Личный опыт общения с ransomware (программами-вымогателями) на примере чуть более 200 компов развешанных по разным городам и весям. (не для специалистов)
Общая часть
Что такое рансомварь, объяснять не надо. Последнее время различного рода вымогатели как с цепи сорвались, но вообще-то история это довольно древняя. Я лично столкнулся с этим лет пять назад и больше иметь такого опыта не желаю, но учитывая насколько дырявая система вынь исключать ничего нельзя к сожалению.
Не даром за несколько месяцев до текущих событий наши западные «партнеры» озвучили «утерю» руткитов к винде и лине. То есть, ружье было повешено на стену и оно выстрелило. Приношу искренние соболезнования всем у кого погибли какие-то важные данные, конечно в этом есть вина IT-отдела, оно и понятно, но я хочу изложить и точку зрения IT небольшой компании, как это происходило лично у нас.
В первую очередь этот текст не для IT-специалистов, а для всех остальных, никакой технической конкретики не будет, потому, что я не безопасник, а скорее спец по БД, безопасностью и архитектурой сети, а так же бекапами и прочим выносом мозга типа NAT у нас ведает другой человек и я этому несказанно рад.
Как все начиналось
Наша контора занимается оптовой торговлей всякого ширпотреба, мы не очень большие, но и не очень маленькие, так середнячки, возникли в бурные 90 и до сих пор несем на себе отпечаток тех славных времен. Я работаю в конторе где-то с 2010, так что самого угара не застал, но следы его вижу до сих пор повсюду, я не хочу сказать ничего плохого про нашу контору, просто мы так живем, думаю многие живут так же.
Начнем с оборудования, сказать что это кошмар, это вообще ничего не сказать, термин зоопарк опишет ситуацию в очень розовом свете. Начать с того, что у нас самые разношерстные компы, тройки, слава богу, после известного казуса мы выжили, а вот SX четверки есть, пеньки ну и что поновее, к этому оборудованию подключены разного рода устройства которые стали мастодонтами еще в 2000, всякие сканеры, немыслимые принтеры чеков и черт знает что еще, релизы драйверов на это оборудование есть хорошо если от 2000 годов.
Кроме этого у «наших» торговых есть ноутбуки которые им выдают компании дистрибьюторы, мы вообще ничего на этих ноутбуках трогать не можем от слова совсем, то есть любому дистрибьютору плевать на нашу безопасность с высокой колокольни, а работать они хотят с нашими ресурсами, генеральный им отказать не может.
Разбираться каждый раз с этими му… прекраснодушными через генерального, заболит афедрон, а по другому торговые нас просто игнорируют, малейшие ограничения это такой визг и ор, что геи-правозащитники кажутся радужными немыми котятками, а все IT-специалисты ценят тишину, поверьте на слово, а торговые могут создать очень большой шум если захотят. Разумеется ни о какой AD в данных условиях речь даже не идет.
Для того что бы в этом аду соблюсти хоть какие-то приличия было решено воздвигнуть терминальный сервер и все ресурсы перевести на него, а на своих машинах пусть пользователи делают, что хотят. Мы продавили установку антивируса (сначала кажется DRWEB, потом Каспера, потому что бухгалтерия за что-то невзлюбила DRWEB, но это отдельная захватывающая история, так что теперь у нас в конторе еще и зоопарк антивирусов) на конечные машины и чувствовали себя практически в полной безопасности, наивные.
Апофигей
Терминалы хороши тем, что у пользователя там нет никаких прав от слова вообще, то есть, он может только то что ему позволил администратор, за то уж администратор на терминале это БОГ, он может ВСЕ, в том числе и положить сервер. Разумеется мы не планировали давать кому либо прав администратора, трижды прекраснодушные идиоты.
Первой ласточкой в нашем раю была касса, сейчас уже ситуация с драйверам для касс нормальна, но в те недавние годы, этим драйверам зачем-то нужен был администратор на сервере. И мы скрепя сердце разрешили пользователю кассы быть администратором, чтобы она могла бить чеки из терминалов, какая это была прекрасная и осторожная женщина, никаких бед мы от нее не видели, потом купили другую кассу с нормальными драйверами отняли у кассы администратора, и вздохнули с облечением.
И вот тут-то случилась катастрофа. Есть на свете такое место — бухгалтерия, это администраторы конторы, они могут ВСЕ и уж если чего решили, то выпьют обязательно, сопротивляться их мягкому обаянию бесполезно. Чего уж, можно поругаться вежливо с генеральным, но посраться с бухгалтерией,- это настоящая БОЛЬШАЯ глупость. Такого себе даже генеральный позволить не может.
Все началось совершенно невинно, как впрочем и все катастрофы. Бухгалтера захотели консультант+ в терминалы, потому что де они ездиют по разным городам, а консультант стоит только в головном офисе (даже сетевую версию не покупали из экономии), а оне видели где-то на стороне как консультант замечательно работает в терминалах, тем более, что менеджер консультанта убедил их, что поставить консультант на сервер плевое дело, надеюсь за это ему будет уготовано отдельное место в аду.
Не чуя беды мы поставили этот злощастный конс на терминалы. Бухи очень оценили удобство, еще бы, раньше им надо было переться к одному компу, а теперь они могли работать с любого, причем по факту версия стала сетевой, она лишь не позволяла двум людям работать одновременно, а так полный фарш. Постепенно и филиалы в других городах оценили конс в терминалах стал пользоваться популярностью. Одна беда без администратора он не мог обновляться, мы всячески сопротивлялись давать пользователям конса администраторов.
Однако, эти … из конторы консультанта видимо замахались тягать к нам обновления, и напели в бухгалтерии как прекрасно все обновляется онлайн. Ну вы понели. Мы криком кричали, что это недопустимо на боевом сервере, наши крики не были услышаны, генеральный выслушал нашего начальника и посоветовал ему поставить антивирус на боевой сервер, тут уже завыла вся контора, потому, что антивирус жутко тормозил терминалы, его пришлось отключить.
Катастрофа
Ну что тут сказать. Не смотря на то, что у нас на шарах запрещено, сохранять архивы, скрипты и любые исполняемые файлы, в нашем аду это наименьшее из зол как все не стонали, но уж эту малость мы продавили. Оказывается, в выни есть любопытная дырочка, скрипт можно писать внутри ярлыка, естественно мы об этом ведать не ведали знать не знали.
Я до сих пор не знаю сознательная это была диверсия или кто-то из нашего «зоопарка» постарался. На шару был выложен такой ярлык, ЧСХ ни каспер, ни доктор веб, его не обнаружили, они стали его видеть где-то через неделю, я сам лично проверял.
И какая-то гнида под консультантом запустила этот ярлык на терминальнике.
Конспирология
А вот дальше начался ад. У нас пользователи на «своих» компах вольны делать все что им вздумается, многие открывают папки для внешнего доступа мы с этим ничего сделать не можем, по вышеописанным причинам. Так вот стали шифроваться такие открытые ресурсы, ну и естественно общественные шары.
Мы неделю бились проверили все конечные компы, нашли наконец этого шифровальщика, сначала он даже не ловился ни чем, но проблем это не решило, атаки повторялись в сети творился настоящий бардак. Терминальник стоял как влитой на нем не было зашифровано НИ ОДНОГО файла, шар на нем не было, наконец, мы совершенно измучившись ловлей черных кошек в темных комнатах, запустили тотальную антивирусную проверку, и нашли гнездо зверя, вылечили терминальник. В запале мы его проверили всеми доступными антивирусами и антималваре, нас заверили что все прекрасно, зверь убит, мы вздохнули с облегчением, болваны.
На следующий день, наш терминальник, не позволил пользователям зайти в терминалы, пароль администратора оказался поменян. Как выяснилось позже, все программное обеспечение на нем было уничтожено, а взамен были установлены инструменты для майнинга биткоинов. Мы пришли в полное озверение, снесли терминальних к хренам и поставили за ново, очевидно на нем стоял какой-то руткит который не ловился антивирусами.
Поскольку остальные наши сервера были серьезно защищены, злодей не смог им сделать ровным счетом ничего, хотя конечно пытался. Поведение вируса говорило о том что он выбирал цели в сети не самостоятельно, им управляли удаленно, поэтому в своем «гнезде» он совершенно не свинячил, и только когда люди поняли, что мы их раскусили, они сломали нам сервак окончательно. За то потом наш начальник пошел к генерльному и мы нашли наконец укорот на бухгалтерию и даже немного отбили руки «дистрибьюторам», но это уже не такая поучительная история, хотя и намного более приятная.
Мораль
Во-первых текущая атака, это спланированная акция, все произошло не потому что кто-то чего-то запустил. В Роснефти? Не смешите мои тапочки, их вскрыли как консервную банку, атака наверняка была скоординирована со многих направлений и где-то добрые ангелы прорвались, потому что никакая сеть не может быть защищена абсолютно, прорвались изучили ситуацию и вмазали, по крайней мере таково мое ИМХО. На кого была направлена эта атака сказать сложно, добились ли атакующие успеха тоже сказать сложно. Все что мы наблюдаем это дымовая завеса призванная отвлечь наше внимание от настоящих действий ИМХО.
Во-вторых, вынь + интел, как система находится под полным контролем сами знаете кого, статьи были даже на АШ, так что повторяться не буду и пока такая ситуация сохраняется, всегда СОВЕРШЕННО СЛУЧАЙНО будут происходить подобные вещи, которые будут сваливать на бухгалтеров. То что наши «партнеры» откажутся от такого рычага влияния думать глупо, то что их удастся поймать за руку думать еще глупее. Так что, хотите приватности, переходите на отечественные системы и комплектующие, не хотите - не плачьте. Отключение интернета дает какие-то гарантии, но всегда остаются USB модемы и прочее зверье, если контора большая админу может быть сложно уследить за всеми событиями.
В-третьих, конечно IT-составляющую любой современной организации, надо продумывать очень тщательно, к сожалению с этим очень серьезные проблемы, руководство зачастую даже не подозревает насколько глубоки задницы, которые нас окружают. Думаю, что в данной области было бы неплохо ввести государственные стандарты и заставить конторы их жестко соблюдать, это бы защитило по крайней мере от дурака.
В-пятых, что касается интернета, я категорически за белые сервера, ко всему трафику что приходит мимо белых серверов надо относиться как к вредоносному, и стоны и плачи о том что это де угнетает свободу, это стоны ни о чем. Дайте белые сервера хотя бы предприятиям, чтобы все остальные коннекции можно было смело рубить на уровне диапазонов IP. Даешь белый интернет!!!)))
Так что, вот такие пироги с котятами. Надеюсь, что это просто моя всегдашняя паранойя разгулялась, все совпадения в этой статье с реальными людьми, программами или организациями безосновательны. И да в ответ специалистам от IT, на их правильные и своевременные вопросы о бардаке в конторе, все можно устроить гораздо разумнее в этом мире, я знаю, но почему это всегда хотят делать за мой счет?
Комментарии
Я уже такую мысль вынашиваю))) Вы угадали.
Так вот именно сейчас не следует терять время, иначе ситуация протухнет, народ успокоится и усё, опять привет "болото", проходили не единожды... ;-(
ЗЫ: За недельку-другую краткий разбор полётов в виде аналитической записки руководству и свои предложения, глядишь так и выстрелит идея... ;-)
Заговорщики ;)
Зачем недельку-другую? Вот, через пару часов совещание. Там и предложу. Сейчас все разумные идеи на лету подхватываются руководством) Час Ч, понимаешь)
В качестве workaround могу предложить запрет протокола SMB.
Чтобы *все* файловые сервера — строго по sftp. И *никаких* паролей!!!
Ок. Скину админу в скайп.
Скайп (особенно с учётом топологии и разработчика) в настоящих условиях — ахтунг!!!
Только хардкор, только ёж (тем кто не в теме — net-im/ejabberd)! На корпоративном оборудовании (с использованием какого-нибудь из инфраструктурных доменных имён).
Ну вы уж совсем злой уважаемый И-23. То есть конечно, все вы верно говорите, но покушаетесь на святое, на Скайп, не прокатит)). Поэтому и говорю надо на гос уровне все эти художества запретить, пока не будет официальных документов никто и не почешется
Экономия на специалистах в области IT - безопасности приводит к печальным последствиям. Задумываются об этом только когда pety(х)a в жопу клюнет.
Экономия оно конечно, но если еще и бардак при рождении, тут вообще труба.
Хорошая история, поучительная.
Да уж...
Вообще-то, большинство известных шифровальщиков проникают в сеть именно потому, что кто-то что-то запустил. Самое уязвимое место - отдел кадров, т.к. туда приходит куча писем с вложениями неизвестно от кого, и открыть файл "резюме.doc" от какого-нибудь Васи Пупкина они могут запросто. Пока бороться можно изничтожив у них MS Office или принудительно заставив кадровиков открывать вложения только в Libre Office. Но нет никаких гарантий, что подобные вирусы не могут распространятся и через него.
У нас всем пользователям уже несколько раз рассылали сообщения, в которых есть следующее предупреждение:
Им нужно это письмо принудительно выдавать на экран при каждой попытке открыть ЛЮБОЕ вложение. Я б вообще у них у всех на лбу бы этот текст выгравировала.
После того случая, у нас тоже такая рассылка периодически идет, но к сожалению, это уже по факту.
Неплохо расписали, но надо больше конкретики. И главный вопрос ПОЧЕМУ НЕ ДЕЛАЛИСЬ БЭКАПЫ? На критичных машинах, в том числе и виртуальных - у нас каждую ночь делаются бэкапы, на случай отказа - это НОРМА, если не хочешь поиметь проблем.
Бэкапы делались, вы что? Не было бы бэкапов, нас бы растерзали. Тут вопрос именно в неудобстве, когда идут постоянные атаки, а откуда непонятно.
"откуда непонятно"
это лишь говорит о квалификации админов. надо с порта коммутатора, к которому подключен целевой комьютер сделать зеркалирование трафика и посмотреть
Это когда у вас на каждом компе стоит лицензионный антивирь и вы чувствуете себя защищенными? Тем более в нашим зоопарке... Я же специально для спецов отметил, что все можно организовать РАЗУМНО, но это не тот случай, я уверен не было бы конса, нашлась бы какая нибудь другая дыра. Технически нам проще было устроить тотальную проверку на всех компах, мы даже не предположили сначала куда эта тварь залезла, тем более, что вел он себя очень разумно.
антивирус оставьте для бухгалтеров. защищают бэкапы и здравый смысл.
когда навернулся винт на компе, я его просто снял, поставил новый и через час работал на свежей винде.
а вирусов за 10 лет я видел два раза. оба отправлял касперскому для добавлению в базу, т.к. актуальными антивирусами они не ловились
ППКС!!! Золотые слова.
Да что ты? ЛЮБЫЕ атаки можно распознать или выгоняйте сисадминов - они зря получают зарплату. tcpdump или WireShark - им в помощь и мануалы по роутингу.
И коммутаторы на доступ умеющие зеркалировать порты
Вы, очевидно, не представляете себе всей глубины падения квалификации отечественного IT-сектора, особенно в плане безопасности.
Виток техномагии пришёл в IT, где-то ЕМНИП в 2009м-2011м, когда подросли детки и племянники с модными дипломами программистов.
И это только начало.
Единственное качество которое можно получить по праву рождения — это врождённое слабоумие.
Айзек Азимов.
Это конечно очень зло и не верно по сути, если говорить о биологии процесса. Но технически вы правы, причем дело даже не в дипломах ИМХО, дело в начальной инфраструктуре, которую вам в процессе уже никто менять не даст, а главное вы не получите за это денег даже если спроворитесь, а зачем вам вкалывать сверхурочно на дорогого дядю. Вы же разумный человек и понимаете, что в конторе есть свои регламенты работы, на которые много чего завязано и тут приходит такой ИТ весь в белом и пушистом и начинает что-то требовать. Вы видимо никогда не работали в торговле))).
Вы видимо никогда не работали в торговле)))
Я успел поработать даже в Советской Торговле. Простым продавцом. И да, стоял и на квасе, и на мороженом.
Тогда должны как минимум подозревать о чем я говорю.
начали за здравие, а оказалось автор из секты неуязвимого линукса. последний абзац всё испортил.
Эээ... вы по моему не совсем меня поняли. Тем более, что локатор находится на уровне биоса и контроллера сетевых карт. ему вообще плевать что там на верху стоит, Вынь, линь или вообще BEOS.
атаковать можно любую распространенную систему. не важно линкус или нелинукс. дыр везде полно.
но система должна быть популярной, чтоб атаковать её было рентабельно
Нет, атакуемый должен быть ценным. Популярность системы это уже второй вопрос. ИМХО всякую мелочевку атакуют чтобы скрывать действительно крупные делишки.
ИЯП?
ЗЫ: Ну и на *реализуемый* сценарий *вирусной* (т.е. автоматизированной) атаки на фрюниксы в достаточно грамотной конфигурации я бы тоже посмотрел.
На хакер.ру несколько лет назад была интереснейшая статья на эту тему. К сожалению сейчас не могу найти, не специалист, но там они творили что-то прекрасное связанное с переполнением чего-то.
Как правило, системы ломаются изнутри, а не снаружи. Людям ведь надо как-то работать, ставится проприетарное ПО и... вы ведь технически не можете проверить все, если вы только не тру гентушник.)))
Интересно, почему компьютерщики так любят выражаться на таком уродливом языке?
Простите великодушно, но это просто сленг, этакое арго, он въедается намертво, мы его даже и не замечаем порой, но я с этим стараюсь бороться))).
Ты докторов послушай.
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
Спастись от угрозы, в начале которой живой человек, очень трудно.
Моя история 10-ти летней давности. Кладовщик не имел интернета на своём компе. Так он, воспользовавшись случайной дырой, заходил на терминал сервер оттуда на головной сервер, а оттуда, выходил в интернет. Обнаружилось тоже случайно, через удалённый доступ зашёл на его комп и увидел его экран с интернетом. :)
Странно а почему военные из МО РФ не ноют по поводу атак? (Их атакуют чаще чем раз в секунду) Почему центробанк не ноет, не ноют атомщики.. странно это, не находите?
Ничего странного нет. У них нет левых. Всё лицензионное. Интересы информационной безопасности стоят таких затрат на покупку.
Плюс работа с персоналом (что как делать и что не делать) плюс контроль и плюс восприятие угроз не как "хакеры и вирусы это все в кино"... отсюда результат )
Инструкцию под роспись они знают. Ежемесячно напоминают. Тем более все компы под политиками для работы. Каждый комп инсталлирован сисадмином только для работы.
Всякая вещь может быть сделана тремя способами:
1.Плохо.
2.Хрошо.
3.Как в армии.
Думаю все дело в этом.
У них изолированные сети, им легше.
А вы точно ITшник? (шучу, шучу)
Нет, у них хватает и не изолированных сетей) Просто пункт 2. Хорошо.
Я DBADMIN, это такой недоайтишник, и вообще черт знает кто))).
У них доменные машины.
Интересно: заклинатели ада знают что это такое? ☺
Это их проблемы.
Страницы