# Киберучения
## Вирусная атака
#### Описание организации
Ваша организация занимается предоставлением услуг связи (ШПД, мобильная связь, фиксированная связь) для клиентов B2C, B2B, B2G.
#### Описание инфраструктуры
- Центральный офис (GMT+3)
- Серверная инфраструктура
- Биллинг клиентов (Linux)
- Разработка ПО для цифровых услуг (Linux)
- Сервера для поддержания работы офиса (AD, почта, DMZ зона для веб-сайтов и приложений) (Windows Server 2008-2016, Linux)
- Офисная инфраструктура
- Стационарные станции (Windows 7, 10)
- Ноутбуки (Windows 10)
- Сетевое оборудование (Cisco, Extreme, Mikrotik)
- Региональный филиал (GMT+4)
- Серверная инфраструктура
- Сервера для поддержания работы офиса (AD RODC, почта) (Windows Server 2008-2012)
- Сервера Call-центра (Windows Server 2008-2012)
- Сервер телефонии (CentOS, Asterisk)
- Офисная инфраструктура
- Стационарные станции (Windows 7, 10)
- IP-Телефоны (Cisco)
- Сетевое оборудование (D-Link, HP, 3COM, Extreme, Mikrotik)
Сетевое взаимодействие центрального и регионального филиала происходит с помощью постоянного VPN-L3 туннеля от единого провайдера. Используется один домен AD.
#### Описание инцидента
12 мая 2017 года в 09:10 вы получаете сообщение от системного администратора регионального филиала о том, что в региональном филиале некоторые компьютеры сотрудников Call-центра были зашифрованы вредоносным ПО. Наблюдаются проблемы с приёмом звонков от клиентов организации. На экранах компьютеров постоянный баннер с требованием выкупа.
## Реагирование на инцидент
#### Подготовка
1. Определить основную оперативную группу (отвечает непосредственно за устранение угрозы внутри компании):
- менеджер по уязвимостям
- менеджер по анализу угроз
- риск-менеджер
2. Определить расширенную группу (отвечает за взаимодействие с клиентами по всем вопросам данного инцидента, устранение последствий возможного заражения):
- исполнительый директор
- отвественный за сервисное обслуживание клиентов (настройка систем для предотвращения распространения инцидента, установка патчей, устранение последствий атаки)
- консультанты (юристы, PR и т.д.)
3. Определить пути эскалации создавшейся угрозы внутри компании и во вне (клиенты). Необходимо определить, кого дополнительно необходимо привлечь к расследованию и устранению инцидента. Это могут быть службы внутренней охраны предприятия, собственной безопасности, правохранительные органы, компании по расследованию ИБ инцидентов и т.д.
#### Анализ и обнаружение
1. Определить индикаторы угрозы:
- поступление уведомлений об обнаружении вируса на незаблокированных компьютерных системах
- появление новых ключей или разделов в реестре этих компьютерных систем (например, добавление в автозагрузку)
- присутствие сетевого трафика необычного объема или типа
- несанкционированная установка ПО
- наличие зашифрованных файлов (каталогов) или файлов (каталогов) неизвестного формата
- необъяснимое снижение производительности или сбой
Из ключевых индикаторов угрозы можно выделить сбой компьютерных систем в виде блокирования компьютера, шифрования файлов на нем и появление информационного баннера с требованиями.
2. Определить риск-факторы
- была ли скомпрометирована информация составляющая коммерческую или иную тайну
- были ли скомпрометированы персональные данные клиентов компании или иные данные, охраняемые законом
- были ли скомпрометированы персональные данные сотрудников компании или иные данные, охраняемые законом
- уведомлен ли провайдер о данном инциденте
- представляет ли инцидент угрозу безопасности сотрудникам компании, клиентам и населению в целом
- пострадали ли клиенты от данного инцидента (шифрование данных в компьютерных системах)
- затронуты ли продукты компании данным инцидентом. Если да, то какие
- утрачена ли возможность контролировать / регистрировать / измерять / отслеживать любые значительные объемы денежных средств компании
- насколько распространена информация об инциденте внутри компании
- насколько распространена информация об инциденте во вне
- какие наихудшие последствия для компании в случае неустранения инцидента (смягчения его последствий)
Из данного инцидента не до конца понятно, была ли скомпрометирована (похищена) информация составляющая коммерческую или иную тайну, персональные данные клиентов или сотрудников компании. Вероятнее всего нет.
Поскольку компания предоставляет услуги связи (ШПД, мобильная связь, фиксированная связь) для клиентов B2C, B2B, B2G, а следовательно является субъектом КИИ, то отсутствие мобильной связи, ШПД в критический момент может представлять угрозу безопасности сотрудникам компании, клиентам и населению в целом.
Соответственно, согласно ч.2 ст.9 Федерального закона от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" о данном инциденте в обязательном порядке незамедлительно информировать о компьютерных инцидентах федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
Данным органом является Национальный координационный центр по компьютерным инцидентам ФСБ https://www.cert.gov.ru/
Срок уведомления данного органа регулируется приказом ФСБ России от 19 июня 2019 г. N 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации" и в соответствии с п.4 равен 3 часам.
Сообщений о шифровании компьютерных систем клиентов не поступало.
Инцидент произошел в региональном филиале. Инфраструктура биллинга клиентов располагается в центральном офисе, следовательно, не имея иной информации, пока можно говорить, что не утрачена возможность контролировать / регистрировать / измерять / отслеживать любые значительные объемы денежных средств компании.
На текущий момент точно известно только о нарушении работы call-центра. Следовательно, продукты, связанные с ним наиболее вероятно пострадали.
Ими являются сервера для поддержания работы офиса (AD RODC, почта) (Windows Server 2008-2012), сервера Call-центра (Windows Server 2008-2012
На текущий момент можно предполагать, что об инциденте осведомлены сотрудники call-центра и, вероятнее всего, клиенты, которые испытавают проблемы при дозвоне до call-центра.
Проведя анализ баннера (адрес кошелька, сумма выкупа, название баннера, внешний вид в целом) и проведя анализ в открытых источниках, можно было узнать, что на 12 мая 2017 года о данном инциденте уже было известно по всему миру.
Данным шифровальщиком является вирус wannacry.
По первичной полученной информации, вирус атакует системы Microsoft Windows с незакрытой критической уязвимостью MS17-010 в протоколе SMBv1. И поскольку данной уязвимости подвержены ОС Windows начиная с Vista, можно предположить, что наихудшими последствиями для компании можно считать дальнейшее распространение шифровальщика, шифрование данных центрального офиса в части серверной инфраструктуры (сервера для поддержания работы офиса (AD, почта, DMZ зона для веб-сайтов и приложений) (Windows Server 2008-2016)), а также офисной инфраструктуры компании. И поскольку, используется один домен AD, подобное развитие событий гарантирует остановку деятельности компании, даже при работоспособности биллинговых систем.
Нахождение регионального филиала в часом поясе GMT+4 усугубляет ситуацию, так как в центральном офисе GMT+3 рабочий день вероятно еще не начался, а отсутствие каких-либо действий в данной ситуацию может привести к катастрофическим последствиям.
Для шифрования используется 2048-мибитный ключ RSA, а целями шифровальщика являются файлы со следующими расширениями:
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc
Как можно заметить, шифруются офисные файлы Excel, Word, PowerPoint, Open Office, музыкальные и видео файлы, архивы, сообщения e-mail и почтовые архивы/базы данных, файлы баз данных MS SQL, MS Access, графические файлы MS Visio, Photoshop, а также виртуальные машины и другие.
#### Сдерживание, устранение и восстановление
1. Определить масштаб инцидента
- определить системы, которые были затронуты (сервера, офисные машины, лэптопы, мобильные устройства, виртуальные машины, LDAP директории)
- выявить скомпрометированные или находящихся под угрозой учетные данные пользователей
- определить затронутые ИТ сервисы
- определить дополнительные системы, которые могут быть скомпрометированы
- определить бизнес-последствия инцидента
- определить механизм поведения атакующего (наличие информации о подобных атаках в открытых источниках)
- определить насколько широко распространилась атака
- определить инструменты для обнаружения атаки (SIEM, IDS, Firewall, сканнеры, AV)
Мы определили вирус. Это wannacry - вирус шифровальщик, атакующий машины Microsoft Windows с незакрытой критической уязвимостью MS17-010 в протоколе SMBv1. Для проникновения на машину жертвы вирус использует уже ранее известную уязвимость EthernalBlue. С помощью этого эксплойта злоумышленники могли получить удаленный доступ к компьютеру и установить на него собственно сам шифровальщик.
Учитывая факт шифрования пк сотрудников call-центра, проблемы со звонками от клиентов, можно говорить о поражении таких систем как:
Региональный филиал (GMT+4):
- Серверная инфраструктура
- Сервера для поддержания работы офиса (AD RODC, почта) (Windows Server 2008-2012)
- Сервера Call-центра (Windows Server 2008-2012)
- Офисная инфраструктура
- Стационарные станции (Windows 7, 10)
Поскольку сетевое взаимодействие центрального и регионального филиала происходит с помощью постоянного VPN-L3 туннеля от единого провайдера, можно говорить о потенциальном заражении систем центрального офиса:
- Серверная инфраструктура
- Сервера для поддержания работы офиса (AD, почта, DMZ зона для веб-сайтов и приложений) (Windows Server 2008-2016, Linux)
- Офисная инфраструктура
- Стационарные станции (Windows 7, 10)
- Ноутбуки (Windows 10)
Затронутыми сервисами являются фактически сервера для поддержания работы офиса (AD RODC, почта) (Windows Server 2008-2012), сервера Call-центра (Windows Server 2008-2012) и ПК сотрудников call-центра и потенциально ВСЕ машины на базе Microsoft Windows, начиная с версии Vista. То есть могут выйти из строя сайт, почта, контроллер домена, ПК сотрудников центрального офиса.
Ноутбуки сотрудников центрального офиса представляют высокую угрозу, так как являются переносимыми устройствами и могут заразить другие системы.
Говорить о масштабах распространения атаки внутри компании можно в таком ключе:
- с достоверностью поражен региональный филиал
- потенциально заражен центральный офис, так как имеет постоянное VPN-L3 подключение
Механизм распространение вируса следующий. Он использует ранее известную уязвимость EthernalBlue для компрометации протокола SMBv1 для удаленного проникновения на машину жертвы, где в конечном счете и запускается сам шифровальщик.
14 марта 2017 года компания Microsoft выпустила патч закрывающий уязвимость в данном протоколе:
https://support.microsoft.com/ru-ru/topic/ms17-010-%D0%BE%D0%B1%D0%BD%D0%BE%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5-%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8-%D0%B4%D0%BB%D1%8F-windows-smb-server-14-%D0%BC%D0%B0%D1%80%D1%82%D0%B0-2017-%D0%B3-435c22fb-5f9b-f0b3-3c4b-b605f4e6a655
Таким образом, можно считать, что компьютерные системы, на которых установлен данный патч защищены от удаленной загрузки шифровальщика. При этом системы не заражены от ручного запуска на ней зараженного файла. Это также можно считать одной из причин заражения ПК call-центра.
После заражения ПК жертвы, вирус начинает сканировать локальную сеть компании на наличие систем с незакрытой уязвимостью EthernalBlue, и если находит, то атакует и шифрует и их тоже.
Инструментами для обнаружения и предотвращения атаки, а также её распространения могут служить firewall, IDS, AV, SIEM
Согласно методологии MITRE ATT&CK к реализованным действиям злоумышленника можно отнести:
- Reconnaissance. Active scaning;
- Resource Development. Acquire access, obtain capabilities;
- Initial access. Exploit Public-Facing Application, Phishing
- Execution. Command and Scripting Interpreter;
- Persistence. Boot or Logon Autostart Execution, Create or Modify System Process;
- Privilege Escalation. Boot or Logon Autostart Execution, Create or Modify System Process;
- Defense Evasion. Impair Defenses, Masquerading;
- Lateral Movement. Exploitation of Remote Services;
- Impact. Data Encrypted for Impact;
2. Предотвратить распространение
- ограничить сетевое взаимодействие
- реализовать данную атаку в песочнице, провести анализ
- настроить правила в firewall
- настроить правила в IDS
- настроить правила в SIEM
- настроить AV, "поймать" вирус при срабатывании
Для снижения последствий угрозы, минимизации ущерба, устранении возможности повторной атаки необходимо:
- поскольку вредоносная программа WannaCry ищет уязвимые компьютеры, путем сканирования открытого извне TCP-порта 445, необходимо заблокировать внешние соединения из Интернет по протоколам SMB/NetBIOS (закрыть 137-й, 139-й и 445-й TCP-порты, а также 137-й и 138-й UDP-порты) на маршрутизаторе;
- по возможности отключить VPN-L3 соединение;
- установить, патч MS17-010, закрывающий уязвимость ETERNALBLUE в SMB. Лучше обновить все компьютеры с ОС Windows, а также при наличии возможности вообще отключить поддержку протокола SMB;
- установить контроль и блокировку трафика к узлам Tor;
- обновить вирусные сигнатуры на AV (Exploit.Win32/64.ShadowBrokers.* UDS:DangerousObject.Multi.Generic);
- на Snort настроить правила 42329-42332 для детектирования и блокировки атаки EthernalBlue
- настроить сбор логов в SIEM с:
- AV logs;
- IDS logs;
- SMB Scans via Firewall Logs;
- WannaCry execution via Windows Event Logs.
3. Уничтожение вредоносной программы
Можно рассматривать три способа удаления вируса на зараженной машине:
- очистка или помещение в карантин с помощью AV
- использование утилит malvare removal tool
- ручная очистка системы
4. Восстановление компьютерных систем и данных
На текущий момент невозможно расшифровать данные поврежденные вирусом wannacry. Вариантами восстановления системы могут быть:
- восстановление из резервных копий при их наличии;
- полная переустановка систем.
#### Пост-инцидентная работа
В целях дальнейшего предотвращения повторного инцидента необходимо:
- провести внутренние встречи, а также встречи с клиентами;
- обновить политики безопасности в компании с учетов возникшей угрозы;
- определить процесс обновления систем для защиты;
- определить конфигурацию систем для предотвращения повторного инцидента;
- определить перечень обновлений (патчей безопасности);
- проконтролировать реализацию вышеуказанных мероприятий.
Sign in with Wallet
Connect another wallet