернення заражених систем на WEB-ресурси

a. coffeinoffice.xyz

b. french-cooking.com

2. Створення в системі файлу C: \ WINDOWS \ perfc.dat

ПОРАДИ ВІД СБУ

Таким чином у зловмисників, які внаслідок проведеної кібератаки «Petya» несанкціоновано отримали адміністративні відомості, з'явилася можливість генерації умовно безстрокового TGT-квитка, виписаного на ідентифікатор вбудованого адміністратора системи (SID 500). Особливістю згаданого TGT-квитка є те, що за умов відключення скомпрометованого облікованого запису, аутентифікація по Kerberos буде легітимною та сприйматиметься системою. Для підвантаження TGT-квитка в адресний простір операційної системи root-повноваження не потрібні.

Системним адміністраторам або уповноваженим особам з інформаційної безпеки таких систем рекомендовано у найкоротший термін провести такі дії за наведеним порядком:

1. здійснити обов’язкову зміну паролю доступу користувача krbtgt;
2. здійснити обов’язкову зміну паролів доступу до всіх без винятку облікових записів в підконтрольній доменній зоні ІТС;
3. здійснити зміну паролів доступу до серверного обладнання та до програм, які функціонують в ІТС;
4. на виявлених скомпрометованих ПЕОМ здійснити обов’язкову зміну всіх паролів, які зберігались в налаштуваннях браузерів;
5. повторно здійснити зміну паролю доступу користувача krbtgt;
6. перезавантажити служби KDC.

Рекомендуємо у подальшому уникати збереження в ІТС аутентифікаційних даних у відкритому вигляді (використовувати для таких цілей спеціалізоване програмне забезпечення).