Wannacry — икс-команда, на выезд

[LoadRunner]

Кстати, там же, на предприятии, есть бабуля-бухгалтер, так вот она воспитывалась ещё при Сталине.

Лучший файрволл — бабули на проходной :)

[Ugrum]

Остросюжетный киберкриптодетектив детектед.
Подписался на канал автора.

[ChaM]

Хорошо написано, прям сопереживал участникам процесса.

[Fox_exe]

Маленькая конторка. Комп начальника — MacOS, остальные — поголовно Linux (Arch + максимальный закос оформления под WinXP) + VNC на сервак с 1С (Под управлением Ubuntu).
Кароче — я вообще не знаю, что такое вирусы :)

[Splo1ter]

Держите нас в курсе.

[irbis_al]

Аналогично,- всех клиентов перевёл на линукс… где совсем уж необходимо виртуальная винда… и уже 10 лет не знаю проблем вредоносного ПО.(500 компов в обслуживании)

[plutsik]

Если вы обратите внимание на КДПВ, то это как раз Linux-версия Wana. Правда, её пришлось специально собирать, но умельцы смогли запустить. Ведь это приложение попало в десятку самых распространённых Win-приложений, нельзя было упускать такой случай.

[Deosis]

Если там срач — значит, живой юзер, можно разворачивать следующий слой.

Напомнило комментарий в статье про песочницу

[MADDved]

На рабочем столе 3 ярлыка, значит я защищен?))

[dimm_ddr]

А они расположены упорядоченно или хаотично? Это важно!

[MADDved]

В столбик в левом углу) Думаю, это не тянет на хаотично.

[bugrazoid]

А мне так вообще нечего бояться, у меня иконки отключены :D

[madfer]

Мы сейчас уже перешли из режима дежурства «все в готовности» и сна на диванчиках по разным уголкам страны к режиму «не бухать на выходных». После него последует режим обычного дежурства.

Уже… перешли на режим сверхурочного дежурства, так, чисто для профилактики

[ElectroGuard]

Линуксоиды часто говорят — что максимум, что можно испортить — это 'хомяк'. Фигня в том, что хомяк — как раз и есть самое ценное на машине. Операционку, конечно, тоже жалко, но она не идёт ни в какое сравнение с юзерскими данными, лежащими в 'хомяке'. К слову — от крипторов, линукс, увы, тоже не спасает.

[StraightEdge]

Картинка похожа на подземелье в Diablo. С рейд-босом «Admin Account».

[robert_ayrapetyan]

Не очень понятно при чем тут письма с аттачами и инструктаж пользователей к wannacry — оно ж вроде само заползало, разве нет?

[Lailore]

Оно само заползает когда проникает через NAT в локальную сеть. За роутер(NAT) он сам попасть не может. Поэтому ему нужно стандартным способом заразить 1 машу в локальной сети, что бы заразить всю сеть.

[robert_ayrapetyan]

Т. е. торчащая в инет самба (даже на роутере) — это редкий кейс сам по себе?

[Lailore]

Ну да. Тем более в корпоративной сети

[dmitrye1]

Чем меньше виланы сегментов пользовательских ПК, тем лучше, но растет сложность администрирования. Компромисс — вилан формируется на базе только одного свича.
Сервера размещаются в едином блоке IP адресов, ну или нескольких блоках.Никаких сервисов в пользовательских сегментах, печать через сервер.
Все корпоративные приложения имеют архитектуру клиент-сервер, исключения составляет VoIP RTP (udp/16k-32k или даже udp/1k-64k).
На выходе из пользовательского сегмента стоит фильтр: разрешить IP до серверов, ICMP, RTP, запретить IP на приватные адреса, разрешить все.
Портфолио данной методики начинается с Чернобыля (Virus.Win9x.CIH) 1999г, то был ад. С той поры больше слушаешь про приключения других.

[plutsik]

На 99-й год да, это работало. Сейчас такое деление на мелкие виланы рождает уязвимость ошибочной миграции машин. Поэтому используются или системы на базе NGFW-решений, или же микросегментация. Последняя сложнее, поскольку вместо денег надо применять интеллект. Но один раз на конфигурировании среды, дальше всё это довольно просто поддерживается.

[dmitrye1]

NGFW умеет много чего, но вот быстро и дешево не может. Именно простого пакетного фильтра достаточно для реализации правила: «сетевые взаимодействия между пользовательскими ПК запрещены, ибо все есть клиент-сервер» при $150 за порт и 40Gb/s матрицы коммутации на свитч с 50ю интерфейсами. Если есть возможность повесить фильтр не на вилан, а на порт — вот и изолированные сегменты в 1 ПК за счет типового для всей корпоративной сети небольшого пакетного фильтра. После реализации ПК не может заразить другой ПК, расслабляться не надо, но там фатального ничего (типа Wannacry) не произойдет, сконцентрируйте интеллект и деньги(NGFW) на периметре, DMZ и серверах.

Можно раскрыть тему «уязвимость ошибочной миграции машин»?

[plutsik]

вот здесь у ребят ситуация рассмотрена https://habrahabr.ru/company/croc/blog/328958/

[KorDen32]

У длинка кстати издавна есть Traffic Segmentation, запрещающий ходить пакетам между пользовательскими портами.

[some_x]

Не понял из статьи почему 66% на нашу страну пришлось?

[markmariner]

Потому что в Европе обновления ставят за месяц, а у нас — за два :-)

[milo1]

Так понял, что средний срок установки патчей от майкрософта у нас 2 месяца. Т.е. просто не успели в корпорациях установить.

[Oval]

если с трудом читаемый сайт был против динамического анализа корпоративных песочниц, то его бы наоборот зарегистрировали сначала

[Alexeyslav]

Так ведь смысл в том что вне песочницы сайт не должен пробиваться, т.к. в песочницах по умолчанию обращение к любому сайту возвращает код 200, чтобы зловред сделал следующий шаг и проявил себя(загрузка вредоносной нагрузки и её запуск).

[Alexeyslav]

Тогда песочницы начнут детектировать запрос именно этого файла и у зловреда не будет вариантов.
К тому же, это подарок системным администраторам — они сразу же узнают о заражении и перекроют зловреду кислород — обрубить соединение и он будет считать что в песочнице и тем самым запустится в холостую.

[KorDen32]

А если запрашивать несколько доменов, дальше решать, анализируя все ответы — скажем, в зависимости от имени домена, его доступности, наличия спец.файла и кода в нем — и так четыре домена. Доступность сразу всех доменов, или только одного из всех — песочница.

[Alexeyslav]

Сложно, не нужно… слишком палевно в конце концов.

[taliano]

в одном из филиалов оператор открыл письмо

Если админы в этой организации хоть что-то смыслят в ИБ, то зловред будет еще на излете заблокирован AppLocker`ом.

[x67]

матанализ

А с этого момента подробнее. Очень интересно найти ту грань, где администрирование пересекается с тяжелой математикой (всегда считал, что тут огромная пропасть)

[mi888]

Дело в том, что с первых защитных песочниц зловреды пытаются определить режим гипервизора и реальность рабочей станции.

Из чего следует что лучшее решение работать в «песочнице».

[jankovsky]

Прямо экшн такой. А на деле скорее всего студент какой-нибудь с cureit походил по компам да и все.

[mayorovp]

cureit не помогает от шифровальщиков

[teecat]

От статического анализа он защищён несколькими свертками сжатия-шифрования

Wanna Cry, если мне память не изменяет, имеет 4 компонента. Если не сложно — кто из них упакован? Насколько я знаю, то про Wanna Cry как разговорилось, что как минимум первые версии не паковались, использовался только архив

Потоковые антивирусы против него не работают — дистрибутив поставляется пользователю в архиве, который он сам расшифровывает на рабочем месте

Архивы не проверяются, если проверка архивов отключена. Если данные критичны, то можно и включить проверку архивов
Ну и опять же — ну пусть не работает проверка при получении. Wanna Cry не относится к бестелесным троянам и отлично ловится антивирусными базами файлового монитора даже без наличия сигнатур — чисто эвристиком в момент распаковки

[vviz]

Господа, лишите пользователя админовских прав и запретите через gpedit.msc (дополнительно) запуск кода везде, кроме:
%ProgramFiles%
%ProgramFiles(x86)%
%WINDIR%

И что сможет сделать код трояна при попытке его запуска?

[mayorovp]

Он сможет запуститься с системными привилегиями благодаря уязвимости класса RCE в системном процессе.

[grumbler66rus]

Вы не поняли. Вопрос был про момент первого проникновения внутрь периметра: пользователь открыл письмо с трояном и покликал на аттач.
С одной стороны, vviz забыл про %windir%\temp
С другой стороны, пользовательский %TEMP% и %TMP% указывают в профиль пользователя. Чтобы предотвратить случайный (тупой) запуск троянов и прочего шлака пользователем, достаточно запретить запуск из %TEMP%,%TMP%, Temporary internet files, Downloads и Загрузки, при этом добавить в список запрещённого *.js

[mayorovp]

Значит, трояну нужна будет для запуска уязвимость в уже установленной программе.

[grumbler66rus]

И опять вы не поняли.
При наличии защищённого периметра, хотя бы файрвола на маршрутизаторе, у трояна нет возможности (дистанционного) выполнения кода до момента выполнения внутри периметра (на компьютере в локальной сети).
Чтобы что-то (троян) запустить, нужно выполнить системный вызов с исполняемым файлом в параметре. Запрет запуска программ работает на этом этапе — если запуск запрещён, системный вызов не будет выполнен, троян не получит управление — останется просто файлом с данными.
Речь о AppLocker или Software Restriction Policies.

[mayorovp]

Нет, на этот раз не поняли уже вы.

Я говорил об уязвимостях, приводящих к выполнению произвольного кода при открытии файлов с данными.

Вот недавно нашли: http://blog.checkpoint.com/2017/05/23/hacked-in-translation/

[grumbler66rus]

Действительно, не понял сразу.
Тут работает вероятность.
В таком векторе атаки я ещё понимаю смысл рассылать файл Microsoft Office или PDF. (И опасность уязвимости в Adobe PDF Reader плюс его требовательность к ресурсам давно подвигли меня рекомендовать клиентам альтернативные ридеры — Sumatra, Foxit и др.)
Описанное по ссылке имеет очень маленький шанс к распространению, это применимо разве что для целенаправленной атаки как один из вариантов проникновения, и даже в таком сценарии маловероятно. Тот же VLC по умолчанию не скачивает субтитры.

[vviz]

Нет, я не забыл — я упоминать не стал, вроде как известная уже, набившая оскомину, вещь. При поднятии системы все %TEMP% %TMP% перенаправляю в c:\temp. И раз уж разбор по косточкам — необходимо разрешить запуск *.lnk
И — Win с начало времен сильно «гадит» в «темп», и плохо прибирает за собой. «Темп» в рамдиск.