3 rzeczy, które mogą zrobić firmy, by pokonać ransomware Petya

Hakerzy i Wirusy

Niedawna eksplozja ransomware Petya wydaje się być podobna do ataków WannaCry z maja, ale istnieją między nimi pewne różnice, na które firmy muszą zwrócić uwagę, by być bezpieczne.

We wtorek nastąpił wybuch ransomware z rodziny Petya, atakując komputery w ponad 60 krajach. Skala ataku oraz fakt, że został wymierzony w organizacje, upodabnia go do eksplozji WannaCry w ubiegłym miesiącu.

I choć istnieją podobieństwa, istnieją również istotne różnice, które przedsiębiorstwa muszą poznać, jeśli chcą być chronione. Oto kilka rzeczy, o których firmy powinny pamiętać, aby upewnić się, że są bezpieczne.

Petya używa Twoich danych do logowania przeciw Tobie

Jedną z technik, które Petya używa do rozpowszechniania, jest uzyskiwanie dostępu do lokalnych uprawnień administracyjnych. Używa kilku różnych mechanizmów, które pomagają mu to osiągnąć. Po uzyskaniu dostępu do danych logowania administratora, może skakać z maszyny na maszynę przy użyciu standardowych mechanizmów systemu Windows.

Rozwiązanie: Według badań prowadzonych przez Jarno Niemelę z Laboratoriów F-Secure, najlepiej jest zachować ostrożność podczas korzystania z haseł administora, dopóki firmy nie będą w stanie zapewnić, że mają inne środki ochronne.

„Firmy obawiające się, że mogą być narażone na niebezpieczeństwo, powinny nakazać pracownikom unikanie logowania się do stacji roboczych z użyciem loginu administratora domeny”, mówi Jarno. „Jeśli to zrobisz, zrestartuj system po zakończeniu jakiegokolwiek zadania, które wykonałeś. Organizacje powinny także zadbać o to, aby wszystkie komputery, które mają konta administratora lokalnego, używały unikalnych i silnych haseł dla tych kont „.

Petya ma więcej dróg do rozprzestrzenienia się, niż tylko exploit SMB

EternalBlue to exploit opracowany przez NSA, który wykorzystuje podatność w protokole SMB używanym przez większość wersji Windowsa. Łatka na tę podatność jest dostępna i oczywiście firmy powinny natychmiast ją wdrożyć, jeśli nie zrobiły tego do tej pory.

Ale jest jasne, że Petya ma dodatkowe sposoby na rozprzestrzenianie się . Dlatego załatanie podatności SMB wykorzystywanej przez WannCry nie wystarczy, by powstrzymać infekcje.

Inne wektory infekcji zawierają korzystanie z procesów Windows. Konkretnie – próbuje wykonać kod ransomware przez PSEXEC i WMIC, które są narzędziami administracyjnymi Windows. Używa przy tym danych logowania administratora (o czym wspomnieliśmy wcześniej).

Rozwiązanie: Według firmy konsultingowej ds. Bezpieczeństwa firmy F-Secure, Tom Van de Wiele, należy podjąć kilka kroków, aby chronić się przed zakażeniem rozprzestrzenianiem się za pomocą tych narzędzi:

Rozwiązanie: według konsultanta ds. bezpieczeństwa F-Secure Toma Van de Wiele, należy podjąć kilka kroków, by chronić się przed rozprzestrzenianiem robaka, wykorzystującego wymienione narzędzia:

  • Stwórz plik C:\windows\perfc i wyłącz w nim uprawnienia do czytania/pisania z niego dla wszystkich maszyn z Windowsem. Petya nie powinien się uruchamiać, jeśli widzi ten plik.
  • Zamień połączenie na psexec.exe: Utwórz klucz o nazwie „psexec.exe” w „HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options „, a następnie utwórz dla niego wartość REG_SZ o nazwie „Debugger” i ustaw ją na „svchost.exe”. W ten sposób prawdziwy psexec nie uruchomi się
  • Wyłącz dostęp do lokalnych kont AD / GPO dla logowania zdalnego, aby wyłączyć komendę psexec / wmic
  • Wyłącz WMIC w Windows kiedykolwiek nie jest potrzebne
  • Ustaw zaporę na połączenia przychodzące na port 135 / tcp (winrpc) dla żądań wmic
  • Ustaw zaporę na połączenia przychodzące na port 445 / tcp (cifs) dla żądań Eternalblue

Raporty wskazują, że to atak na łańcuchy dostaw u producentów

Jak Petya przemieszcza się po sieci staje się jaśniejsza. Ale mniej wyraźne jest, jak wygląda pierwotna infekcja. Są raporty sugerujące, że najwcześniejsze infekcje pochodzą z złośliwej aktualizacji pochodzącej od ukraińskiego przedsiębiorstwa zajmującego się oprogramowaniem księgowym.

Może to oznaczać, że producent miał zainfekowane systemy lub że napastnicy mogli zainfekować klientów dostawcy za pośrednictwem ataku typu „man-in-the-middle”.

„Ataki na łańcuch dostaw działają przez określenie konkretnego zestawu klientów za pośrednictwem usługi, z której korzystają”, mówi Andy Patel, specjalista ds. Technologii F-Secure. „Poprzez te „pół-ukierunkowane „ataki, wiele firm lub osób indywidualnych może być infiltrowanych jedną operacją. W przypadku ataku Petya na ukraińskie cele nie wiemy, czy infrastruktura M.E.Doc została naruszona, czy też aktualizacje zostały przekazane ofiarom za pośrednictwem ataku typu „man-in-the-middle”.

Ponadto ataki na łańcuch dostaw nie wyjaśniają, jak infekcja rozprzestrzeniła się tak szybko na całym świecie. Ale jest to atak, na który wiele firm nie jest przygotowanych. I jest to bardzo duży problem, którym firmy muszą się zająć.

Rozwiązanie: Natura ataków ukierunkowanych sprawia, że są trudne do zauważenia. Najlepsza ochrona to wdrożenie systemu wykrywania naruszeń bezpieczeństwa. Na przykład F-Secure Rapid Detection Service wykrywa każdą anomalię w związaną z zachowaniem złośliwego pliku, gdy tylko pojawi się w sieci organizacji.

Wiele rozwiązań ochronych, włączając w to F-Secure, oferuje firmom wiele dróg ochorny przed różnymi taktykami, technikami i procedurami używanymi w atakach podobnych do tego. Możesz sprawdzić ten wpis na blogu, by uzyskać więcej informacji.

 

Oceń artykuł

1 głosów

0 komentarzy

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s

Może Ci się też spodobać

%d blogerów lubi to: