Hacked World

Hacked world

РусЗнающий об угрозах имеет шанс предотвратить их...
EngWho knows about threats, prevents them

Аналитика

Главная » Статьи » Средства и меры

Bad Rabbit. Что, Когда и Как

24 октября. Начало вирусной эпидемии BadRabbit. Известные объекты заражения:

Большинство – в РОССИИ:

СМИ (Интерфакс.RU), http://www.fontanka.ru/

УКРАИНА:

Киевский метрополитен

Министерство инфраструктуры

Международный аэропорт "Одесса"

 

Также вредонос обнаружен:

ТУРЦИЯ, ГЕРМАНИЯ

Неудавшиеся цели:

российские банки из топ-20

 

Классификация вредоноса:

БДУ ФСТЭК: УБИ.167 Угроза заражения компьютера при посещении неблагонадёжных сайтов

The ransomware dropper was distributed with the help of drive-by attacks

Kaspersky AV: UDS:DangerousObject.Multi.Generic (detected by Kaspersky Security Network), PDM:Trojan.Win32.Generic (detected by System Watcher) and Trojan-Ransom.Win32.Gen.ftl.

Схема заражения:

В HTML-код скомпрометированных сайтов российских СМИ загружался JavaScript, демонстрирующий посетителям окно, с предложением установить обновление Adobe Flash Player. После клика скачивался и запускался вредонос (install_flash_player.exe, MD5: FBBDC39AF1139AEBBA4DA004475E8839).

Компоненты BadRabbit и действия:

шифрует файлы (DiskCryptor);

повышение привилегий на локальной машине;

распространение по сети (SMB);

извлечение паролей из LSASS (Mimikatz)

подбор паролей по словарю.

Последствия: требование выкупа 0,05 bitcoin (time-incremental cost) на счёт caforssztxqzf2nm.onion

 

Исследователи:

Kaspersky: Большинство целей находятся в России. Похожие, но меньше атаки были также замечены в других странах – Украине, Турции и Германии. В целом, есть почти 200 мишеней, по статистике KSN.

Eset: вредоносный JS скрипт отправлял часть информации на сервер 185.149.120.3. На этом сервере до вчерашнего дня был установлен Apache Tomcat/Coyote JSP engine 1.1, под который существуют готовые эксплойты, позволяющие удаленно выполнить код на сервере. Данный сервер принадлежит компании Jetmail, которая занимается Email маркетингом. В настоящее время их сайт недоступен

Group-IB: «Bad Rabbit» является модифицированной версией NotPetya с исправленными ошибками в алгоритме шифрования. Код «Bad Rabbit» включает в себя части, полностью повторяющие NotPetya.

 

МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ

Preventive:

  1. Смените все пароли на сложные для предотвращения брута по словарю.
  2. Обновите операционные системы и системы безопасности.
  3. Поставьте пользователям блокировку всплывающих окон.
  4. Настройками групповой политики запретите хранение паролей в LSA Dump в открытом виде.
  5. Заблокируйте файлы c:\windows\infpub.dat и c:\Windows\cscc.dat от записи и запуска
  6. Отключите WMI service (если это возможно в Вашей ИТ-среде)

Detective:

  1. Применяйте современные средства обнаружения вторжений и песочницу для анализа файлов.

Corrective:

  1. Убедитесь в актуальности и целостности резервных копий ключевых сетевых узлов.

Compensating:

  1. Оперативно изолируйте заражённые компьютеры
  2. Запретите выполнение следующих задач в планировщике Windows: viserion_, rhaegal, drogon
  3. Заблокируйте ip-адреса и доменные имена с которых происходило распространение вредоносных файлов

Deterrent:

Объясните, наконец, уже ВСЕМ пользователям, что не надо ничего скачивать и устанавливать, чтобы «облегчить работу админу», или «чтоб видос загрузился»


Если Вам понравилось - поделитесь ссылкой с друзьями в соцсетях. Кнопки ниже:
Категория: Средства и меры | Добавил: vaminakov (25.10.2017) | Автор: Vladimir Minakov
Просмотров: 300 | Теги: BadRabbit, Kaspersky, ESET, GroupIB | Рейтинг: 0.0/0
Всего комментариев: 0
Среда
21.08.2019
06:48
Вход на сайт
Категории раздела
Угрозы [5]
Аналитические материалы об угрозах, моделях угроз безопасности информации
Уязвимости [1]
Уязвимости кода, конфигурации, документации
Средства и меры [2]
Средства защиты информации, меры защиты информации. Их применение. Проблемы и решения
Требования и рекомендации [5]
Требования нормативных правовых актов. Рекомендации методических документов. ФСТЭК России. ФСБ России. NIST. ISO. ISACA
Популярное
Поиск
Наш опрос
Следует ли использовать сертифицированные средства ЗИ
Всего ответов: 6
Автор в медиа
Блоггер
Читатель твиттера
Архитектор систем защиты информации
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0