👉 Petya повернувся з мертвих. Тепер він шифрує MFT прямо через Secure Boot. Дякуємо, Microsoft.

Тут ESET викотив (https://www.welivesecurity.com/en/eset-research/introducing-hybridpetya-petya-notpetya-copycat-uefi-secure-boot-bypass/) детальний розбір нового шифрувальника HybridPetya. Здавалося, що MFT-шифрувальники залишилися в минулому і ось знову. Petya еволюціонував, але з двома ключовими апгрейдами, тепер він з повноцінним UEFI-буткітом і механізмом обходу Secure Boot.

Препаруємо цю заразу. Інсталятор визначає стандарт розмітки диска, бекапіт оригінальний bootmgfw.efi в bootmgfw.efi.old, підміняє його своїм буткітом, створює свої файли (config, verify, counter) в \EFI\Microsoft\Boot\ і викликає BSOD, щоб примусово перезавантажити систему і передати управління буткіту.

Але самий сік в обході Secure Boot. Тут використовується вразливість CVE-2024-7344. Атакуючі кладуть на ESP вразливий, але легітимно підписаний Microsoft завантажувач reloader.efi (зі стороннього recovery-софта), перейменувавши його в bootmgfw.efi. Поруч кладеться файл cloak.dat, в якому і сидить сам непідписаний буткіт. При завантаженні система перевіряє підпис reloader.efi, бачить, що він валідний і спокійно його запускає. А він, у свою чергу, тупо підвантажує та виконує код із cloak.dat, повністю обминаючи весь ланцюжок довіри Secure Boot. Все це не виглядає як якийсь злом, це скоріше використання легітимного, але дірявого компонента. Троянський кінь, якому самі відчинили ворота, бо в нього на лобі печатка Microsoft 😶

Щоб Петя не зіпсував нерви, рекомендується переконатися, що в системі інстальовано оновлення Windows за січень 2025 або новіше. Microsoft відкликала вразливі завантажувачі, додавши їх хеші в dbx (базу відкликаних підписів). По-друге, налаштувати в EDR/SIEM алерти на будь-який запис \EFI\Microsoft\Boot\. Це дуже низькошумний і високоточний індикатор компрометації. І по-третє, перевірте свої офлайн-бекапи. Проти MFT-шифраторів це єдине, що реально врятує.

© Типичный 🙏 Сисадмин (https://t.me/+ksMnj1y9FaAyMGJi)

FYI
Дослідження

ESET представляє HybridPetya: копіювання Petya/NotPetya з UEFI Secure Boot в обхід
UEFI копіювання Petya/NotPetya з використанням CVE-2024-7344 виявлено на VirusTotal

Компанія ESET Research виявила компанію HybridPetya на платформі спільного використання зразків VirusTotal. Це копія сумнозвісного шкідливого програмного забезпечення Petya/NotPetya, яке додає можливість компрометації систем на базі UEFI та використовує CVE-2024-7344 як зброю для обходу UEFI Secure Boot на застарілих системах.

Ключові моменти цієї публікації в блозі:

• Нові зразки програм-вимагачів, які ми назвали HybridPetya, що нагадують сумнозвісне шкідливе програмне забезпечення Petya/NotPetya, були завантажені на VirusTotal у лютому 2025 року.
• HybridPetya шифрує Master File Table, яка містить важливі метадані про всі файли на розділах, відформатованих у форматі NTFS.
• На відміну від оригінальних Petya/NotPetya, HybridPetya може скомпрометувати сучасні системи на базі UEFI, встановивши шкідливу програму EFI на системний розділ EFI.
• Один із проаналізованих варіантів HybridPetya використовує CVE-2024-7344 для обходу UEFI Secure Boot на застарілих системах, використовуючи спеціально створений файл cloak.dat.
• Тeлеметрія ESET поки що немає ознак використання HybridPetya в дикій природі; це шкідливе програмне забезпечення не демонструє агресивного поширення мережі, яке спостерігалося в оригінальному NotPetya.

Далі 👁:
• https://www.welivesecurity.com/en/eset-research/introducing-hybridpetya-petya-notpetya-copycat-uefi-secure-boot-bypass/

🪟 На стартову сторінку

Уроки Petya / Netya

Почему он был такой «успешный»? Вот почему:

Реакция IT-персонала ряда компаний во время атаки 27 июня 2017 г.:

• Не увидели: системы мониторинга выявили атаку, но ответственных за обработку уведомлений не было
• Не поняли: система мониторинга выдавала различные «оранжевые» предупреждения, сопоставить которые с угрозой не смогли
• Не отреагировали: поняли, что атакуют, но вместо быстрого отключения пораженных сегментов начали «разбираться, как это работает»
• Не смогли отреагировать: всё понимали, но не было полномочий на отключение пораженных систем и сервисов Не смогли (быстро) восстановиться: не было регламентов (DR-планов) и навыков восстановления систем после сбоев

Security is a process, not a product. (Bruce Schneier, CTO of IBM Resilient)

Вопросы, которые следует задать себе:

Когда (не если!) защиту вашей сети обойдут, то каковы будут:

• Время восстановления базовой работоспособности и % деградации функционала?
• Время восстановления полной работоспособности?
• За какой период будут утрачены данные (результаты работы бизнеса)?

Ответы, которые следует запомнить:

NIST Best Practices (Best Practices in Cyber Supply Chain Risk Management):

• Развивайте свою защиту, основываясь на принципе, что ваши системы будут взломаны.
/ Develop your defenses based on the principle that your systems will be breached. /
• Кибербезопасность - это не просто технологическая проблема, это проблема людей, процессов и знаний.
/ Cybersecurity is never just a technology problem, it’s a people, processes and knowledge problem. /

Рис. Структура системы киберзащиты на основе TIER

Источник (частично):
https://it-integrator.ua/sites/default/files/imce/rezervnoe_kopyrovanye.pdf

См.также:
DX - цифровая трансформация

🪟 На стартову сторінку

Part 1.
Безопасность:
- Использование ОС общего назначения в Hyper-V;
- Использование файлового протокола общего назначения для работы с томами СХД (SMB);
- Количество обновлений безопасности:
259 за прошлый месяц: - https://portal.msrc.microsoft.com/en-us/security-guidanceи
1 за 3 месяца: - https://my.vmware.com/group/vmware/patch#search).

Кроме вышесказанного - вирусная эпидемия # Petya.A / # NotPetya ничему не научила?

Part 2.

VMware: Не требуется выделенная ОС. Размер гипервизора – 160 МБ (базовая установка без
драйверов). Hyper-V: образ min 1,5GB.

Part 3.

VMware vSphere предоставляет технологии управления памятью. В MS Hyper-V есть функционал управления памятью – Dynamic Memory, однако данную настройку нужно проводить для каждой ВМ вручную.
Как результат – на хостах vSphere можно разместить большее кол-во.

Part 4.
VMware превосходит Hyper-V по параметру "операционная эффективность":
- Плотность VM на host и скорость восстановления после сбоев;
- Простота выполнения типовых операций, например, добавления DataStores на Cluster;
- Управление на масштабе – vRealize Operations Manager 6.6 - это Cross-Cluster DRS.
( + Примечание 4 )
Part 5.

Публичный документ по сравнению механизмов памяти и НА между vSphere и KVM. На Hyper-V почти тоже самое, что и на KVM.

Part 6.

Зрелость и функциональность целевой SDDC платформы (гипервизор + SDS (vSAN) + SDN (NSX) + CMP(vRealize Suite) + VDI (Horizon) + EMM (AirWatch)) – выбор гипервизора диктует последующий выбор системы мониторинга и частного облака, програмных сетей и схд.

( +Примечание 6 )

Part 7.

Вендоры передовых решений по информационной безопасности ориентируются именно на платформу VMware vSphere и на платформе Hyper-V просто не функционируют. Выбор гипервизора диктует последующий выбор системы мониторинга и стратегии развития информационной безопасности.

Part 8.

Построение гибридных инфраструктур. В Microsoft нет возможности выбора провайдера облака – только
Microsoft Azure. При этом Hyper-V Gen2 не поддерживаются в Azure. VMware поддерживает любые облака.

Part 9.

Преимущества VMware для облаков - многие возможности Hyper-V 2012/2016 Gen2 VM
vSphere vmware-vsphere-6-with-operations-management-comparison-guide-ch-en.pdf

Part 10.

Шифрование VM на vSphere 6.5 - 3 действия:
10.1. подключить сервер ключей;
10.2. включить возможность шифрования на хостах;
10.3. назначить политику шифрования на нужные VM или VMDK и никаких Shielded VM, Host Guardian Service, vTPM и прочего.
( + 10 Примечание )

Сравнение уже устаревших версий:
( + Развернуть... )

Доп.информация: Виртуализация: поле борьбы - Microsoft против VMware

🪟 На стартову сторінку

Cisco Ukraine

20 липня запрошуємо усіх бажаючих приєднатися до вебінару, під час якого ми продемонструємо результати розслідування нещодавньої кібератаки # Nyetya, що уразила тисячі комп'ютерів в Україні.
Починаємо об 11:00 за київським часом.
Реєструйтеся вже зараз та дізнайтеся про особливості цього вірусу від експертів Cisco з інформаційної безпеки Vladimir Ilibman, Pavlo Rodionov та операційного директора компанії Berezha Security Vlad Styran >> http://cs.co/61828SpWA

Nyetya – новый червь, поразивший тысячи компьютеров в Украине.

Nyetya очен опасен. Он распространяется автоматически и использует принципиально новые механизмы поражения, по сравнению с Petya и Wannacry. Эксперты по изучению киберугроз Cisco Talos рассказывают о его особенностях и способах защиты.

Petya A. Он же NotPetya. Он же Nyetya...
Как не стать жертвой кибератаки?

Дата вебинара: четверг, 20 июля 2017.
Начало - 11:00 по киевскому времени.
Спикеры: Владимир Илибман, Павел Родионов, Владимир Стыран.

27 июня 2017 года Украина, Европа и страны СНГ подверглись разрушительной кибератаке Nyetya (Ne-Petya), которая затронула большое число коммерческих организаций и государственных учреждений. В результате сотни тысяч компьютеров оказались зашифрованными, тысячи организаций столкнулись с потерей данных и нарушением работы сервисов.

На вебинаре мы расскажем вам об источнике атаки, идентификации ее ключевых аспектов, о подобных атаках, которые происходили в мире, а также о различных организационных и технических мерах, которые позволят защититься от хакерских атак в будущем и снизить их последствия.

Анализ атаки от Talos
http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html?stickynav=1&campaign=UA_Ransomware_Facebook_gp137ek&country_site=ua&position=facebook_gp137ek&referring_site=paid-ads&creative=UA_RW_Followers_Webinar_2&keyword=download&keycode=001480249&dtid=0014

🪟 На стартову сторінку

Вирусы пишут талантливые люди

Я всегда интуитивно склонялся к тому, что вирусы пишут не только глубоко обиженные на судьбу люди, но и талантливые, амбициозные, профессиональные и действительно увлеченные своей идеей люди.

С возрастом я все больше в этом убеждаюсь. Эпидемия вируса Petya - этому лишний раз подтверждение.

уважуха

В голове невольно складываются кубики — что сделали правильно или неправильно, как только узнали об атаке?

Что было сделано правильно в первые часы атаки:

Первичный сценарий заражения	Предпринятые меры
Сценарий – проникновение через почтовые сообщения в виде вложения к письму	заблокировали почтовые вложения + неоднократные рассылки с категорическим запретом открытия подозрительных вложений
Сценарий – через систему обновлений MEDoc, так называемую атаку «software supply chain attacks», когда взламывается поставщик ПО	погасили сервера M.E.Doc до выяснения
Вторичный сценарий заражения	Предпринятые меры
Активация. Сценарий – команда через Интернет зараженным ПК	закрыли доступ всех пользователей в сеть Интернет
Механизм, использующий уязвимость SMBv1 (EternalBlue/EternalRomance) на находящихся в одной подсети с зараженным ПК компьютерах	исторически созданное сегментирование сети + всех заставили выключить ПК и распустили домой
Механизм pass-the-hash/pass-the-ticket, используя имеющиеся на зараженном ПК сеансы пользователей/администраторов локальных и доменных	всех заставили выключить ПК и распустили домой

Как выразился Игорь Шаститко — «что действительно должны были сделать»? Какие сервисы защиты уже были на всех уровнях ИТ-инфраструктуры?

Рекомендации от Игоря Шаститко кратки и просты (для специалистов):

Уровень	Технологии
Данных	ACL / шифрование
Приложений	антивирус (который поддерживается на Windows +Linux), Applocker / Device Guard
Хостов	Последняя версия ОС, аутентификация, управление обновлениями, FW, защита от вторжения (IDS), Device Guard
LAN	Сегментирование и изоляция (VLAN), шифрование (IPSec), защита от вторжения (NIDS)
Периметр	FW, контроль доступа, App FW, NAP
Физическая безопасность	Охрана, ограничение доступа, аппаратный контроль и аудит доступа, отслеживание устройств, камеры наблюдения
Люди, политики, процедуры	Документирование, тренинги, предупреждения и уведомления, наказания…

Если углубиться, то этот посыл может выглядеть так:

Необходимые технологии для закрытия от вирусных атак типа Petya nonPetya

Уровень

Технологии

Данных

· ACL

· Шифрование

· Классификация данных с RMS

· ACL есть?

· Шифрование есть?

· RMS нет?

Active Directory («Активный каталог», AD) — служба каталогов корпорации Microsoft

· Актуальная база Users, Comps, Servers, Groups в AD: OU для серверов приложений (сегментированных между собой по типам приложений и требуемого сетевого доступа)

· OU для Users&Admins по структуре и местоположению

· Microsoft PAM

· разделяемый доступ администраторов к OU

· Обычно что-то есть в AD, но не задокументировано.

· Microsoft PAM,

· LAPS — нет: уникальные административные пароли на каждой рабочей станции/сервере – утилита Local Administrator Password Solution (LAPS).

· Административные учетные записи, не обладающие полнотой прав на уровне всей сети (Securing-privileged-access).

· Жесткая идентификация пользователя и на каком компьютере произведен вход в полях AD:

1. Расширить схему AD и добавить поле для MAC-адреса компьютера;

2. Внести в тестовый логон-script, чтобы для каждого пользователя, кто входит в сеть, напротив имени учетной записи в поле description вписывалось FDQN компьютера, с которого произведен вход;

3. В том же скрипте вписывать в поле description в имени компьютера имя учетной записи пользователя, который вошел на этот компьютер и в новое поле по п.1 вписывать MAC-адреса компьютера

Приложений

· антивирусы (обновление сигнатур),

· «бронирование» приложений и сервисов с помощью механизмов обнаружения вторжения

· подписка на Defender ATP или

· Microsoft ATA

· Applocker

· Device Guard

Хостов

· ОС (политики с рекомендованными настройками безопасности от Microsoft Security Compliance Manager или

· отключить SMB v1 как класс и прочие ненужные устаревшие сервисы

· через AD GPO запретить User открывать разделяемые ресурсы),

· аутентификация,

· управление обновлениями,

· FW,

· защита от вторжения (IDS — подписка на Defender Advanced Thread Protection),

· VBS,

· Device Guard

· VBS и Device Guard для защиты от кражи идентити.

1. Но – VBS есть только в Windows 10 не во всех редакциях и

2. есть рекомендации по защите хостов от Pass-the-hash/pass-the-ticket атак для Windows 7,

3. использование рекомендованных шаблонов безопасности (для Windows 10 без VBS/DG) — отключение кеширования идентити при входе.

· Уникальные административные пароли на каждой рабочей станции/сервере – утилита Local Administrator Password Solution (LAPS).

· Административные учетные записи, не обладающие полнотой прав на уровне всей сети (Securing-privileged-access).

LAN

· Сегментирование и изоляция (VLAN)

· шифрование (IPSec)

· защита от вторжения (NIDS)

· сегментирование и изоляция (VLAN)

· заменить все Cisco по проекту = заменить сетевые устройства, которые не поддерживают 802.1x во всей сети

· Создать сегменты для серверов приложений (сегментированных между собой по типам приложений и требуемого сетевого доступа)

· RADIUS

· Включить 802.1x на сетевом уровне

Периметр

· FW,

· контроль доступа,

· App FW,

· NAP

· сервис фильтрации почтовых сообщений (в Microsoft Exchange) – удаление всех файлов, кроме разрешенных типов,

· антивирусная система для электронной почты.

· аренда аналогичных облачных сервисов Exchange Online Protection, «знания» которого не зависят от «расторопности» администраторов (время внедрения – 30 мин + обновление доменного имени)

Физическая безопасность

· Охрана,

· ограничение доступа,

· аппаратный контроль и аудит доступа,

· отслеживание устройств,

· камеры наблюдения

соответствие инвентарному кол-ву компьютеров

Люди, политики, процедуры

· Документирование,

· тренинги (обучение не открывать файлы),

· предупреждения и уведомления (о возможных атаках),

· наказания:

1. вплоть до увольнения и судебных исков против запустивших вирус

2. персональная ответственность админов и сетевиков за каждый следующий поломанный по сети компьютер из-за того, что его учетная запись «гуляет» по всей сети

Предупреждали пользователей, пугали наказанием — сработало.

Админы могут проигнорировать смену паролей — нужно проверить даже, если доверяешь

Ссылки:

Securing Privileged Access — http://aka.ms/privsec

Defense-in-Depth https://msdn.microsoft.com/ru-ru/library/cc767969.aspx

Рекомендованные шаблоны безопасности (и для Windows без VBS/DG) – http://aka.ms/pth

Local Administrator Password Solution (LAPS) — http://aka.ms/laps

Учетные записи, не обладающие полнотой прав на уровне всей сети — https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material

Практическое видео от Игоря Шаститко с примером реальной лабораторной по заражению домена Petya.C с правильно настроенными политиками безопасности согласно требованиям Defense-in-Depth для защиты от современных типов угроз (типа того же Pass-the-Hash/Pass-tht-Ticket, которые использовал Petya.AC) – при явном заражении одного ПК – влияние вируса на остальную лабу – нулевое.

Watch on YouTube

Ну, вот где-то так.

🪟 На стартову сторінку

Watch on YouTube

Корпоративный анекдот:
Прим.: Azure RMS - технология Майкрософт для шифрования любых файлов с конфиденциальной информацией.

Менеджер из Майкрософт спросил у компании, которая тестировала внедрение технологии Azure RMS:
"Добрый день! Какова ситуация с Azure RMS проектом? Когда будем внедрять?"
Ответ:
"Добрый день, Петя зашифровал RMS. Приняли решение о внедрении Пети"

🪟 На стартову сторінку

Вирус Petya и правильная комплексная защита от него и подобных следующих вирусов, которая должна была быть в каждой ИТ-инфраструктуре–то, что не сделали вовремя украинские CIO

29/06/2017

iwalker Computers and Internet, Карьера и работа, IT business, Security,SoftwareDefense-in-Depth, DiD, атака, безопасность, вирус, вирусная атака, защита, настройка,причины, Microsoft, Microsoft Ukraine, Petya.A, Petya.C, WannaCry, Windows

2 Votes

А теперь послушайте страшную историю о том, что вы действительно должны были сделать, дорогие мои CIO – так сказать, «техническое алаверды» тому потоку негатива от обиженных CIO и “патриотов”, который последовал за публикацией предыдущего поста «про Petya» в ФБ – Трагедия и фарс–украинские CIO и 150 долларовые админы, российский след и “атака ФСБ”, тотальный факап Microsoft Ukraine–все, что вам надо знать о причинах вчерашней вирусной атаки в Украине…

Особенно «возбудились» почему-то некоторые «патриотические» деятели с дежурной фразой – «ты не живешь в Украине, какое право ты имеешь об этом писать!» – спасибо, повеселили, значит, мой «толстый» троллинг зацепил за живое…
Ладно, оставим лирику – все равно я всякое разное в ФБ комментах покилял, а самых ярых – заблокировал.

А мы посмотрим пошагово, чего же такого «провтыкали» CIO, что могло бы предотвратить эпидемию в украинских компаниях «на корню», что есть в базовых рекомендациях Defense-in-Depth https://msdn.microsoft.com/en-us/library/cc767969.aspx и реализовать которые не является большой проблемой. Напомню, требования Defense-in-Depth (DiD) достаточно простые и предусматривают реализацию тех или иных сервисов защиты на всех уровнях ИТ-инфраструктуры.

Уровень	Технологии
Данных	ACL/шифрование/классификация данных с RMS
Приложений	SDL, антивирусы, «бронирование» приложений и сервисов, App/Device Guard
Хостов	«Бронирование» ОС, аутентификация, управление обновлениями, FW, защита от вторжения (IDS), VBS, Device Guard
LAN	Сегментирование и изоляция (VLAN), шифрование (IPSec), защита от вторжения (NIDS)
Периметр	FW, контроль доступа, App FW, NAP
Физическая безопасность	Охрана, ограничение доступа, аппаратный контроль и аудит доступа, отслеживание устройств, камеры наблюдения
Люди, политики, процедуры	Документирование, тренинги, предупреждения и уведомления, наказания…

Есть и более «продвинутые» методы защиты, которые обеспечивают высокий уровень защиты от современных типов атак, которые в том числе, использовались и в Petya – Securing Privileged Access – http://aka.ms/privsec

Итак, начнем с первичного заражения. В данной эпидемии рассматривается 2 основных сценария – проникновение через почтовые сообщения в виде вложения к письму и через систему обновлений MEDoc, так называемую атаку «software supply chain attacks», когда взламывается поставщик ПО. Подробно, кто еще не прочитал – «разбор полетов» можете посмотреть здесь – https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

При этом в первом сценарии запущенный пользователем из почты исполнимый файл атакует ОС через уязвимости SMBv1 (EternalBlue/EternalRomance) и получает все требуемые права, чтобы выполнить свои процессы – шифрование и распространение.

Какие методы противодействия Defense-in-Depth помогут от подобной атаки:

Периметр – сервис фильтрации почтовых сообщений (например, в Microsoft Exchange) – просто удаляющий все файлы, кроме разрешенных типов, антивирусная система для электронной почты, если нет чего-то подобного – аренда аналогичных облачных сервисов, например – Exchange Online Protection, «знания» которого не зависят от «расторопности» админов (время внедрения – 30 мин + обновление доменного имени).

Приложения – антивирусы, которые ловили Petya.A с самого начала эпидемии. Надо обновлять сигнатуры – нет, не слышали?

Хост – бронирование ОС – накатить готовые политики с рекомендованными настройками безопасности от Microsoft Security Compliance Manager или доточить их под рекомендации – например, отключить SMB v1 как класс и прочие ненужные устаревшие сервисы – плевое дело, управление обновлениями (совсем не сложно, особенно, если Windows не пиратская), с IDS сложнее, но даже тут – всего лишь подписка на Defender Advanced Thread Protection, который, как показала практика, ловит атаки подобного типа на корню.

ЛПП – обучение не открывать файлы, предупреждение об возможных атаках и наказание – вплоть до увольнения и судебных исков против запустивших вирус (ах, да – страна такая, законы не работают – тогда просто переломайте запустившему вирус ноги).

Так что в данном случае – сам факт заражения существенно снижается…

Сценарий второй – вирус «прилетел» через обновление той или иной LoB-системы и здесь пока почти без шансов – скорее всего компьютер будет заражен, поскольку код выполняется от прав системы.

Но не будем расстраиваться. Мы потеряли один компьютер и далее все зависит исключительно от устойчивости ИТ-инфраструктуры в целом.

Дальнейший сценарий распространения вируса Petya проходит по нескольким направлениям:

Механизм, использующий уязвимость SMBv1 (EternalBlue/EternalRomance) на находящихся в одной подсети с зараженным ПК компьютерах,

Или механизм pass-the-hash/pass-the-ticket, используя имеющиеся на зараженном ПК сеансы пользователей.

Первый вариант распространения вируса на соседние ПК блокируется очень просто с Defense-in-Depth:

LAN – сегментирование и изоляция (VLAN) – совсем просто, особенно учитывая кол-во накупленных в компаниях Cisco и прочего оборудования, надо только сесть и чуть подумать, какой же трафик куда должен ходить между сегментам пользовательских ПК (многочисленных и разнесенных тоже) и серверами приложений (тоже сегментированных между собой по типам приложений и требуемого сетевого доступа). Мы не говорим даже об NDIS – даже без обнаружения вторжения (хотя если Cisco – так чего бы не активировать?) – сегменты сетей стали бы непреодолимым барьером для проникновения вируса вне группы ПК.

Хост – с его firewall, который, как ни странно, сейчас включается в Windows по умолчанию и только дурацкий ответ на вопрос – «хотите ли вы расшарить свои файлы в сети» – «да, хочу!» – портит всю картину. Ну вот зачем, зачем пользовательскому ПК вообще что-то публиковать в сети? Зачем все админы так любят отключать firewall? Легче работать? А не легче ли написать правила в групповых политиках… И все, даже в рамках одного сегмента сети – такие ПК c firewall будут защищены от посягательств зараженного ПК. А что насчет контроллеров домена и прочих файловых помоек – читай выше, обязательных обновлений и «бронирования» и тут никто не отменял.

ЛПП – и да, не забываем о персональной ответственности админов и сетевиков за каждый следующий поломаный по сети комп.

Второй вариант распространения вируса чуть сложнее – Petya использует для атаки на другие ПК в сети наличие открытых пользовательских сеансов/кэшей паролей на зараженном ПК, а учитывая парадигму того, что многие админы на ПК используют один и тот же пароль локального администратора или учетную запись администратора домена для работы на любом ПК компании – здесь для Petya широкое поле деятельности с использованием механизмов атак pth/ptt. Имея на руках администраторские пароли и открытые «всем ветрам» порты соседних ПК – Petya успешно копирует себя через административные шары (Admin$) и запускает удаленно свой код на атакуемой машине.

НО, если обратиться к Defense-in-Depth, то можно обнаружить, что:

Хост – рекомендовано использование технологий VBS и Device Guard для защиты от кражи идентити подобными способами. Но – VBS есть только в Windows 10 – Ok, но никто не мешает познакомиться с рекомендациями по защите хостов от Pass-the-hash/pass-the-ticket атак для Windows 7 и т.д. – ничего сложного, кроме опять же – использования рекомендованных шаблонов безопасности (их же можно использовать и для Windows 10 без VBS/DG) – http://aka.ms/pth – начиная с отключения кеширования идентити при входе и т.п.

Хост – простейшая гигиена аутентификации, связанная с использованием уникальных администраторских паролей на каждой рабочей станции/сервере – утилита Local Administrator Password Solution (LAPS) – http://aka.ms/laps – избавит от головной боли «по запоминанию» каждого пароля, а далее – более сложные процедуры гигиены для администраторов, которые говорят, что для выполнения определенных действий на ПК должны быть использованы определенные учетные записи, не обладающие полнотой прав на уровне всей сети – https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material (а что, никто не в курсе, что с доменным админом ходить по рабочим станциям категорически запрещено?).

Плюс – уже упомянутые выше механизмы обнаружения вторжения – тот же Defender ATP или Microsoft ATA («заточенный» как раз на обнаружение атак pth/ptt) и, безусловно – firewall и сегментирование сетей для того, чтобы завладевший теми или иными учетными записями вирус не смог подключиться к соседям.

ЛПП – а здесь уже может “прилететь” и админу компании в целом, если окажется, что его учетная запись “гуляет” почему-то по рабочим местам пользователей или используется на ПК совместно с такими гуляющими админами.

ВСЕ! Было «охренеть как сложно», мы потратили от силы 3 рабочих дня (24 часов и 24х75=1800евро денег высококвалифицированного специалиста) из предоставленных 43 дней с предыдущей атаки для того, чтобы защититься от разрушительного действия вируса типа Petya.

Далее продолжение ->

Назад к ч.1

Вирус Petya и правильная комплексная защита от него и подобных следующих вирусов. ч.2

Было «охренеть как сложно», мы потратили от силы 3 рабочих дня (24 часов и 24х75=1800евро денег высококвалифицированного специалиста) из предоставленных 43 дней с предыдущей атаки для того, чтобы защититься от разрушительного действия вируса типа Petya.

Да, тут некоторые коллеги в комментах дискутировали насчет того, что «нельзя так просто взять и поделить сеть на подсети пользователей и банкоматов – есть моменты администрирования и удобства работы» – но, в любом случае, у CIO было еще минимуму 3-5 дней на подумать, а потом решить, что удобство работы перед угрозой полномасштабной вирусной атаки – отходит на второй план. В общем – даже не думали и не сделали НИЧЕГО.

Наши потери от Petya после принятых общих мер – мы потеряли, скорее всего, все машины, которые заразились путем приезда «обновления от MEDoc» (хотя, при использовании IDS типа Defender ATP – и эти потери могут быть сведены к минимуму), мы потеряли 10% от тех машин, которые получили «письма счастья», а компания – потеряла работавших на них сотрудников. ВСЕ! Никакой эпидемии, никаких отключившихся касс и банкоматов (!!!), никаких тысяч часов на восстановление ИТ-инфраструктуры. Осталось восстановить требуемые данные из бекапов (или вообще ничего не восстанавливать, кроме ОС на ПК – если ИТ-инфраструктура сделана правильно и все хранится и бекапится централизованно, к тому же – в облако).

Так что это было, добродии?! Почему Petya гулял по украинским сетям, вынося всех и вся (и не надо рассказывать, что «в Европе/России тоже пострадали», «это была спланированная атака на Украину») – как не лень, некомпетентность и пофигизм CIO попавших под раздачу организаций и полный пофигизм Microsoft Ukraine по отношению к наземной угрозе?!

Ах да, Microsoft и «облака наше все»… Сейчас пойдут разговоры о том, что если бы «все было в Azure», то ничего бы не было. Было бы – с тем же результатом – ваши виртуальные машины в Azure были бы в той же ситуации – локальная сеть, открытые порты и т.п. – потому что в гибридной инфраструктуре облачная часть IaaS по безопасности ну никак не отличается от наземной по необходимости настроек.

Таким же образом, через обновления, Petya успешно бы пролез и на виртуалки в Azure, дальше бы пошел гулять по виртуальным сетям Azure (которые вы бы не поделили на сегменты, не изолировали, не использовали firewall на каждой), а потом и через Site-to-Site VPN залез бы и на наземные ПК пользователей… Или наоборот – с тем же результатом в такой незащищенной от угрозы изнутри “обланой” инфраструктуре.

А то было бы и хуже – учитывая умение Petya считывать учетные записи админов и зная безалаберность этих админов – Petya.Cloud (с модулем работы в облаке – дописать в код пару строчек) давно бы уже имел административные права на ваши подписки в облаках и делал бы там все, что заблагорассудится, кидая вас еще и на деньги – например – поднимал бы виртуалки для майнинга или ботсетей в вашей облачной подписке, за которые вы бы потом платили по 100К-300К уе/мес.

И даже использование облачного Microsoft Office 365, который вроде как SaaS и его инфраструктура защищается Microsoft – при такой дырявой инфраструктуре на местах – не спасет – с тем же успехом вирус добирается до админского аккаунта O365, используя воровство учетных записей – и дальше подписка O365 уже «не ваша».

Вам об этом не сказали Microsoft, Google, Amazon – все, кто продает «облака»? Так это, им же продать надо, а не решать ваши проблемы – а все проблемы облаков – находятся «на местах», а туда особо уже и не продашь – значит, и инвестировать в наземные части заказчиков не стоит ни копейки – даже тренингами и семинарами…

И всем – приготовиться – это была только следующая волна, ждем следующей, как только ребята найдут следующий механизм “заброски” и инфильтрации вируса в корпоративные сети. И этот вирус также не будет обнаруживаться антивирусами по сигнатурам и будет эксплуатировать свежие уязвимости сетей и незакрытые механизмы типа Pass-the-hash/Pass-the-ticket. И вот просто “перенести все в облака” вам не поможет, а подписка на облачные Microsoft ATA/Defender ATP в дополнение к описаным выше мерам – вполне.

И небольшой ликбез для тех, кому интересно (некоторые доклады – почти годичной давности):

Watch on YouTube

Webcast: как противостоять современным информационным атакам при помощи Microsoft Advanced Threat Analytics – про Pass-the-hash/pass-the-ticket атаки

Watch on YouTube

О безопасности гибридной/облачной ИТ-инфраструктуры в Azure IaaS

И немного ссылок на другие материалы для тех, кто хочет стать просто ИТ-специалистом – смотрите первые шаги по созданию тестового рабочего места: