Защити созданное

Другие наши ресурсы

  • free.drweb.uz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.uz — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.uz/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Легальная программа как канал проникновения троянцев-майнеров в компанию

Пример экспертизы вирусозависимого компьютерного инцидента специалистами «Доктор Веб»

Весной 2019 года в службу технической «Доктор Веб» обратился корпоративный клиент с жалобой на проблемы в работе сервера. Нагрузка на вычислительные мощности была очень высокой и возникала словно из ниоткуда. На этом сервере был установлен Dr.Web.

Поскольку случай выглядел нехарактерно, и наши специалисты заподозрили работу вредоносного ПО (хотя сигналов об атаке от Dr.Web не поступало), к вопросу подключились эксперты компании «Доктор Веб».

Задачи экспертизы

Перед экспертами было поставлено несколько задач.

  1. Обнаружить причину необычно высокого потребления ресурсов (сразу было предположено, что причина кроется во вредоносном ПО).
  2. Отследить источник и способ атаки, чтобы пресечь дальнейшее распространение вредоносной программы. Сделать подробное описание атаки.
  3. На основании проведенного исследования разработать рекомендации по усилению мер безопасности в сети клиента.
  4. По возможности помочь правоохранительным органам найти виновного в атаке.

Ход исследования

В рамках экспертизы были проведен анализ логов антивируса Dr.Web. Это позволило обнаружить первую зацепку и определить приложение, которое скрытно потребляло ресурсы сервера, а также способ проникновения злоумышленника в систему. Стало очевидно, что вредоносная активность была связана с работой программы известного российского разработчика, используемой клиентом.

Эксперты обратились к разработчику этой программы. Благодаря взаимодействию с ним был не только определён способ атаки, но и изобличен злоумышленник, организовавший её. Он оказался сотрудником компании-разработчика.

Суть инцидента и принятые меры

Полученные в ходе экспертизы данные позволили полностью восстановить картину произошедшего.

Заражение начиналось с RCE-уязвимости в легальном продукте. Через эксплойт на стороне пострадавшего клиента создавалась административная учетная запись для доступа по RDP. После этого злоумышленник вручную заходил на сервер по RDP и, используя легитимное ПО ProcessHacker, «убивал» установленный антивирус или просто отключал его напрямую через GUI — если антивирус не был защищен паролем. Таким образом, антивирусная защита оказывалась неэффективна, поскольку ее отключал человек с полномочиями администратора.

Получив доступ в систему, злоумышленник загружал на сервер троянца-майнера и запускал его. Процесс майнинга и создавал нагрузку на вычислительные мощности сервера. В последней обнаруженной версии троянца все действия по отключению антивирусов были автоматизированы.

Информацию об уязвимости специалисты «Доктор Веб» передали разработчику ПО, чтобы тот мог оперативно «залатать дыру». Разработчик передал экспертам для изучения жесткий диск со служебного компьютера подозреваемого программиста. В результате исследования этого носителя и используемых «Доктор Веб» ханипотов было обнаружено еще несколько эксплойтов. Также на диске было выявлено несколько видов ранее неизвестных антивирусу Dr.Web вредоносных программ и список жертв, атакованных аналогичным образом. Среди пострадавших оказались пользователи самых разных антивирусных продуктов. После анализа полученных исходных кодов нового вредоносного ПО вирусная база Dr.Web пополнилась новыми записями.

Благодаря экспертизе «Доктор Веб» злоумышленника выявили, изобличили и уволили. Информация о нем была передана правоохранительным органам. Однако после увольнения с работы он поменял место жительства и скрылся.

Клиент получил рекомендации по настройке антивируса Dr.Web, которые позволят не допустить повторного заражения. Стоит отметить, что если бы эти настройки были установлены изначально, наш клиент не пострадал бы, поскольку злоумышленник не смог бы отключить Dr.Web на его сервере.

Рекомендации наших экспертов заключались в следующем:

  1. устанавливать парольную защиту на изменение настроек Dr.Web;
  2. в настройках компонента Превентивная защита временно включить блокировку загрузки драйверов, чтобы злоумышленник не мог загрузить драйвер ПО ProcessHacker. Во избежание автоматического использования ProcessHacker для отключения антивируса был доработан поведенческий анализатор Dr.Web.

Разработчик ПО, в котором и была обнаружена критическая уязвимость, предпринял ряд важных шагов, направленных не только на исправление положения «здесь и сейчас», но и на недопущение подобных инцидентов в будущем.

  1. Исправлены обнаруженные уязвимости и проведен детальный анализ кода, что позволило найти еще несколько эксплойтов, которые были оперативно ликвидированы.
  2. Началась планомерная работа с целью донести до пользователей понимание необходимости поддержки ПО в актуальном состоянии и немедленной установки критических обновлений.
  3. Пользователям рекомендовано избегать прямого подключения программы к Интернету.

Итоги: что было и что могло быть

Инцидент был разрешен достаточно быстро и с минимальными потерями. Клиент компании «Доктор Веб» избавился от проблемы и остался доволен работой наших экспертов, разработчик ПО принял все необходимые меры по устранению уязвимостей, а хакер встретится с полицией.

Но стоит особо отметить, что в данном случае жертва еще «легко отделалась». Злоумышленник, получив доступ в систему, устанавливал туда троянца-майнера, который «всего лишь» сильно загружал ресурсы системы, не нанося прямого урона. Поскольку речь идёт о весьма специфическом ПО, которое обычно находится на том же сервере, что и, например, приложения типа 1С, ситуация могла развиваться иначе. Так, будь на месте майнера троянец-шифровальщик (а в планах злоумышленника было и такое!), ущерб исчислялся бы огромными суммами. Работа атакованных серверов была бы остановлена, а файлы с критически важными данными – зашифрованы, и, как это часто бывает, с высокой долей вероятности без возможности восстановления.


Если произошла нештатная ситуация (пропали деньги или данные, утекли пароли к корпоративным ресурсам, компьютеры работают с перебоями и т. д.) и вы предполагаете, что причина в действиях вредоносного ПО, закажите экспертизу ВКИ в компании «Доктор Веб». 28 лет опыта в антивирусной отрасли и наши эксклюзивные методики обнаружения новейших угроз помогут разобраться в произошедшем, а наличие специального оборудования, позволяющего снимать информацию в соответствии с установленными законом процедурами, обеспечит неопровергаемую доказательную базу в суде.

Отправить заявку на экспертизу

Подробнее об экспертизе