Личный опыт общения с ransomware (программами-вымогателями) на примере чуть более 200 компов развешанных по разным городам и весям. (не для специалистов)
Общая часть
Что такое рансомварь, объяснять не надо. Последнее время различного рода вымогатели как с цепи сорвались, но вообще-то история это довольно древняя. Я лично столкнулся с этим лет пять назад и больше иметь такого опыта не желаю, но учитывая насколько дырявая система вынь исключать ничего нельзя к сожалению.
Не даром за несколько месяцев до текущих событий наши западные «партнеры» озвучили «утерю» руткитов к винде и лине. То есть, ружье было повешено на стену и оно выстрелило. Приношу искренние соболезнования всем у кого погибли какие-то важные данные, конечно в этом есть вина IT-отдела, оно и понятно, но я хочу изложить и точку зрения IT небольшой компании, как это происходило лично у нас.
В первую очередь этот текст не для IT-специалистов, а для всех остальных, никакой технической конкретики не будет, потому, что я не безопасник, а скорее спец по БД, безопасностью и архитектурой сети, а так же бекапами и прочим выносом мозга типа NAT у нас ведает другой человек и я этому несказанно рад.
Как все начиналось
Наша контора занимается оптовой торговлей всякого ширпотреба, мы не очень большие, но и не очень маленькие, так середнячки, возникли в бурные 90 и до сих пор несем на себе отпечаток тех славных времен. Я работаю в конторе где-то с 2010, так что самого угара не застал, но следы его вижу до сих пор повсюду, я не хочу сказать ничего плохого про нашу контору, просто мы так живем, думаю многие живут так же.
Начнем с оборудования, сказать что это кошмар, это вообще ничего не сказать, термин зоопарк опишет ситуацию в очень розовом свете. Начать с того, что у нас самые разношерстные компы, тройки, слава богу, после известного казуса мы выжили, а вот SX четверки есть, пеньки ну и что поновее, к этому оборудованию подключены разного рода устройства которые стали мастодонтами еще в 2000, всякие сканеры, немыслимые принтеры чеков и черт знает что еще, релизы драйверов на это оборудование есть хорошо если от 2000 годов.
Кроме этого у «наших» торговых есть ноутбуки которые им выдают компании дистрибьюторы, мы вообще ничего на этих ноутбуках трогать не можем от слова совсем, то есть любому дистрибьютору плевать на нашу безопасность с высокой колокольни, а работать они хотят с нашими ресурсами, генеральный им отказать не может.
Разбираться каждый раз с этими му… прекраснодушными через генерального, заболит афедрон, а по другому торговые нас просто игнорируют, малейшие ограничения это такой визг и ор, что геи-правозащитники кажутся радужными немыми котятками, а все IT-специалисты ценят тишину, поверьте на слово, а торговые могут создать очень большой шум если захотят. Разумеется ни о какой AD в данных условиях речь даже не идет.
Для того что бы в этом аду соблюсти хоть какие-то приличия было решено воздвигнуть терминальный сервер и все ресурсы перевести на него, а на своих машинах пусть пользователи делают, что хотят. Мы продавили установку антивируса (сначала кажется DRWEB, потом Каспера, потому что бухгалтерия за что-то невзлюбила DRWEB, но это отдельная захватывающая история, так что теперь у нас в конторе еще и зоопарк антивирусов) на конечные машины и чувствовали себя практически в полной безопасности, наивные.
Апофигей
Терминалы хороши тем, что у пользователя там нет никаких прав от слова вообще, то есть, он может только то что ему позволил администратор, за то уж администратор на терминале это БОГ, он может ВСЕ, в том числе и положить сервер. Разумеется мы не планировали давать кому либо прав администратора, трижды прекраснодушные идиоты.
Первой ласточкой в нашем раю была касса, сейчас уже ситуация с драйверам для касс нормальна, но в те недавние годы, этим драйверам зачем-то нужен был администратор на сервере. И мы скрепя сердце разрешили пользователю кассы быть администратором, чтобы она могла бить чеки из терминалов, какая это была прекрасная и осторожная женщина, никаких бед мы от нее не видели, потом купили другую кассу с нормальными драйверами отняли у кассы администратора, и вздохнули с облечением.
И вот тут-то случилась катастрофа. Есть на свете такое место — бухгалтерия, это администраторы конторы, они могут ВСЕ и уж если чего решили, то выпьют обязательно, сопротивляться их мягкому обаянию бесполезно. Чего уж, можно поругаться вежливо с генеральным, но посраться с бухгалтерией,- это настоящая БОЛЬШАЯ глупость. Такого себе даже генеральный позволить не может.
Все началось совершенно невинно, как впрочем и все катастрофы. Бухгалтера захотели консультант+ в терминалы, потому что де они ездиют по разным городам, а консультант стоит только в головном офисе (даже сетевую версию не покупали из экономии), а оне видели где-то на стороне как консультант замечательно работает в терминалах, тем более, что менеджер консультанта убедил их, что поставить консультант на сервер плевое дело, надеюсь за это ему будет уготовано отдельное место в аду.
Не чуя беды мы поставили этот злощастный конс на терминалы. Бухи очень оценили удобство, еще бы, раньше им надо было переться к одному компу, а теперь они могли работать с любого, причем по факту версия стала сетевой, она лишь не позволяла двум людям работать одновременно, а так полный фарш. Постепенно и филиалы в других городах оценили конс в терминалах стал пользоваться популярностью. Одна беда без администратора он не мог обновляться, мы всячески сопротивлялись давать пользователям конса администраторов.
Однако, эти … из конторы консультанта видимо замахались тягать к нам обновления, и напели в бухгалтерии как прекрасно все обновляется онлайн. Ну вы понели. Мы криком кричали, что это недопустимо на боевом сервере, наши крики не были услышаны, генеральный выслушал нашего начальника и посоветовал ему поставить антивирус на боевой сервер, тут уже завыла вся контора, потому, что антивирус жутко тормозил терминалы, его пришлось отключить.
Катастрофа
Ну что тут сказать. Не смотря на то, что у нас на шарах запрещено, сохранять архивы, скрипты и любые исполняемые файлы, в нашем аду это наименьшее из зол как все не стонали, но уж эту малость мы продавили. Оказывается, в выни есть любопытная дырочка, скрипт можно писать внутри ярлыка, естественно мы об этом ведать не ведали знать не знали.
Я до сих пор не знаю сознательная это была диверсия или кто-то из нашего «зоопарка» постарался. На шару был выложен такой ярлык, ЧСХ ни каспер, ни доктор веб, его не обнаружили, они стали его видеть где-то через неделю, я сам лично проверял.
И какая-то гнида под консультантом запустила этот ярлык на терминальнике.
Конспирология
А вот дальше начался ад. У нас пользователи на «своих» компах вольны делать все что им вздумается, многие открывают папки для внешнего доступа мы с этим ничего сделать не можем, по вышеописанным причинам. Так вот стали шифроваться такие открытые ресурсы, ну и естественно общественные шары.
Мы неделю бились проверили все конечные компы, нашли наконец этого шифровальщика, сначала он даже не ловился ни чем, но проблем это не решило, атаки повторялись в сети творился настоящий бардак. Терминальник стоял как влитой на нем не было зашифровано НИ ОДНОГО файла, шар на нем не было, наконец, мы совершенно измучившись ловлей черных кошек в темных комнатах, запустили тотальную антивирусную проверку, и нашли гнездо зверя, вылечили терминальник. В запале мы его проверили всеми доступными антивирусами и антималваре, нас заверили что все прекрасно, зверь убит, мы вздохнули с облегчением, болваны.
На следующий день, наш терминальник, не позволил пользователям зайти в терминалы, пароль администратора оказался поменян. Как выяснилось позже, все программное обеспечение на нем было уничтожено, а взамен были установлены инструменты для майнинга биткоинов. Мы пришли в полное озверение, снесли терминальних к хренам и поставили за ново, очевидно на нем стоял какой-то руткит который не ловился антивирусами.
Поскольку остальные наши сервера были серьезно защищены, злодей не смог им сделать ровным счетом ничего, хотя конечно пытался. Поведение вируса говорило о том что он выбирал цели в сети не самостоятельно, им управляли удаленно, поэтому в своем «гнезде» он совершенно не свинячил, и только когда люди поняли, что мы их раскусили, они сломали нам сервак окончательно. За то потом наш начальник пошел к генерльному и мы нашли наконец укорот на бухгалтерию и даже немного отбили руки «дистрибьюторам», но это уже не такая поучительная история, хотя и намного более приятная.
Мораль
Во-первых текущая атака, это спланированная акция, все произошло не потому что кто-то чего-то запустил. В Роснефти? Не смешите мои тапочки, их вскрыли как консервную банку, атака наверняка была скоординирована со многих направлений и где-то добрые ангелы прорвались, потому что никакая сеть не может быть защищена абсолютно, прорвались изучили ситуацию и вмазали, по крайней мере таково мое ИМХО. На кого была направлена эта атака сказать сложно, добились ли атакующие успеха тоже сказать сложно. Все что мы наблюдаем это дымовая завеса призванная отвлечь наше внимание от настоящих действий ИМХО.
Во-вторых, вынь + интел, как система находится под полным контролем сами знаете кого, статьи были даже на АШ, так что повторяться не буду и пока такая ситуация сохраняется, всегда СОВЕРШЕННО СЛУЧАЙНО будут происходить подобные вещи, которые будут сваливать на бухгалтеров. То что наши «партнеры» откажутся от такого рычага влияния думать глупо, то что их удастся поймать за руку думать еще глупее. Так что, хотите приватности, переходите на отечественные системы и комплектующие, не хотите - не плачьте. Отключение интернета дает какие-то гарантии, но всегда остаются USB модемы и прочее зверье, если контора большая админу может быть сложно уследить за всеми событиями.
В-третьих, конечно IT-составляющую любой современной организации, надо продумывать очень тщательно, к сожалению с этим очень серьезные проблемы, руководство зачастую даже не подозревает насколько глубоки задницы, которые нас окружают. Думаю, что в данной области было бы неплохо ввести государственные стандарты и заставить конторы их жестко соблюдать, это бы защитило по крайней мере от дурака.
В-пятых, что касается интернета, я категорически за белые сервера, ко всему трафику что приходит мимо белых серверов надо относиться как к вредоносному, и стоны и плачи о том что это де угнетает свободу, это стоны ни о чем. Дайте белые сервера хотя бы предприятиям, чтобы все остальные коннекции можно было смело рубить на уровне диапазонов IP. Даешь белый интернет!!!)))
Так что, вот такие пироги с котятами. Надеюсь, что это просто моя всегдашняя паранойя разгулялась, все совпадения в этой статье с реальными людьми, программами или организациями безосновательны. И да в ответ специалистам от IT, на их правильные и своевременные вопросы о бардаке в конторе, все можно устроить гораздо разумнее в этом мире, я знаю, но почему это всегда хотят делать за мой счет?
Комментарии
То есть консультант это не сторонний софт? Зачем ему права администратора при обновлении?
Ps. Если они уже научились обновляться без прав администратора беру слова назад. Мы от них в свое время ушли.
Права админа нужны (наверное, я хз, у нас в шедулере от админа, как писали выше), но кто запрещает сделать как советовали выше?
Я за безопасный секс))))
блин а вы не пробовали читать документацию на ПО? там же четко сказано Права на директорию КУДА ставится и последующий Запуск от имени ТОГО пользователя который ставил с ключом /ADM - собственно если Думать что делать.....
Мы ушли от них, если что- то поменяли, то молодцы.
Теперь у них свой комп и вообще не важно, что там деется. Наверняка сейчас у них все прекрасно, если нет то они непрофессиональны))).
Вообще-то на любом сервере множество "сторонних" программ. Антивирус - это тоже сторонняя программа. И, представьте себе, он должен обновляться!
Для автоматического обновления запускается "CONS.exe /adm /receive_inet /base* /yes" Т. е. запускается сама программа Консультант+. Ну, если Вы до такой степени не доверяете компании Консультант, то зачем устанавливать их ПО? Оно же стороннее!
Так мы от них и ушли))))
Чем сейчас пользуетесь? Это я в качестве любопытства спрашиваю.
Там что-то онлайновое. Ко мне неотносится и хорошо.
Нда.... ССЗБ..... ТАК талантливо просрать ВСЁ - причем реально сделать всё что бы оно ИМЕННО так и случилось.....
Админа - На мыло, Генералу - заместо отпуска На курсы по ИБ для Генералов.....
Если нужна консультация о корректной настройке всей инфраструктуре обращайтесь расскажу, объясню покажу.....
Не нужна. До руководства все риски доведены, оно в курсе, бюджет ассигнован, в остальном,- это не мое хозяйство я в него не лезу. У меня своих головных болей хватает, но за предложение - спасибо.
Годный срач. Ахтунг - пахнет трольчатиной! Автор, нет ли в обсуждении упырей? Сим повелеваю - внести запись в реестр самых обсуждаемых за день.
"многие открывают папки для внешнего доступа мы с этим ничего сделать не можем " - это у ваших пользователей прямой инет без прокси??? Если это так, то приключения у вас все впереди :)
Без прокси было бы совсем труба... Прокси на CENTOS если не ошибаюсь.
В разделе "Мораль" отсутствует четвертый пункт. О чём он был?
Да это я госстандарты в один пункт с третьим слил, а нумерацию сменить забыл.))
Собственно, всё остальное в статье можно не читать.
Там уведомление в начале статьи. Вы моли бы вообще сберечь свое время))).
Вот интересно, а на сеть МО РФ так можно напасть? Я хоть с ОБИшниками общаюсь, но за такие вещи не колятся.
Я могу сказать только свое теоретическое ИМХО.
Взломать можно любую сеть (любую сущность), самое ненадежное звено в ней люди, пока у вас в системе есть человек, вы никак не сможете защититься от его глупости - абсолютно. Кроме того, безопасность сильно затрудняет работу в системе, требуется строгое проектирование, раздача прав и прочее, как правило это вызывает острый конфликт интересов, не всякая организация может его преодолеть.
да уж...бойцы невидимого фронта, воистину!
Бухгалтера - они, конечно сильны, но, к счастью, не всегда они - самые сильные. Работал я в одной конторе, где была похожая ситуация, но богами там были мы - айтишники, и на бухгалтеров мы могли спокойно класть. Несмотря на это, из-за непонятного сборища программ, ВСЕМ юзверям пришлось выдать права администратора домена. По большому счёту во время всех эпидемий всё обходилось хорошо, но сейчас я там уже не работаю, и подцепили ли они петю - не знаю. Но, в любом случае, там делались регулярные бекапы на плёнку, так что в случае чего они могли потерять максимум день.
Я считаю это божественно))). Нахрена тогда домен непонятно, но в целом ситуация ясна, все как у нас, - глюки сохраняются в целях совместимости.
Страницы