Top.Mail.Ru
КОНФИГУРАТОР Серверы
Сетевое оборудование
СХД IP-телефоны IP-камеры Источники бесперебойного питания (ИБП) Комплектующие Готовые решения -40 % Серверы под задачу
О компании Купить в лизинг Блог Отзывы Доставка Гарантия Контакты Работа у нас Реквизиты Спецпредложения Игровые ПК на ISKRAPC
Эксперты в подборе IT-оборудования

Вредные советы: как дать вирусам уничтожить вашу инфраструктуру

24 января 2020

Сегодня у нас будет публикация в жанре «вредных советов», в которой мы поделимся списком мер, которые обязательно нужно предпринять, чтобы вирусу, шифрующему данные предприятия с целью получения выкупа, например Spora ransomware, было легче проникнуть в IT-инфраструктуру вашей фирмы и нанести ей максимальный ущерб.


Направления атаки

Основные направления атаки, которые выбирают злоумышленники: изнутри, через электронную почту или снаружи, через RDP.

  • С почтой все просто, главное чтобы сотрудники не сомневались в необходимости переходить по ссылкам в письмах, приходящих из «налоговой» или «банка», а также, чтобы спам-фильтры были отключены.
  • С RDP тоже не должно возникнуть проблем: открываем настежь и не усложняем сотрудникам жизнь никакими громоздкими VPN. Если это заметил ваш шеф, можно просто перевесить внешний RDP-порт на другой – взломщикам это не помешает, зато начальство какое-то время будет спать спокойно.

Шифровальщик у ворот

Вирусная атака на сервер скорее всего начнется с перебора паролей. Чтобы помочь ей увенчаться успехом, нужно принять несколько простых, но действенных мер.

  • Во-первых, отрубите на терминальном сервере блокировку ученых записей, срабатывающую после неудачных попыток входа.
  • Во-вторых, если на сервере есть разновидность fail2ban, блокирующая на фаерволе подозрительные IP-адреса – удалите ее.
  • В-третьи, приучайте сотрудников пользоваться короткими паролями, желательно состоящими только из цифр, слов или последовательностей на клавиатуре вроде qwerty; ни в коем случае не устанавливайте ограничений на минимальную длину пароля.

Теперь, когда RDP распахнут наружу, пароли у всех сотрудников напоминают «54321» или «зарплата», а корпоративная почта ломится от писем из официальных структур, содержащих ссылки на архивы, остается лишь подождать, пока вирус пожалует к вам на сервер. Перейдем к тому, как сделать его визит как можно более разрушительным.


Получение доступа к серверу

Когда злоумышленник заглянет к вам на огонек, при запуске файла из архива система может насторожиться. Вероятно, в ней сработает SRP (Software Restriction Policies) – политика ограниченного использования софта, при которой сотрудники смогут запускать exe-файлы лишь из «белого списка», вынуждая взломщиков прибегать к эксплойтам. Ваша задача – изменить локальную или доменную групповую политику, выставив «неограниченный» уровень безопасности.

Если начальство бдит – не беда, существует лазейка, про которую оно наверняка не знает. Как правило SRP разрешает запуск exe-файлов лишь из системных папок, однако в них существуют подпапки, где пользователи имеют право создавать файлы. Злоумышленникам, зашедшим через почту, это ничего не даст, однако, если кому-то из них повезет получить непривилегированный доступ к серверу – танцуйте, он сможет загрузить в эти папки все необходимое для того, чтобы зашифровать что угодно. А также – получить перебором хэш наших самых коротких на свете паролей, открыть привилегированный доступ к серверу и разгуляться в полную силу.

Облегчить процесс можно, используя в работе NTLM вместо безопасного Kerberos – просто заходите на сетевые ресурсы по IP-адресу, а не по имени.

Антивирус желательно оставить для усыпления бдительности руководства, отключив по-тихому UAC – все равно злоумышленника, воспользовавшегося установленным архиватором, засечь можно будет лишь по сигнатурам и сильно потом.

Все, вирус с гарантией пробрался на сервер фирмы и начал шифровать полезные данные. Остается устранить последнее препятствие на пути к полному краху IT-инфраструктуры – бэкапы. Поиграем же с настройками резервного копирования.


Устранение бэкапов

Не следует полностью отключать резервное копирование, так как это навлечет на вас подозрения практически в любой фирме. Чтобы сделать невозможным восстановление системы после атаки нужно действовать тоньше.

  • Во-первых, сохранять все резервные копии на одном сервере, (по возможности – в папку с правом полного доступа для всех сотрудников), не забыв и про встроенное в Windows средство архивации.
  • Во-вторых, ни в коем случае не надо делать бэкапы в облаке или на сетевом ресурсе, а те, что будут храниться на сервере – затирать каждый день, заменяя новыми для экономии места.
  • В-третьих, чтобы вирус гарантированно не пропустил никаких файлов, необходимо архивировать их с расширением .zip или .bak.

Серьезно о грустном

Мы надеемся, что необычная форма этого материала поможет как сисадминам, так и их руководству обратить внимание на проблему вирусов-шифровальщиков, да и проверить настройки безопасности в своей компании в принципе. Увы, есть немало печальных примеров, когда атака шифровальщика лишала организации всех резервных копий данных: Spora ransomware удаляла теневые копии с помощью команды vssadmin.exe и отключала восстановление в загрузчике, что влекло за собой огромные финансовые потери.


 
Поделитесь статьей в соцсетях   
 
Вам также может быть интересно

Товар добавлен в список сравнения
Перейти в сравнение
Продолжить просмотр
Подбираете сервер для 1С?
Подпишитесь на специальную серию писем про выбор и настройку сервера под 1С
Подписаться
Боитесь неправильно выбрать сервер?
Оставьте свой email, и мы пришлем чек-лист с 5 самыми распространенными ошибками
Получить чек-лист
Нажимая кнопку "Получить чек-лист", вы даёте согласие на обработку персональных данных
Заказать консультацию
IT-архитектор подберет сервер под вашу задачу
Заказать сервер
Мы свяжемся с вами в течение 15 мин
Заявка на лизинг