Меню

Укр Рус

Zillya! и СБУ предупреждают о возможных кибератаках накануне Дня Независимости Украины

Zillya! и СБУ предупреждают о возможных кибератаках накануне Дня Независимости Украины
21.08.2017
73134

Антивирусная компания Zillya! напоминает украинским пользователям ПК и Интернет о том, что накануне Дня Независимости Украины возможны кибератаки, которые могут быть следствием деятельности вредоносного ПО Petya, что вело кибершпионскую деятельность в сети украинских учреждений и предприятий, что следует из заявления СБУ.

Что касается корпоративного сегмента, то это сфера ответственности администраторов или службы кибербезопасности, которые должны внимательно относится к рекомендациям компаний и лабораторий, работающих в сфере киберзащиты, например, немедленно закрыть TCP-порты 1024-1035, 135, 139 и 445.

Заражение WannaCry / Petya происходило как через зараженные обновления программ, так и через электронную почту, благодаря открытию вложенного в СПАМ-лист архива или иного документа. Таким образом эпидемии спровоцировала невнимательность и игнорирование базовых правил кибербезопасности. Заражение локальных сетей вредоносным ПО WannaCry / Petya производится двумя транспортными протоколами:

  1. Спам рассылка по электронной почте.
    1. Пользователь получает письмо с присоединённым JS файлом, архивом в котором содержится JS файл или ссылкой на скомпрометированный сайт. После активации скрипт загружает исполняемый файл и инфицирует систему.
    2. Пользователь получает письмо с документом MS Office, содержащим макрос. Макрос после запуска пользователем загружает из сети исполняемый файл и активирует его.
  2. Зараженный ПК в сети сканирует сетевое окружение и, используя уязвимость EternalBlue заражает остальные ПК в сети.

При отсутствии прав администратора троянская программа шифрует файлы на дисках компьютера, к которым может получить доступ. При наличии прав администратора троянская программа заражает MBR загрузочного жёсткого диска и после перезагрузки компьютера (выполняемой принудительно) шифрует содержимое жёсткого диска.

МЕТОДЫ ПРОТИВОДЕЙСТВИЯ ЗАРАЖЕНИЮ WANNACRY / PETYA:

  1. Отключение устаревшего протокола SMB1. Инструкция по отключению SMB1 в TechBlog компании Microsoft: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
  2. Установка обновлений безопасности операционной системы Windows из Microsoft Security Bulletin MS17-010: https://support.microsoft.com/en-us/help/4013389/title
  3. Если есть возможность отказаться от использования в локальной сети протокола NetBios (не используются для организации работы сетевые папки и сетевые диски), в Брандмауэре локальных ПК и сетевого оборудования заблокировать TCP/IP порты 135, 139 и 445
  4. Блокирование возможности открытия JS файлов, полученных по электронной почте
  5. Блокирование открытия файлов, присоединённых к письмам электронной почты в ZIP архивах

Идентификаторы компрометации:

  1. Обращение зараженных систем на WEB-ресурсы
    1. coffeinoffice.xyz
    2. french-cooking.com
  2. Создание в системе файла C:\WINDOWS\perfc.dat

РЕКОМЕНДАЦИИ СБУ

В результате атаки вредоносным ПО Petya у злоумышленников, которые в результате проведенной кибератаки несанкционированно получили административные сведения, появилась возможность генерации условно бессрочного TGT-билета, выписанного на идентификатор встроенного администратора (SID 500). Особенностью упомянутого TGT-билета является то, что в условиях отключения скомпрометированной учтенной записи, аутентификация по Kerberos будет легитимной и будет восприниматься системой. Для подгрузки TGT-билета в адресное пространство операционной системы root-полномочия не нужны.

Учитывая изложенное, СБУ рекомендует системным администраторам или другим уполномоченным лицам в кратчайшие сроки провести такие действия:

  1. осуществить обязательную смену пароля доступа пользователя krbtgt;
  2. осуществить обязательную смену паролей доступа ко всем без исключения учетных записей в подконтрольной доменной зоне ITC;
  3. осуществить смену паролей доступа к серверному оборудованию и программам, которые функционируют в ITC;
  4. на выявленных скомпрометированных ПЭВМ осуществить обязательную смену всех паролей, которые хранились в настройках браузеров;
  5. повторно осуществить смену пароля доступа пользователя krbtgt;
  6. перезагрузить службы KDC.

СБУ также рекомендует в дальнейшем избегать сохранения в ITC аутентификации данных в открытом виде и использовать для таких целей специализированное программное обеспечение.

Вам сподобалась стаття?

Так
ні

Надішліть нам свої зауваження

Будемо раді конструктивній дискусії
Так

Підпишіться на розсилку "Все про кіберзахист"

Будем рады конструктивной дискуссии