Есть идеи, как меня могла взломать программа-вымогатель?
Пару дней назад наши клиенты сообщили, что наш сайт Solarwinds не работает. Итак, я подключился для проверки через удаленный рабочий стол, и вот он, полноэкранный html-интерфейс, в котором можно было использовать только мышь для ввода текста с помощью кнопок интерфейса.
Первым действием нашей команды было изолировать кластер от сети, а затем локально подключиться к каждому участнику на сайте, чтобы проверить, все ли они были взломаны. К нашему удивлению, все серверы из кластера из 4 человек оказались скомпрометированы.
Я начал тестировать наш веб-сервер и сервер БД, в то время как мои товарищи по команде форматировали наименее важные элементы кластера, такие как серверы опроса, которые практически не содержат критически важных для работы данных.
Мне удалось получить все наши данные из базы данных и веб-сервера, загрузившись с живого компакт-диска/USB Fedora и получив доступ к файловой системе Windows (конечно, она не была зашифрована, как они утверждали), затем зашел в папку System32 и нашел их скрипт, затем изменил имя основной папки, чтобы она могла выйти из строя (я решил изменить имя только для того, чтобы позже попытаться проанализировать ее и собрать из нее некоторую информацию).
Я потратил пару часов на его изучение, но большая часть кода была скомпилирована в .exe (они также использовали некоторые сценарии .bat и .ps1, так что я уже видел их). Я открыл .exe как обычный текст и нашел, похоже, комментарии Python из библиотек и некоторый другой текст (включая сообщение интерфейса в стиле HTML). Я думаю, что код написан на Cython, а затем скомпилировал файл .c, созданный cython, но я не уверен, прав ли я или есть ли способ его декомпилировать и получить как можно больше кода.
И еще, я не знаю, возможно ли это посмотреть, как они могли попасть на сервер, например, какой протокол, у меня есть несколько дат, когда они создавали задачи в планировщике задач Windows, я также проверил средство просмотра событий. входов в систему, но не мог этого понять, так как входов в систему много. Я не очень хорошо разбираюсь в Windows, и мои навыки программирования находятся на среднем уровне. Возможно, вы знаете что-то еще, что я могу проверить на сервере и которое может предоставить ценную информацию. Если вам нужно, чтобы я прикрепил ZIP-файл, содержащий большую часть того, что хакер поместил на наш сервер, дайте мне знать, потому что мне нужно добавить некоторые инструкции, чтобы вы не заразились. Кстати, у нас Windows Server 2016.
ОБНОВЛЕНИЕ 1: Прежде всего, спасибо вам, ребята, за помощь и рекомендации. Я работаю в очень неорганизованной компании, на этих серверах даже не был включен брандмауэр Windows. У компании нет какой-либо страховки, процедур или политики относительно того, что делать и как действовать в такой ситуации, вероятно, потому, что им повезло, что этого не произошло раньше.
Ребята из организационной структуры сплотились, первое указание было ничего не говорить о том, что на самом деле произошло, а если будут задавать вопросы, отвечать как можно более туманно.
Конечно, первой реакцией моего начальника было сказать нам, что нам нужно как можно скорее восстановить сервис. Итак, пока я пытался найти и взломать хакерский сценарий выкупа на веб-серверах и серверах базы данных, два инженера форматировали первые два сервера опроса. Когда я нашел решение, было уже слишком поздно, данные двух серверов уже были потеряны. Я убедил своего босса оставить веб-сервер в том виде, в котором он был, чтобы я мог проверить все доступные журналы, код и все остальное, что смогу найти.
Теперь, когда я тщательно просмотрел все журналы веб-сервера (это заняло у меня 2 дня) и читаемые фрагменты сценария (некомпилированный код), я понял, что тот сервер, который я взял домой, не был точкой входа хакера. , я могу видеть только сеансы других членов кластера, которые ранее были скомпрометированы, поэтому я не смог определить, как хакер вообще проник на сервер или какой сервер был скомпрометирован первым. Я смог сделать предположения, что он получил доступ через какой-то протокол передачи файлов, поскольку позже обнаружил приложение PsExec, установленное хакером вручную.
Кроме того, я не подумал получить копию тома, а затем отформатировать, в следующий раз я буду иметь это в виду, чтобы сохранить все доказательства.
3 ответа
Вы нарушили главное правило борьбы с нарушениями безопасности/системы: сохраняйте доказательства.
Вероятно, вы уничтожили или, по крайней мере, серьезно ограничили свою способность определять, что и как произошло, переформатировав серверы и восстановив данные. Более того, если вы планировали подать иск в свою страховую компанию о любых понесенных убытках, вы, вероятно, также поставили это под угрозу. Кроме того, если вы планировали уведомить правоохранительные органы, вы серьезно помешали им провести расследование.
Вот мой совет вам, если это произойдет снова:
Отключитесь от Интернета.
Отключите все системы от внутренней сети.
Свяжитесь со своей страховой компанией, объясните ситуацию и попросите ее совета. Если они крупная страховая компания, у них, вероятно, есть определенные протоколы и шаги, которым вам нужно будет следовать, и, если вам повезет, у них будет специальная команда, которая поможет вам справиться с этим.
Делайте все, что вам говорит страховая компания, именно так, как они вам говорят, и в том порядке, в котором они вам это говорят.
Не предпринимайте никаких действий, выходящих за рамки указаний вашей страховой компании или правоохранительных органов.
То, что говорит Джо, очень разумно, но мне также хотелось бы задаться вопросом, зачем нужна загрузка с USB-накопителя Linux? В прошлый раз, когда один из наших клиентов (медицинское учреждение) подвергся атаке программы-вымогателя, мы могли клонировать затронутые тома для судебно-медицинской экспертизы. анализ и восстановление из снимка менее чем за 30 минут.
Получите хороший план резервного копирования и моментальных снимков (они не одно и то же!), а также хороший план быстрого восстановления. Программа-вымогатель станет бесполезной, если вы сможете восстановить ее за 30 минут и попросить кого-нибудь посмотреть, как вы заразились, чтобы предотвратить это.
Что касается вашего вопроса, то существует множество декомпиляторов, но, честно говоря, это похоже на простой скрипт запуска, пытающийся отпугнуть людей и заставить их платить.
РЕДАКТИРОВАТЬ: Я не могу добавить ответ ниже, так как у меня нет репутации 50 на сайте (в основном я годами скрывался). Но я хочу ответить на дополнительный вопрос ОП:
Мы говорим о разных способах развертывания серверов. По сути, старый аргумент «домашнее животное против чайника» может показаться грубым, но, на мой взгляд, развертывание, при котором любая проблема на локальном диске вашего сервера приводит к недоступности / потере данных, является ошибочным развертыванием.
Существуют десятки различных технологий, позволяющих решить эту проблему, но я понимаю, что в небольших компаниях сложно сделать производственные серверы более устойчивыми к атакам или даже сбоям оборудования. Во всяком случае, это может быть замаскированным благословением, которое можно использовать для обеспечения надлежащего хранилища с помощью fc/iscsi, правильного резервного копирования/syncrep и так далее!
Компетентные программы-вымогатели не уничтожают операционную систему хоста сразу. Сохранение работоспособности хоста позволяет отображать экран с требованием выкупа, продолжая при этом извлекать или шифровать ценные данные.
Идентификация первоначального доступа требует очень широкого поиска, особенно если злоумышленник мог перемещаться между системами. Кто заходит на эти хосты и запускали ли они программное обеспечение сомнительного происхождения? Как проверяется подлинность обновлений программного обеспечения? Какие известные уязвимости существуют, но еще не исправлены? См. раздел «Первоначальный доступ MITRE ATT&CK» , чтобы получить общее представление.
Сканируйте вредоносное ПО, чтобы понять, что это может быть. VirusTotal охватывает множество механизмов обнаружения, поэтому делиться ссылкой на результаты VT безопаснее.
Полное судебно-медицинское расследование, реверс-инжиниринг вредоносного ПО и установка средств защиты, таких как внесение в разрешенный список, — все это задействованные проекты. Наймите сотрудника службы безопасности, чтобы он изучил ваше окружение и дал конкретные советы.