Zillya! и СБУ предупреждают о возможных кибератаках накануне Дня Независимости Украины

Антивирусная компания Zillya! напоминает украинским пользователям ПК и Интернет о том, что накануне Дня Независимости Украины возможны кибератаки, которые могут быть следствием деятельности вредоносного ПО Petya, что вело кибершпионскую деятельность в сети украинских учреждений и предприятий, что следует из заявления СБУ.

Что касается корпоративного сегмента, то это сфера ответственности администраторов или службы кибербезопасности, которые должны внимательно относится к рекомендациям компаний и лабораторий, работающих в сфере киберзащиты, например, немедленно закрыть TCP-порты 1024-1035, 135, 139 и 445.

Заражение WannaCry / Petya происходило как через зараженные обновления программ, так и через электронную почту, благодаря открытию вложенного в СПАМ-лист архива или иного документа. Таким образом эпидемии спровоцировала невнимательность и игнорирование базовых правил кибербезопасности. Заражение локальных сетей вредоносным ПО WannaCry / Petya производится двумя транспортными протоколами:

1. Спам рассылка по электронной почте.
   1. Пользователь получает письмо с присоединённым JS файлом, архивом в котором содержится JS файл или ссылкой на скомпрометированный сайт. После активации скрипт загружает исполняемый файл и инфицирует систему.
   2. Пользователь получает письмо с документом MS Office, содержащим макрос. Макрос после запуска пользователем загружает из сети исполняемый файл и активирует его.
2. Зараженный ПК в сети сканирует сетевое окружение и, используя уязвимость EternalBlue заражает остальные ПК в сети.

При отсутствии прав администратора троянская программа шифрует файлы на дисках компьютера, к которым может получить доступ. При наличии прав администратора троянская программа заражает MBR загрузочного жёсткого диска и после перезагрузки компьютера (выполняемой принудительно) шифрует содержимое жёсткого диска.

МЕТОДЫ ПРОТИВОДЕЙСТВИЯ ЗАРАЖЕНИЮ WANNACRY / PETYA:

1. Отключение устаревшего протокола SMB1. Инструкция по отключению SMB1 в TechBlog компании Microsoft: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
2. Установка обновлений безопасности операционной системы Windows из Microsoft Security Bulletin MS17-010: https://support.microsoft.com/en-us/help/4013389/title
3. Если есть возможность отказаться от использования в локальной сети протокола NetBios (не используются для организации работы сетевые папки и сетевые диски), в Брандмауэре локальных ПК и сетевого оборудования заблокировать TCP/IP порты 135, 139 и 445
4. Блокирование возможности открытия JS файлов, полученных по электронной почте
5. Блокирование открытия файлов, присоединённых к письмам электронной почты в ZIP архивах

Идентификаторы компрометации:

1. Обращение зараженных систем на WEB-ресурсы
   1. coffeinoffice.xyz
   2. french-cooking.com
2. Создание в системе файла C:\WINDOWS\perfc.dat

РЕКОМЕНДАЦИИ СБУ

В результате атаки вредоносным ПО Petya у злоумышленников, которые в результате проведенной кибератаки несанкционированно получили административные сведения, появилась возможность генерации условно бессрочного TGT-билета, выписанного на идентификатор встроенного администратора (SID 500). Особенностью упомянутого TGT-билета является то, что в условиях отключения скомпрометированной учтенной записи, аутентификация по Kerberos будет легитимной и будет восприниматься системой. Для подгрузки TGT-билета в адресное пространство операционной системы root-полномочия не нужны.

Учитывая изложенное, СБУ рекомендует системным администраторам или другим уполномоченным лицам в кратчайшие сроки провести такие действия:

1. осуществить обязательную смену пароля доступа пользователя krbtgt;
2. осуществить обязательную смену паролей доступа ко всем без исключения учетных записей в подконтрольной доменной зоне ITC;
3. осуществить смену паролей доступа к серверному оборудованию и программам, которые функционируют в ITC;
4. на выявленных скомпрометированных ПЭВМ осуществить обязательную смену всех паролей, которые хранились в настройках браузеров;
5. повторно осуществить смену пароля доступа пользователя krbtgt;
6. перезагрузить службы KDC.

СБУ также рекомендует в дальнейшем избегать сохранения в ITC аутентификации данных в открытом виде и использовать для таких целей специализированное программное обеспечение.