Вірус Petya і правильна комплексний захист від нього і подібних наступних вірусів

Подивимося покроково, чого ж такого пропустили CIO, що могло б запобігти епідемії в українських компаніях «на корню», що є в базових рекомендаціях Defense-in-Depth і реалізувати які не є великою проблемою. Нагадаю, вимоги Defense-in-Depth (DiD) досить прості і передбачають реалізацію тих чи інших сервісів захисту на всіх рівнях ІТ-інфраструктури.

Є і більш «просунуті» методи захисту, які забезпечують високий рівень захисту від сучасних типів атак, які в тому числі, використовувалися і в Petya - Securing Privileged Access .

Отже, почнемо з первинного зараження. У даній епідемії розглядається 2 основні сценарії - проникнення через поштові повідомлення у вигляді вкладення до листа і через систему оновлень MEDoc, так звану атаку «software supply chain attacks», коли зламується постачальник ПО. Детально, хто ще не прочитав - «розбір польотів» можете подивитися тут .

При цьому в першому сценарії запущений користувачем з пошти здійсненний файл атакує ОС через уразливості SMBv1 (EternalBlue / EternalRomance) і отримує всі необхідні права, щоб виконати свої процеси - шифрування і поширення.

Які методи протидії Defense-in-Depth допоможуть від подібної атаки:

• Периметр - сервіс фільтрації поштових повідомлень (наприклад, в Microsoft Exchange) - просто видаляє всі файли, крім дозволених типів, антивірусна система для електронної пошти, якщо немає чогось подібного - оренда аналогічних хмарних сервісів, наприклад - Exchange Online Protection, «знання» якого не залежать від «моторності» адмінів (час впровадження - 30 хв + оновлення доменного імені).

• Додатки - антивіруси, які ловили Petya.A з самого початку епідемії. Треба оновлювати сигнатури - ні, не чули?

• Хост - бронювання ОС - хильнути готові політики з рекомендованими настройками безпеки від Microsoft Security Compliance Manager або доточити їх під рекомендації - наприклад, відключити SMB v1 як клас і інші непотрібні застарілі сервіси - нікчемна справа, управління оновленнями (зовсім не складно, особливо, якщо Windows НЕ піратська), з IDS складніше, але навіть тут - всього лише підписка на Defender Advanced Thread Protection, який, як показала практика, ловить атаки подібного типу на корені.

• ЛПП - навчання не відкривати файли, попередження про можливі атаки і покарання - аж до звільнення і судових позовів проти запустили вірус (ах, да - країна така, закони не працюють - тоді просто переламали запустившему вірус ноги).

Так що в даному випадку - сам факт зараження суттєво знижується ...

Сценарій другий - вірус «прилетів» через оновлення тій чи іншій LoB-системи і тут поки майже без шансів - швидше за все комп'ютер буде заражений, оскільки код виконується від прав системи.

Але не будемо засмучуватися. Ми втратили один комп'ютер і далі все залежить виключно від стійкості ІТ-інфраструктури в цілому.

Подальший сценарій поширення вірусу Petya проходить по декількох напрямках:

• Механізм, що використовує уразливість SMBv1 (EternalBlue / EternalRomance) на що знаходяться в одній підмережі з зараженим ПК комп'ютерах,

• Або механізм pass-the-hash / pass-the-ticket, використовуючи наявні на зараженому ПК сеанси користувачів.

Перший варіант поширення вірусу на сусідні ПК блокується дуже просто з Defense-in-Depth:

• LAN - сегментування і ізоляція (VLAN) - зовсім просто, особливо з огляду на кількість накупленних в компаніях Cisco та іншого обладнання, треба тільки сісти і трохи подумати, який же трафік куди повинен ходити між сегментами призначених для користувача ПК (численних і рознесених теж) і серверами додатків (теж сегментованих між собою за типами програм і необхідного мережевого доступу). Ми не говоримо навіть про NDIS - навіть без виявлення вторгнення (хоча якщо Cisco - так чого б не активувати?) - сегменти мереж стали б нездоланним бар'єром для проникнення вірусу поза групою ПК.

• Хост - з його firewall, який, як не дивно, зараз включається в Windows за замовчуванням і тільки безглуздий відповідь на питання - «чи хочете ви розшарити свої файли в мережі» - «так, хочу!» - псує всю картину. Ну ось навіщо, навіщо призначеному для користувача ПК взагалі щось публікувати в мережі? Навіщо все адміни так люблять відключати firewall? Легше працювати? А чи не легше написати правила в групових політиках ... І все, навіть в рамках одного сегмента мережі - такі ПК c firewall будуть захищені від посягань зараженого ПК. А що щодо контролерів домену та інших файлових смітників - читай вище, обов'язкових оновлень і «бронювання» і тут ніхто не відміняв.

• ЛПП - і так, не забуваємо про персональну відповідальність адмінів і ставків за кожен наступний поломаний по мережі комп.

Другий варіант поширення вірусу трохи складніше - Petya використовує для атаки на інші ПК в мережі наявність відкритих для користувача сеансів / кешей паролів на зараженому ПК, а з огляду на парадигму того, що багато адміни на ПК використовують один і той же пароль локального адміністратора або обліковий запис адміністратора домену для роботи на будь-якому ПК компанії - тут для Petya широке поле діяльності з використанням механізмів атак pth / ptt. Маючи на руках адміністраторські паролі і відкриті «всім вітрам» порти сусідніх ПК - Petya успішно копіює себе через адміністративні кулі (Admin $) і запускає віддалено свій код на атакується машині.

АЛЕ, якщо звернутися до Defense-in-Depth, то можна виявити, що:

• Хост - рекомендовано використання технологій VBS і Device Guard для захисту від крадіжки ідентиті подібними способами. Але - VBS є тільки в Windows 10 - Ok, але ніхто не заважає познайомитися з рекомендаціями щодо захисту хостів від Pass-the-hash / pass-the-ticket атак для Windows 7 і т.д. - нічого складного, крім знову ж - використання рекомендованих шаблонів безпеки (Їх же можна використовувати і для Windows 10 без VBS / DG) починаючи з відключення кешування ідентиті при вході і т.п.

• Хост - найпростіша гігієна аутентифікації, пов'язана з використанням унікальних адміністраторських паролів на кожній робочій станції / сервері - утиліта Local Administrator Password Solution (LAPS) - позбавить від головного болю «із запам'ятовування» кожного пароля, а далі - складніші процедури гігієни для адміністраторів, які говорять, що для виконання певних дій на ПК повинні бути використані певні облікові записи, що не володіють повнотою прав на рівні всієї мережі (А що, ніхто не в курсі, що з доменним адміном ходити по робочих станцій категорично заборонено?).

• Плюс - вже згадані вище механізми виявлення вторгнення - той же Defender ATP або Microsoft ATA ( «заточений» якраз на виявлення атак pth / ptt) і, безумовно - firewall і сегментування мереж для того, щоб заволодів тими чи іншими обліковими записами вірус не зміг підключитися до сусідів.

• ЛПП - а тут вже може «прилетіти» і адміну компанії в цілому, якщо виявиться, що його обліковий запис «гуляє» чомусь по робочих місцях користувачів або використовується на ПК спільно з такими гуляють админами.

УСЕ! Було «охренеть як складно», ми витратили від сили 3 робочих дня (24 годин і 24 × 75 = 1800евро грошей висококваліфікованого фахівця) з наданих 43 днів з попередньої атаки для того, щоб захиститися від руйнівної дії вірусу типу Petya.

Так, тут деякі колеги в коментах дискутували щодо того, що «не можна так просто взяти і поділити мережу на підмережі користувачів і банкоматів - є моменти адміністрування та зручності роботи» - але, в будь-якому випадку, у CIO було ще мінімуму 3-5 днів на подумати, а потім вирішити, що зручність роботи перед загрозою повномасштабної вірусної атаки - відходить на другий план. Загалом - навіть не думали і не зробили НІЧОГО.

Наші втрати від Petya після прийнятих загальних заходів - ми втратили, швидше за все, всі машини, які заразилися шляхом приїзду «оновлення від MEDoc» (хоча, при використанні IDS типу Defender ATP - і ці втрати можуть бути зведені до мінімуму), ми втратили 10 % від тих машин, які отримали «листи щастя», а компанія - втратила працювали на них співробітників. УСЕ! Ніякої епідемії, ніяких відключилися кас і банкоматів (!!!), ніяких тисяч годин на відновлення ІТ-інфраструктури. Залишилося відновити необхідні дані з бекапів (або взагалі нічого не починати знову, крім ОС на ПК - якщо ІТ-інфраструктура зроблена правильно і все зберігається і бекап централізовано, до того ж - в хмару).

Так що це було, добродії ?! Чому Petya гуляв по українським мережам, виносячи всіх і вся (і не треба розповідати, що «в Європі / Росії теж постраждали», «це була спланована атака на Україну») - як не лінь, некомпетентність і пофігізм CIO потрапили під роздачу організацій і повний пофігізм Microsoft Ukraine по відношенню до наземної загрозу ?!

Ах да, Microsoft і «хмари наше все» ... Зараз підуть розмови про те, що якби «все було в Azure», то нічого б не було. Було б - з тим же результатом - ваші віртуальні машини в Azure були б в тій же ситуації - локальна мережа, відкриті порти і т.п. - тому що в гібридної інфраструктурі хмарна частина IaaS з безпеки ну ніяк не відрізняється від наземної по необхідності налаштувань.

Таким же чином, через поновлення, Petya успішно б проліз і на виртуалки в Azure, далі б пішов гуляти по віртуальним мережам Azure (які ви б не поділили на сегменти, які не ізолювали, не використали firewall на кожній), а потім і через Site- to-Site VPN заліз би і на наземні ПК користувачів ... Або навпаки - з тим же результатом в такий незахищеною від загрози зсередини «обланой» інфраструктурі.

А то було б і гірше - з огляду на вміння Petya зчитувати облікові записи адміністраторів і знаючи недбалість цих адмінів - Petya.Cloud (з модулем роботи в хмарі - дописати в код пару рядків) давно б уже мав адміністративні права на ваші підписки в хмарах і робив би там все, що заманеться, кидаючи вас ще й на гроші - наприклад - піднімав би виртуалки для Майнінг або ботсеті у вашій хмарної підписці, за які ви б потім платили по 100К-300К уе / міс.

І навіть використання хмарного Microsoft Office 365, який ніби як SaaS і його інфраструктура захищається Microsoft - при такій дірявої інфраструктурі на місцях - не врятує - з тим же успіхом вірус добирається до адмінській аккаунта O365, використовуючи злодійство облікових записів - і далі підписка O365 вже « не ваша ».

Вам про це не сказали Microsoft, Google, Amazon - все, хто продає «хмари»? Так це, їм же продати треба, а не вирішувати ваші проблеми - а всі проблеми хмар - знаходяться «на місцях», а туди особливо вже й не продаси - значить, і інвестувати в наземні частини замовників не варто ні копійки - навіть тренінгами та семінарами ...

І всім - приготуватися - це була тільки наступна хвиля, чекаємо наступної, як тільки хлопці знайдуть наступний механізм «закидання» і інфільтрації вірусу в корпоративні мережі. І цей вірус також не виявлятися антивірусами по сигнатурам і буде експлуатувати свіжі уразливості мереж і незакриті механізми типу Pass-the-hash / Pass-the-ticket. І ось просто «перенести все в хмари» вам не допоможе, а підписка на хмарні Microsoft ATA / Defender ATP на додаток до описаних вище заходів - цілком.

І невеличкий лікнеп для тих, кому цікаво (деякі доповіді - майже річної давнини):

Вірус Petya і правильна комплексний захист від нього і подібних наступних вірусів

Ви можете підписатися на наш Telegram-канал для отримання найбільш цікавої інформації