Продолжение истории с кибершпионажем за аптеками

[alexq2]

Похищенную с зараженных компьютеров коммерческую информацию троянец выгружал на серверы за пределами России.
Серьезное обвинение. Какая информация отправлялась на внешние сервера? Такие атаки возможно заметить обычной компании или это может заметить технологическая компания?

[doctorweb]

Какая информация отправлялась на внешние сервера?

Информация о закупках медикаментов из специализированных программ, которые используются в фармацевтической индустрии.

Такие атаки возможно заметить обычной компании или это может заметить технологическая компания?

В принципе, поймать утечку данных можно без особых проблем, да и даже сам шпион ловился без проблем антивирусом (по крайней мере, у нас, за других говорить не могу). А вот найти бэкдор, через который шпион залезал каждый раз — вот это уже было проблемой, на которую ушло 4 года расследований.

[teecat]

Ни разу не обвинение. Аренда удобного сервера в иной стране в целях затруднения расследования
Заметить атаку сложно, так как это аптеки (вариант — магазины/...) — два-три человека в штате, айтишник по вызову. Нужно строить по сути SIEM на уровне материнской компании, если она есть

[doctorweb]

(промахнулся)

[aspire]

Интересная история. Но могу сказать что расследовать это одно, а по факту отлавливать вирус это другое. В нашей компании стоял ваш антивирус, не уточнял у сисадмина, но какая-то корпоративная версия. Так вот по факту это нас никак не защитило, антивирус только констатировал факт что кто-то пытается вмешаться в работу винды. Что я этим хотел сказать, лучше вы свои силы потратили на свою программу недели на написание этой статьи. p.s. первая часть истории была лучше.

[mayorovp]

Во-первых, обычно статьи и программы пишутся разными людьми. А во-вторых, любой популярный антивирус никогда не будет отлавливать свежие вирусы, сколько его не дописывай. Пора уже осознать, что антивирусы защищают от старых угроз, а не от новых.

[aspire]

Я и не утверждал что это делает один человек, а просто изложил свою мысль. Как не печально констатировать факт но Microsoft Security Essentials — бесплатный, и он ловил вирус, а купленный доктор веб не смог. Просто немного раздражает когда фирмы пытаются пропиариться на сложившийся ситуации. Посмотрите как часто они публиковали статьи до появления этого вируса, и как после.

[doctorweb]

Анекдотические свидетельства не являются доказательством. Вы о каком, собственно, вирусы говорите? Впрочем, это немного не место для данной статьи, где, вообще-то, о конкретной кибератаке на аптеки говорится. А обсудить работу на винде и с каким-то конкретным трояном приглашаю на профильный ресурс: https://forum.drweb.com/index.php?showforum=46

[aspire]

Я надеюсь что вы понимаете что я не могу разглашать вам внутреннюю «кухню» компании где я сейчас работаю. А говорю я про сейчас всем известного «Петю». Извините если чем обидел, так как накипело после поднятия с нуля больше 150 рабочих мест.

[doctorweb]

Тогда, надеюсь, вы это с техподдержкой обсудили, там всё приватно. Ну вы же сами понимаете, что я вообще ничего сейчас не знаю о вашей конкретной ситуации, что вы за компания, как там было что, поэтому ничего прокомментировать не могу. Да и тема не о том.

[BillGilbertN]

если у Вас произошла проблема с «Петей» после такого количества предупреждений — грошь Вам цена как специалисту!

[aspire]

Я работаю программистом и не отвечаю за безопасность сети, это не моя обязанность. И толку от тех сообщений не было, так как не могли определить в чем причина, а через полчасика после заражения все компы на фирме в один момент времени начали выключаться. На решение проблемы было 30 минут, от первых сообщений до выключений. Не думаю что за такой период времени можно успеть решить проблему.

[doctorweb]

Ну, в целом, так, но не совсем так — превентивная защита хорошо работает против неизвестных шифровальщиков, например. Например, тот же воннакрай ловился превентивкой ещё до того, как его кто-то глазами посмотрел.

[teecat]

эвристиком антивирусных баз, то есть голым антивирусом. С петей сложнее — там ловился один компонент

[doctorweb]

См. выше — антивирус отлично ловил самого шпиона, расследование было на тему источника бэкдора, ловить это никак не мешало.

[MazayZaycev]

Тенденция весьма пугающая, если будет взлом производителя инструментов для системного администрирования (бэкапы вируализация), то это будет гораздо серьезнее чем отчётность и аптеки.
Вариант с одновременным шифрованием всех виртуальных дисков на гипервизоре и резервных копий уже не кажется невероятным.

[teecat]

По этому я и вижу последнее время рекомендации все хранить в базах данных, использовать версионирование данных и выносить базы данных на отдельную защищенную машину, куда никто не имеет доступа. Да тормознее во многих случаях, но почти гарантированная надежность от случайного заражения

[varnav]

Гм, ну давайте представим средненький банк, 20 файлсерверов, сто миллионов файлов, миллион папок с разграничением прав на базе NTFS/AD. Как их хранить в базах данных?

[teecat]

С другой стороны. Банк. Средний региональный. Зашифрован сервер с АБС.

Тут проблема в том, что админы даже крупнейших компаний не могут обеспечить защиту от вредоносных файлов (и кстати я не говорю, что антивирус обязан быть, я знаю, что есть методы защиты и без него и в дополнение к нему). Вариантов два гипноизлучатели на орбиту обучить всех правильной методике организации защиты и контроля защищенности (да хоть менять пароли на не менее стойкие раз в три месяца и обновлять систему периодически) — или внедрить избыточно дорогое решение, не трогающее любимые болячки.
Как вы думаете — какой вариант реальнее в реальности?

[varnav]

Да нет, что вы, я не против. Просто как это технически выполнить — перенести файлопомойку в СУБД?

[teecat]

И я также с вами согласен. Но я за свою жизнь и не такие извращения видел, когда вместо правильных решений городятся костыли по причине современные архитектуры, правильный методологический подход, европейские стандарты качества и тд — прикрывающей тупое не знание как оно все работает внутрях

Вот стопудово ничего не изменится после последней эпидемии кроме временного всплеска закупки антивирусов

[aspire]

Был антивирус и не помог. Нам руководство поставило задачу по внедрению системы полного бекапирования рабочих станций и серверов, а также выработать новые подходы к безопасности сети. Но тоже с вами соглашусь что это будет временный скачок и через пару месяцев все прекратиться.

[Idot]

doctorweb — можете ли проверить подозрительную деятельность игры Blade Symphony?
Многие антивирусы её детектируют как троян, но их техподдержка в ответ советует… отключить все антивирусы.
(готов для этой цели подарить вам официальную копию игры со Стим)

[Caravus]

Если вам поддержка советует отключить антивирусы чтобы поиграть в игру — бегите от такой игры с такой поддержкой, и не важно что скажет doctorweb. Такие разработчики игр не заслуживают внимания…

[Idot]

http://steamcommunity.com/app/225600/discussions/0/527274088395036813/ http://steamcommunity.com/app/225600/discussions/0/541906348039360061/

[doctorweb]

Caravus, конечно, в принципе прав, но посмотреть мы, конечно, можем. Дарить ничего не нужно :) Просто зашлите то, что детектируется, через https://vms.drweb.ru/sendvirus/

[Idot]

Выслал.

Дарить ничего не нужно :)

А как вы не имея копии игры сможете проверить, что это файл делает?

[doctorweb]

Да как всегда. Если детектируется именно конкретный файл, значит, что-то вредоносное (или потенциально вредоносное) есть именно в нём, и ковырять надо его.

[Pro666]

Мне, как системному администратору аптечной сети очень интересная данная тема. Уже более 5 лет работаем с ПО Эприка, используем антивирусы НОД и Касперский, ничего подозрительного и тем более опасностей, связанных с эприкой за это время не имели. Специально на днях еще раз всё пересканировал, проверил все резервные копии за последние 4 года — ничего…
doctorweb вы пишете «Похищенную с зараженных компьютеров коммерческую информацию...», т.е. вами было проанализировано множество случаев такого заражения где источником были библиотеки Эприки?
Как объяснить факт, что наша сеть не заразилась? Получаем обновления стандартными средствами эприки, с сайта ws.eprica.ru
Библиотека PriceCompareLoader.dll с хэшем SHA-1 B3915AA38551A5B5270B23E372AE1241161EC598 указанная в вашем сообщении о BackDoor.Dande.61 на данный момент в используемой версии эприка присутствует.

[doctorweb]

А вы уверены, что не заразились? CureIT! для корпоративных компьютеров является пиратством и бла бла бла, но мы же на хабре :) Попробуйте кьюритом пройтись.
А случаев было много, да. Тысячи. Понятное дело, конкретные аптеки разглашать не можем.

[Pro666]

Уверен. Мне за это платят хорошие деньги. Если бы заразились, то точно бы знал, ну и не задавал бы тут вопросов…

Если честно, то им (куреит) тоже прошелся. Ничего. Также пробовал при запущенной эприке…

Возможно, если факт распространения вируса именно Спарго имеется, это была целенаправленная единичная
атака? Иначе как я думаю все бы клиенты позаражались и в итоге выйти на источник было бы просто.
Однако еще раз перечитав https://vms.drweb.ru/virus/?_is=1&i=15448691, увидел скриншот с цифровой подписью SPARGO, на котором ей подписана не такая старая версия эприки от января 2016 года. Т.е. Dr.WEB утверждает, что по крайней мере с 2012 до 2016 года Спарго продолжали заражать клиентов вирусами посредством эприки? Тогда для меня еще большей загадкой остается факт того, что за 3 года не произошло ни одного заражения наших компьютеров, на которых установлена эприка.

[doctorweb]

Уточнил у аналитика, вот что он посоветовал.

Поищите в реестре ключ DriverPackageIdPkg
должно быть что то типа «DriverPackageIdPkg»="\\??\\C:\\WINDOWS\\system32\\isaPnpPrt.inf_x86_neutral_1c30fe3e981e1595"
если найдется то была версия dande с драйвером