Государственная техническая служба

АО «Государственная техническая служба» сообщает, что в одной из организаций квазигосударственного сектора Казахстана обнаружено заражение сети вирусом-шифровальщиком. Для дешифровки злоумышленники потребовали выплату в биткойнах.

Предварительный анализ показал, что организация не соблюдала требований постановления Правительства Республики Казахстан от 20 декабря 2016 года № 832 «Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности» (далее — ЕТ). Таким образом, из всей сети организации злоумышленнику беспрепятственно удалось заразить контроллер домена, три персональных компьютера и файловый сервер. Технические детали расследования инцидента ИБ здесь.

Специалистами было установлено, что один из персональных компьютеров был зашифрован полностью, а системные логи очищены.

Для всех пользователей организации была создана лишь одна учетная запись – «X». С помощью перебора паролей, используя протокол RDP (протокол удаленного рабочего стола от Microsoft), злоумышленник получил доступ к инфраструктуре и удалил антивирусное программное обеспечение на каждой рабочей станции. После удаления антивирусного ПО на все устройства был загружен шифровальщик.

Зашифрованные файлы получили расширение  (CW-WL3048625917)  и выполнили команды, предназначенные для остановки различных служб и отключения определенных функций в операционной системе Windows, таких как SQL Server, служба виртуальных дисков, служба теневого копирования томов и брандмауэр Windows. В придачу шифровальщик скопировал самого себя в папку для установки в автозагрузки: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\, а в каталогах создал файл unlock-info.txt – текст с требованием выкупа.

Анализ показал, что кибератака, предположительно, была реализована таким образом:

Сотрудниками KZ-CERT были даны следующие рекомендации:

Рекомендации по предотвращению инцидента ИБ

1. Осуществить подключение к сети Интернет посредством ЕШДИ.
2. Разграничить права пользователей согласно правилам политики управления доступа либо согласно ЕТ.
3. Учетные записи пользователей должны иметь достаточные права и привилегии для выполнения повседневных задач без возможности внесения изменений модификации в политике безопасности, прав и привилегий других администраторов.
4. В соответствии с п.9.3.2 стандарта СТ РК ISO/IEC 27002-2015 управлением привилегированными правами доступа распределение и использование привилегированных прав доступа должно быть ограничено и управляемо.
5. Установить лицензионную операционную систему для серверов и для рабочих станций.
6. Закрыть доступы по протоколу RDP.
7. Использовать лицензионные средства защиты информации.
8. Периодически обновлять операционные системы и прикладное программное обеспечение.
9. Регулярно и по мере необходимости осуществлять изменение паролей.
10. Настроить журналирование событий в системе обнаружения и предотвращения вторжений.

Рекомендации при наблюдении признаков заражения рабочей станции вирусом-шифровальщиком, которые помогут сохранить часть файлов от шифрования.

1. Немедленно, как только проявились первые признаки заражения шифровальщиком, отключить питание рабочей станции.
2. Подготовить загрузочный диск вместе с антивирусным ПО.
3. Просканировать зараженный диск антивирусными средствами, поместить в карантин найденные вирусы.
4. Не выходить на контакт со злоумышленниками.
5. Определить тип шифровальщика и воспользоваться сторонними утилитами для дешифрования файлов.
6. Если сторонние утилиты не помогли, но зашифрованные файлы представляют критически важную ценность, стоит отправить образцы зашифрованных данных и тело шифровальщика специалистам для проведения ручного анализа. При этом важно не удалять шифровальщик с карантина и не переустанавливать ОС, так как зачастую для генерации ключей шифровальщик использует уникальные идентификаторы ОС или копии вируса.

Рекомендации по снижению ущерба в результате шифрования и уменьшению риска заражения рабочей станции вирусом-шифровальщиком.

1. Хранить резервную копию на сетевом хранилище.
2. Настроить автоматическое резервное копирование согласно требованиям ЕТ.
3. Установить и регулярно обновлять антивирусные средства на рабочих станциях.

Рекомендации для технических специалистов по активному поиску угроз ИБ.

1. Отслеживать события, связанные с созданием подозрительных папок или файлов, или запуском таких процессов, как rundll32.exe или regsvr32.exe с использованием winword.exe/excel.exe.
2. Проверять подозрительные запуски cscript.exe / wscript.exe, особенно те, которые связаны с сетевой активностью.
3. Проверять процессы powershell.exe с подозрительными или обфусцированными (замаскированными) командными строками.
4. Анализировать исполняемые файлы и скрипты, помещенные в папку автозагрузки, добавленные в ключи Run или запускаемые с помощью планировщика задач.
5. Проверять выполнение sdbinst.exe на предмет подозрительных аргументов командной строки.
6. Проверять создание новых ключей в разделе HKLM\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Image File Execution Options.
7. Проверять, что системы защиты умеют выявлять запросы, характерные для средств дампинга учетных данных, таких как Mimikatz.
8. Осуществлять поиск артефактов, характерных для инструментов сетевой разведки, таких как аргументы командной строки AdFind.
9. Проверять и выявлять артефакты, связанные с выполнением файлов из необычных мест, таких как %TEMP% или %AppData%.
10. Выявлять модификации реестра и брандмауэра Windows, связанные с подключениями по RDP.
11. Отслеживать и анализировать соединения по RDP для выявления попытки продвижения по сети.
12. Выявлять запуски wmic.exe с использованием подозрительных запросов.
13. Проверять, что ваши системы умеют выявлять полезные нагрузки Cobalt Strike Beacon и подобные им инструменты, характерные для пост-эксплуатационных фреймворков (как минимум те, которые запускаются с типичными аргументами командной строки и из типичных мест).
14. Отслеживать события создания новых служб, связанных с PsExec, SMBExec и другими средствами двойного назначения или инструментами тестирования на проникновение (пентест).
15. Отслеживать исполняемые файлы, замаскированные под общие системные файлы (такие как svchost.exe), но имеющие аномальные родительские файлы или местоположение.
16. Отслеживать признаки несанкционированного использования инструментов удаленного доступа в вашей сети.
17. Отслеживать события установки клиентов облачных хранилищ и события доступа к облачным хранилищам и проверять, являются ли они легитимными.
18. Отслеживать распространенные FTP-программы на конечных хостах для выявления событий установки файлов с вредоносными конфигурациями.

Напомним, что для минимизации рисков атак вредоносных программ и программ-вымогателей KZ-CERT опубликовал материалы на официальном интернет-ресурсе — https://www.cert.gov.kz/news/13/2057