Вредные советы: как дать вирусам уничтожить вашу инфраструктуру
Сегодня у нас будет публикация в жанре «вредных советов», в которой мы поделимся списком мер, которые обязательно нужно предпринять, чтобы вирусу, шифрующему данные предприятия с целью получения выкупа, например Spora ransomware, было легче проникнуть в IT-инфраструктуру вашей фирмы и нанести ей максимальный ущерб.
Направления атаки
Основные направления атаки, которые выбирают злоумышленники: изнутри, через электронную почту или снаружи, через RDP.
- С почтой все просто, главное чтобы сотрудники не сомневались в необходимости переходить по ссылкам в письмах, приходящих из «налоговой» или «банка», а также, чтобы спам-фильтры были отключены.
- С RDP тоже не должно возникнуть проблем: открываем настежь и не усложняем сотрудникам жизнь никакими громоздкими VPN. Если это заметил ваш шеф, можно просто перевесить внешний RDP-порт на другой – взломщикам это не помешает, зато начальство какое-то время будет спать спокойно.
Шифровальщик у ворот
Вирусная атака на сервер скорее всего начнется с перебора паролей. Чтобы помочь ей увенчаться успехом, нужно принять несколько простых, но действенных мер.
- Во-первых, отрубите на терминальном сервере блокировку ученых записей, срабатывающую после неудачных попыток входа.
- Во-вторых, если на сервере есть разновидность fail2ban, блокирующая на фаерволе подозрительные IP-адреса – удалите ее.
- В-третьи, приучайте сотрудников пользоваться короткими паролями, желательно состоящими только из цифр, слов или последовательностей на клавиатуре вроде qwerty; ни в коем случае не устанавливайте ограничений на минимальную длину пароля.
Теперь, когда RDP распахнут наружу, пароли у всех сотрудников напоминают «54321» или «зарплата», а корпоративная почта ломится от писем из официальных структур, содержащих ссылки на архивы, остается лишь подождать, пока вирус пожалует к вам на сервер. Перейдем к тому, как сделать его визит как можно более разрушительным.
Получение доступа к серверу
Когда злоумышленник заглянет к вам на огонек, при запуске файла из архива система может насторожиться. Вероятно, в ней сработает SRP (Software Restriction Policies) – политика ограниченного использования софта, при которой сотрудники смогут запускать exe-файлы лишь из «белого списка», вынуждая взломщиков прибегать к эксплойтам. Ваша задача – изменить локальную или доменную групповую политику, выставив «неограниченный» уровень безопасности.
Если начальство бдит – не беда, существует лазейка, про которую оно наверняка не знает. Как правило SRP разрешает запуск exe-файлов лишь из системных папок, однако в них существуют подпапки, где пользователи имеют право создавать файлы. Злоумышленникам, зашедшим через почту, это ничего не даст, однако, если кому-то из них повезет получить непривилегированный доступ к серверу – танцуйте, он сможет загрузить в эти папки все необходимое для того, чтобы зашифровать что угодно. А также – получить перебором хэш наших самых коротких на свете паролей, открыть привилегированный доступ к серверу и разгуляться в полную силу.
Облегчить процесс можно, используя в работе NTLM вместо безопасного Kerberos – просто заходите на сетевые ресурсы по IP-адресу, а не по имени.
Антивирус желательно оставить для усыпления бдительности руководства, отключив по-тихому UAC – все равно злоумышленника, воспользовавшегося установленным архиватором, засечь можно будет лишь по сигнатурам и сильно потом.
Все, вирус с гарантией пробрался на сервер фирмы и начал шифровать полезные данные. Остается устранить последнее препятствие на пути к полному краху IT-инфраструктуры – бэкапы. Поиграем же с настройками резервного копирования.
Устранение бэкапов
Не следует полностью отключать резервное копирование, так как это навлечет на вас подозрения практически в любой фирме. Чтобы сделать невозможным восстановление системы после атаки нужно действовать тоньше.
- Во-первых, сохранять все резервные копии на одном сервере, (по возможности – в папку с правом полного доступа для всех сотрудников), не забыв и про встроенное в Windows средство архивации.
- Во-вторых, ни в коем случае не надо делать бэкапы в облаке или на сетевом ресурсе, а те, что будут храниться на сервере – затирать каждый день, заменяя новыми для экономии места.
- В-третьих, чтобы вирус гарантированно не пропустил никаких файлов, необходимо архивировать их с расширением .zip или .bak.
Серьезно о грустном
Мы надеемся, что необычная форма этого материала поможет как сисадминам, так и их руководству обратить внимание на проблему вирусов-шифровальщиков, да и проверить настройки безопасности в своей компании в принципе. Увы, есть немало печальных примеров, когда атака шифровальщика лишала организации всех резервных копий данных: Spora ransomware удаляла теневые копии с помощью команды vssadmin.exe и отключала восстановление в загрузчике, что влекло за собой огромные финансовые потери.