Богданов Игорь Олегович (bogdan_63) wrote,
Богданов Игорь Олегович
bogdan_63

Categories:

Кто виноват и что делать

Многие «вечные вопросы», применимые в том числе и в сфере информационной безопасности, на поверку оказываются вполне решаемыми, если следовать общеизвестным принципам защиты: пользоваться только легальным ПО, своевременно обновлять все программы, по возможности отказаться от устаревшего оборудования и неподдерживаемого разработчиком ПО, установить антивирус и регулярно его обновлять, проводить ежедневную антивирусную проверку, не работать с правами администратора, не переходить по ссылкам в подозрительных почтовых сообщениях, делать регулярные бэкапы, использовать технологии превентивной защиты от еще не известных угроз и т. д. и т. п. Но время от времени появляются новости, прочитав которые, не знаешь что и сказать.

Дженнетт Манфра, представитель Агентства по кибербезопасности и безопасности инфраструктуры (CISA), входящего в состав Министерства внутренней безопасности (МВБ) США, полагает, что никто не сможет остановить еще одну глобальную волну атак вроде WannaCry.

По ее словам, уникальность атаки 2017 года (WannaCry) заключается в невероятной скорости распространения вредоноса.

«Понятия не имею, сможем ли мы когда-либо предотвратить подобную эпидемию. В этом случае мы сталкиваемся с компьютерным червем. Мне кажется, что преступники даже не рассчитывали на такие масштабы кибероперации», – заявила заместитель директора CISA.

Источник

WannaCry не был ужасным-преужасным вирусом. Он распространялся (а его клоны и продолжают распространяться) через уязвимость, заплатку для которой не установили на момент начала эпидемии и продолжают игнорировать и сейчас. Анализ Trojan.Encoder.11432 (он же – WannaCry, WannaCryptor, WanaCrypt0r, WCrypt, WCRY и WNCRY), проведенный специалистами компании «Доктор Веб», показал, что его характеризуют:

  • отсутствие перешифрования,
  • отсутствие средств маскировки от антивирусных программ,
  • уязвимая система связи серверами управления.

Вот, например, куда более продвинутый вирус:

Trojan.EternalRocks.1 использует сразу семь эксплоитов АНБ – EternalBlue, Eternalchampion, Eternalromance, Eternalsynergy, Doublepulsar, Architouch и SMBtouch и подобно WannaCry проникает через открытые порты 445.

С целью обмануть системы защиты – маскируется под WannaCry, но при этом не загружает на атакуемую систему вымогательское ПО.

Для связи с C&C-сервером EternalRocks использует Tor.

В отличие от WannaCry в коде отсутствует вшитый адрес домена, позволяющего его отключить.

На зараженной системе EternalRocks получает права администратора, и даже если потом на ОС было установлено исправляющее уязвимость обновление, червь продолжает действовать.

Источник

И распространяется WannaCry не с такой уж ужасной скоростью. Бывали и куда более мощные эпидемии (хотя и менее разрушительные), например Adylkuzz:

WannaCry хоть и стал известным, но его обогнал «тихий» вирус-майнер Adylkuzz, который использовал аналогичные способы распространения и заражения компьютеров под управлением Windows.

Источник 1, 2

Или троянец UIWIX:

В отличие от WannaCry Trojan.Encoder.11536 (UIWIX) не использует файлы – после эксплуатации уязвимости он выполняется в памяти.

UIWIX гораздо незаметнее, чем WannaCry. В ходе атаки на диск компьютера не записываются никакие файлы/компоненты, что усложняет обнаружение вредоносного ПО.

Оказавшись на виртуальной машине или в песочнице – самоуничтожается.

В его коде нет вшитого адреса домена, позволяющего отключить функцию шифрования файлов.

Источник 1, 2

Самое интересное, что эти черви стали для исследователей сюрпризом.

В процессе исследования ребята подключили к интернету уязвимый к EternalBlue компьютер и ждали, когда он подхватит WannaCry. Но к их большому удивлению, компьютер подцепил неожиданного и менее шумного гостя – вирус-майнера Adylkuzz. Ребята несколько раз повторили операцию подключения чистого компьютера к интернету, результат тот же: примерно через 20 минут он оказывался зараженным вирусом Adylkuzz и подключается к его ботнету.

Источник 1, 2

Фактически для защиты от подавляющего числа угроз нужно устанавливать обновления, не разрешать пользователям устанавливать новое ПО и запрещать им работать с правами администраторов системы. Но все эти правила нарушаются. И нарушаются именно в крупных компаниях, где обновление – долгий процесс, с вероятностью что-то порушить в каком-нибудь сервисе.

После установки кумулятивного обновления для Windows 10 гипервизор VMware Workstation перестает запускаться.

В обсуждении проблемы на сайте Microsoft пользователи жалуются, что обновление их лицензий на 100 VMware Workstation обойдется в €11,5 тыс.

Источник

Установка обновлений требует использования специального тестового сегмента сети, в котором будут проверяться все сценарии типичной работы сервисов и пользователей после установки обновления. И устанавливаться обновления должны только после прохождения таких тестов. Дорого, долго и, честно признаемся, не может дать стопроцентной гарантии.

Плюс старое ПО. До сих пор у многих работает ПО, требующее SMB v1, – именно то, уязвимое, через которое и проникал WannaCry. И отказаться от этой версии протокола никак нельзя. Например, по причине того, что нет уже того разработчика, который писал сервис, и никому неведомо, как оно работает. Или железо давно снято с поддержки производителем. Проблемы, конечно, можно решить, но это стоит денег.



https://www.drweb.ru/pravda/issue/?number=872
Tags: безопасность
Subscribe
promo bogdan_63 december 1, 2021 13:42 964
Buy for 200 tokens
Очень рад, что вы заглянули в мой блог! Надеюсь, вам будут интересны мои записи. Предлагаю для начала посмотреть разделы: Мой сайт СССР Россия Медицина Медицинские байки Юмор Образование История Культура Буду рад всем новым друзьям. Присоединяйтесь, пообщаемся!…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments