Вчерашняя эпидемия. Краткие итоги

По сведениям Positive Technology зловред Petya использует 135, 139, 445 TCP-порты для распространения (с использованием служб SMB и WMI). Распространение внутри сети на другие узлы происходит несколькими методами: с помощью Windows Management Instrumentation (WMI) и PsExec, а также с помощью эксплойта, использующего уязвимость MS17-010 (EternalBlue). WMI – это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе. Также шифровальщик использует общедоступную утилиту Mimikatz для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей. Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.
Итак, описание — это здорово, но какие же выводы можно сделать? Что способствовало столь быстрому заражению?
1. Обилие пиратского ПО, причем не только в государственных, но и в коммерческих органах. Соответственно, ПО никогда не обновляется. До сих пор значительная часть операционных систем – давно устаревшая ОС Windows XP, менять которую нельзя ввиду устаревшего аппаратного парка и нежелания (или невозможности) руководства вкладывать в это деньги
2. Отсутствие планомерного обновления ОС.
3. Отсутствие перечня установленного ПО третьих производителей. Об аудите ПО я вообще молчу.
4. Отсутствие аудита аппаратного обеспечения.
5. Отсутствие политик безопасности. Либо, даже там, где они есть, выполнены они весьма формально. Часть пользователей до сих пор работает с правами локального администратора.
6. Неправильный выбор либо неадекватная настройка антивирусного ПО. Стоит напомнить что запрещенное ныне на Украине антивирусное ПО от Kaspersky Lab обнаруживало соответствующий вредонос практически сразу после первого заражения. По состоянию на вечер 27.06.17 антивирус Avast все еще не обнаруживал данный зловред. Более того, по данным VirusTotal только 16 из 61 антивирусного решения обнаруживали данный зловред.
7. Отсутствие планов восстановления в случае чрезвычайных ситуаций в большинстве компаний.
8. Отсутствие резервного копирования в небольших организациях.
9. Слабые знания ИТ и ИБ специалистов. В стране практически отсутствуют регулярные курсы повышения квалификации соответствующих специальностей.
10. Отсутствие программ повышения осведомленности пользователей в области безопасности и противодействия атакам социальной инженерии.
Думаю, этот список можно продолжать. Надеюсь, когда-то эти недостатки исправят. Хотелось бы побыстрее!

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: