Comments 22
Лучший Incident Response за последнее время
Вопрос, как злоумышленники получили реквизиты доступа к панели управления, пока остается открытым
По-моему это самый интересный вопрос. Ведь если механика угона пароля до сих пор работоспособна, то вся остальная работа бесполезна.
Предполагаю, что это (ныне популярный метод) - купить логи стилеров
Ребята утверждают, что сами они никогда не пользовались панелью, то есть красть креды было бы неоткуда.
В таком случае, кто-то должен был у себя запустить этот стилер, предварительно сохранив пароли от панели управления. Если это был кто-то из сотрудников, то, полагаю, другие пароли он тоже сохранил бы.
Действительно хороший разбор инцидента с перечислением того, что проверялось и где были найдены проблемы. Причём без лишних заумных фраз и кучи куском непонятного кода.
P.S. Список проверенных артефактов забрал к нам на Wiki, т.к. пригодится ещё.
Профессиональный отчет, респект
Насколько я понял вы говорите что выгрузили только бэкапы, а как объяснить дефейс сайта? дважды
И еще про почту, вы приводите скрин с релеем wsm@ но там же рядом лежит конфиг postfix со списком сотрудников, а почтовик это уже ваш внутренний контур получается
Спасибо за статью, отметил для себя несколько полезных моментов.
А подскажите, не накатывались ли бэкапы в период с 19 января 2023 (момента нелегитимного доступа к панели управления) до момента, когда стало известно об инциденте? Вы же ещё не успели их проверить на наличие несанкционированных изменений и есть вероятность, что изменённый бэкап уже раскатан. "Рабочую" среду вы проверили, но все же любопытно.
Очень жаль, что произошел данный инцидент, но очень понравился разбор.
Спасибо за статью
на сколько реально установить что то больше чем просто ip у сервиса vpn которым пользовались злоумышленники?
Если вы не пользуетесь ispmanager, может стоит его вообще удалить? А ssh оставить только по ключам.
Насчет битрикса: ввиду технических "особенностей" (например отсутствие единой точки входа) этого замечательного продукта, дыры в нем находят часто и будут находить, поэтому лучше зоопарк с битрой хранить в отдельном контуре от важных сайтов. Ну и WAF (тот же cloudflare) будет далеко не лишним.
P.S. спасибо за обзор, радует, когда компании разбирают инциденты
del - прошу прощения, перепутал
Не докопаться ради, а искренне интересно. Хотелось бы поинтересоваться парой вещей у уважаемых экспертов по иб:
1) почему используется generic-хостер с isppanel, а не какое-нибудь облако из серии амазон/гугл/яндекс/итд в конфигурации "1 виртмашина 1 сайт"+цдн используя свои же бестпрактисес?
2) почему везде пыха и cms на ней? мы же вроде не в 2010-м живём(судя по таблице, самые старые сервисы 2018г), полно jekyll-образных генераторов сайтов и серверлесс-сервисов их дополняющих(подписка на рассылку и тд)...
Господин Bitrix - главный герой утечек последних лет. Когда-то сделали неверный выбор в сторону популярного в России CMS, сейчас болезно все это менять.
Один сайт на одной виртуальной машине - звучит дорого и трудозатратно.
А что плохого в пыхе? Если компетентные разрабы писали сайт согласно DevSecOps?
Компании, которые открыто информируют о своих нарушениях, уже опережают атакующих на один шаг. Это впечатляющий анализ реакции на инцидент.
Какие положительные комментарии. А если бы в заголовке новости было написано «отчет дочерней компании сбербанка», то комментаторы так же хорошо оценили текст? Или как обычно захейтили бы Сбер?
А можно в тех же каналах купить данные атакующих?
Добрый день. Спасибо за подробный разбор ситуации.
Мы готовы помочь с расследованием инцидента, во всем, что касается ispmanager. Напишем на вашу почту для дальнейшей коммуникации.
Также рекомендуем использовать 2fa. Подробнее о ней в документации.
В любом случае, к нам всегда можно обратиться напрямую через help@ispmanager.com.
Утечка данных сайтов BI.ZONE: результаты расследования и процесс реагирования