Як відомо, деякі клієнти Microsoft по всьому світу стали жертвами програми-шантажиста Petya (Petya/Misha, ExPetr, NotPetya). Дане зловмисне ПЗ отримало велику кількість різноманітних назв, багато з яких тим чи іншим чином пов’язані з Petya. Причина цієї плутанини пов’язана з тим, що оригінальний вірус-шифрувальник під назвою Petya з’явився в 2016 році. Той екземпляр являв собою класичну програму-вимагач і не міг розповсюджуватися без участі користувача. Ключова відмінність нинішньої програми-шантажиста від інших у тому, що за певних обставин вірусу не потрібна допомога жертви для ініціації зараження. Це вже другий випадок такого масштабу у світі за останній час – попередній вірус Wannacrypt (Wannacry) також використовував канал розповсюдження, що не потребує залучення користувача та інфікував комп’ютери без встановлених оновлень безпеки. Детальний опис природи і механіки роботи Wannacrypt можна отримати у блозі Microsoft. Далі ви знайдете ключову інформацію щодо вірусу Petya. Вірус Petya, на відміну від Wannacrypt, використовує додаткові канали розповсюдження. На даний момент встановлено, що вірус: Може розповсюджуватися по електронній пошті. В даному випадку зазвичай використовуються прийоми соціальної інженерії, щоб переконати користувача відкрити зловмисне вкладення. Використовує ту саму вразливість, що і Wannacrypt для розповсюдження по мережі через протокол SMB (якщо оновлення MS17-010 не встановлено) Потрапляючи на один з комп’ютерів организації, переміщується методом lateral movement – краде доступні в пам’яті паролі доменних облікових записів і використовує їх для доступу до сусідніх комп’ютерів.
Ще один цікавий момент полягає у тому, що на думку дослідників (включаючи Microsoft), початку атаки сприяв виробник бухгалтерського ПЗ M.E.Doc. Аналітики вважають, що первинне розповсюдження вірусу було здійснене через автоматичну доставку оновлень для ПЗ M.E.Doc з серверів оновлень цього виробника. Основні причини зараження та методи боротьбиНа момент публікації невідомі деталі атаки на інфраструктуру оновлень компанії M.E.Doc так само, як і немає остаточного підтвердження, що саме підсистема оновлень даної компанії причетна до первинного поширення вірусу. Тим не менш, якщо припустити, що атака справді була організована через порушення ланцюжка цілісності поставок (software supply chain), то в якості основної причини можна назвати недотримання основоположних принципів безпечної розробки і захисту процесу поставок. Боротися з такими загрозами кінцевим споживачам проблематично, адже ПЗ, що встановлюється, по суті, є довіреним. Тим не менш, можливості Windows 10 Defender Advanced Threat Protection (ATP) дозволяють виявити компрометацію та зупинити розповсюдження всередині мережі компанії. Поштовий канал розповсюдженняКанал розповсюдження зловмисного програмного забезпечення через пошту є типовим для більшості атак – за допомогою соціальної інженерії можна спровокувати користувача на необережні дії і таким чином скомпрометувати його систему. Даний спосіб розповсюдження Petya повинен бути знайомим більшості спеціалістів, як і способи протидії: навчання користувачів та сучасні засоби фільтрації вхідної пошти, додатково до класичних інструментів антивірусного аналізу і антиспаму рекомендується використовувати так звані «пісочниці» (sandbox) або «камери детонації» (detonation chamber). Сервіс Office365 ATP – це хмарна реалізація технології «пісочниці». Сервіс перевіряє на підозрілу поведінку усі вкладення та посилання, що передаються поштою. Перші декілька годин розповсюдження Petya далеко не всі антивіруси могли ідентифікувати загрозу, на відміну від механізму «пісочниці», котрий реєстрував підозрілу поведінку і блокував подальше пересилання вкладення листа. Сучасні засоби захисту приділяють аналізу поведінки велику увагу, інший сервіс Windows 10 Defender ATP реалізує даний підхід вже на рівні вузла мережі. Даний рівень захисту необхідний на той випадок, коли зловмисне ПЗ змогло прорватися через усі кордони і запуститися на робочій станції користувача. Аналізуючи поведінку системних процесів, стан пам’яті, зміни ключів реєстру, звертань до файлової системи і багатьох інших параметрів Windows 10 Defender ATP допомагає виявити спроби або факт компрометації на ранніх стадіях. Вразливість SMBv1Другий спосіб розповсюдження вірусу полягає в експлуатації виявлених раніше вразливостей у протоколі SMBv1. Цю вразливість вже використовував Wannacry раніше, і багато учасників ринку надали детальні рекомендації щодо захисту від такого способу проникнення. Звичайно ж, найвірніший спосіб – це своєчасне оновлення ПЗ, які були випущені навіть для систем, що вже вийшли з циклу підтримки. Але є й інші рекомендації, такі як відключення SMBv1 взагалі (дана рекомендація була опублікована ще влітку 2016 року) і налаштування локальних міжмережевих екранів для обмеження комунікацій робочих станцій між собою (такий підхід значно сповільнить розповсюдження вірусу навіть у середовищі без встановлених оновлень). Для того, щоб оперативно відслідковувати поточний стан захисту вашої інфраструктури та зміну налаштувань, пов’язаних з безпекою, можна використовувати сервіс Operation Management Suite. До речі, засіб захисту хоста, що працює коректно, може виявити появу вірусу на машині навіть при використанні вірусом вищезгаданої вразливості. Класичні антивіруси отримали таку можливість відразу після внесення виробниками відповідних сигнатур, а от система аналізу поведінки Windows 10 Defender ATP могла допомогти на ранніх стадіях розповсюдження, коли ще не було відповідних сигнатур в антивірусних базах. Інший ефективний запобіжний засіб для Petya та багатьох інших зловмисних програм – обмеження додатків, що запускаються в ОС, наприклад, за допомогою механізму Windows 10 Device Guard. Горизонтальне переміщення (Lateral Movement)Третій спосіб розповсюдження пов’язаний з викраденням облікових записів – те, що має назву Lateral Movement. Такі ж підходи активно використовують у своїй роботі більшість аудиторів безпеки, при цьому, даний метод не пов’язаний напряму з якою-небудь вразливістю, він скоріше використовує недоліки архітектури єдиного входу Single Sign On. Тим не менш, тема різноманітних способів крадіжки облікових записів точиться не перший рік. Microsoft, зокрема, опублікував дуже детальний документ про атаки классу Pass The Hash, а також надає рекомендації щодо захисту привілейованих записів. Для запобігання дублюванню повної інформації, зупинимость на найактуальніших діях: Наполегливо рекомендується не використовувати один і той же пароль для локальних адміністраторів ваших робочих станцій і серверів. В іншому випадку, зловмиснику буде достатньо розкрити пароль один раз (діставши його з якоїсь скомпрометованої машини) і стати локальним адміністратором на усіх хостах вашої мережі. А у певних умовах навіть немає необхідності вскривати пароль – достатньо використати хеш пароля, що зберігається в одному з файлів на диску. Керувати різними (випадковими) паролями адміністраторів може допомогти рішення Local Administrator Password Solution; Рекомендується відключити всіх провайдерів аутентифікації, що зберігають в пам’яті паролі у відкритому вигляді. Виходячи з поточної інформації, для подальшого переміщення з скомпрометованих машин, Petya, в основному, використовував даний недолік, тобто зчитував з пам’яті паролі користувачів домену у відкритому вигляді та використовував їх на сусідніх машинах В момент, коли на скомпрометованій машині з’являлась сесія доменного користувача з більш розширеними правами, вірус, по суті, одразу «перескакував» на наступний рівень. Таким чином, Petya доволі швидко отримував права доменного адміністратора і заражав усі сервери у мережі, включаючи контролери домену. Детальніше про те, що необхідно зробити для виключення можливості присутності паролів у відкритому вигляді розповідається у документі, згаданому вище, по протидії Pass the Hash; Як вже згадувалось, для переміщення між хостами іноді достатньо хеша пароля, який також зберігається в пам’яті (це актуально як для хеша локального адміністратора, так і для доменного облікового запису). Такий підхід використовують ті самі атаки типу Pass The Hash, а для захисту необхідно уважно дотримуватися інструкцій документу по протидії Pass the Hash атакам і постійно вдосконалювати практики управління привілейованими обліковими записами. З виходом Windows 10 зберігання хешей паролей у пам’яті (а це необхідно для реалізації SSO) було значно скорочено і максимально ізольовано – за ізоляцію відповідає новий компонент системи Credential Guard. Таким чином, навіть скомпрометовані машини (наприклад, через фішинг) Windows 10 (з увімкненим Credential Guard) не стануть причиною подальшого розповсюдження Petya, так як він не зможе отримати необхідні йому для просування паролі будь-яких доменних облікових записів (це ствердження вірне тільки у відношенні до розповсюдження методом викрадення паролів, при цьому, у випадку наявності в мережі хостів без встановленого оновлення MS17-010, вірус з скомпрометованої Windows 10 може потрапити на сусідні системи, використовуючи вразливість SMBv1). Відслідкувати підозрілі переміщення в вашій мережі і розпізнати факт компрометації облікових даних може допомогти рішення – Advanced Threat Analytics. Продукт відслідковує усі події аутентифікації у домені, навчається, аналізуючи поведінку користувачів та допомагає ідентифікувати випадки компрометації облікових записів на ранніх стадіях. З його допомогою можна уникнути компрометації всього домену та зупинити вірус на початкових етапах.
Рекомендації по відновленнюЯкщо вам все ж таки не пощастило і ви стали жертвою даного вірусу, то, нажаль, враховуючи останні дані аналітиків, що вивчали коди Petya, інших варіантів, крім відновлення з резервної копії, напевно, немає. Аналітики дійшли висновку, що ціллю вірусу було навіть не здирство, а знищення даних, замасковане під вимагання. З точки зору відновлення важливо враховувати те, що через наявність у вірусі функціонала, пов’язаного з викраденням облікових даних, ви маєте вкрай ретельно підійти до зміни паролей тих облікових записів, які могли бути скомпрометовані. Так як потенційно скомпрометовані могли бути усі облікові записи, то змінювати паролі, найвірогідніше, доведеться скрізь. Ще один важливий момент пов’язаний з відновленням скомпрометованої доменної інфраструктури з резервної копії. Щоб не допустити повторної компрометації – доцільно ознайомитися з матеріалами відеоблога. Наступні рекомендації допоможуть відновитися у потенційно токсичному середовищі з мінімальними ризиками: Попередня мінімізація кількості адміністраторів групи Адміністратори домену, Адміністратори серверів Скидання паролів облікових записів Адміністраторів домену – в першу чершу, далі Адміністраторів серверів, далі – звичайних користувачів; Зведення до мінімуму (в ідеалі – очищення списків) інших категорій привілейованих користувачів (Адміністратори резервного копіювання, Адміністратори облікових записів, Адміністратори серверів); Перевірка повноважень User Rights Assignment на контролерах домену, виключення надлишкових привілеїв, якщо рівень контролерів домену було зачеплено; Подвійне скидання пароля системного облікового запису krbtgt (відміна дії квитка GoldenTicket при компрометації на рівні домену); Своєчасне встановлення оновлень ПЗ; При відсутності правильно реалізованого рішення з рандомізації паролей на робочих станціях і серверах – заборона віддаленого входу для Local Accounts/Local accounts and members of local Administrators group для робочих станцій та серверів.
Звичайно, відновлення (особливо серверної інфраструктури) – це не те, чим хотілось би займатися після кожного вірусу/атаки (набагато краще зупиняти зловмисників на більш ранніх кордонах). З іншої сторони, не можна не мати відпрацьованого Плану відновлення та відповідних засобів відновлення. Простоту відновлення можуть забезпечити наступні технології та підходи: Використання файлових сховищ з підтримкою версійності, таких як Office365 (Sharepoint Online/OneDrive for Business) – в цьому випадку, зашифрованими опинились би тільки останні версії файлів, так як такі права є тільки у відповідного адміністратора; Використання SaaS сервісів – у випадку використання SaaS, наприклад, O365, не довелось би відновлювати інфраструктуру Exchange або Sharepoint, тому що за безпеку на цьому рівні (в рамках SaaS сервісу) відповідає провайдер хмарних послуг.
Задля справедливості необхідно зазначити, що вказані вище підходи не є панацеєю – у випадку компрометації облікових записів, керуючих хмарними підписками, компанія також ризикує втратити інформацію, збережену у хмарі. На щастя, хмарні сервіси пропонують велику кількість різноманітних варіантів щодо захисту облікових записів, починаючи з багатофакторної аутентифікації і закінчуючи чіткою рольовою моделлю і видачею адміністраторських прав на обмежений час. Але про це мова йтиме іншим разом. ВисновокЯк зрозуміло з вище викладеного, для захисту від сучасних загроз має використовуватися комплексна стратегія. Лише виважене поєднання певних інструментів та підходів може привести к необхідним результатам. Подібна стратегія повинна в межах можливостей враховувати необхідність використання найбільш сучасних продуктів, які тільки на рівні архітектури роблять деякі вектори атаки або неможливими взагалі, або суттєво ускладнюють діяльність зловмисників. З можливостями Windows 10 з протидії атакам програм-вимагачів (ransomware) можна ознайомитися у наступних статтях: |