Есть идеи, как меня могли взломать программы-вымогатели?
Пару дней назад наши клиенты сообщили, что наш веб-сайт Solarwinds не работает. Итак, я подключился, чтобы проверить через удаленный рабочий стол, и вот он, полноэкранный html-подобный интерфейс, в котором вы можете использовать только мышь для ввода с помощью кнопок интерфейса.
Полноэкранный html-подобный интерфейс
Первым действием нашей команды было изолировать кластер от сети, а затем локально подключиться к каждому участнику на сайте, чтобы увидеть, все ли были захвачены. К нашему удивлению, все серверы кластера из 4 были скомпрометированы.
Я начал проводить тесты на нашем веб-сервере и сервере БД, в то время как мои товарищи по команде форматировали наименее важные элементы кластера, такие как серверы опроса, которые почти не хранят критически важных данных для операции.
Я смог получить все наши данные обратно из БД и веб-сервера, загрузившись с Live CD / USB Fedora и получив доступ к файловой системе Windows (конечно, она не была зашифрована, как они утверждали), затем зашел в папку System32 и обнаружил их скрипт, а затем изменил имя своей основной папки, чтобы он мог аварийно завершиться (я решил изменить имя только для того, чтобы позже попытаться проанализировать его и собрать из него некоторую информацию).
Я потратил пару часов на его изучение, но большая часть кода была скомпилирована в .exe (они также использовали некоторые сценарии .bat и .ps1, так что те, которые я уже видел). Я открыл.exe в виде обычного текста и нашел то, что кажется комментариями Python из библиотек и некоторый другой текст (включая сообщение интерфейса в стиле html). Я думаю, что код написан на Cython, а затем скомпилирован файл .c, созданный файлом установки cython, но Я не уверен, прав ли я или есть способ декомпилировать его и получить как можно больше кода.
И еще одна вещь, о которой я не знаю, возможно ли это посмотреть, как они могли попасть на сервер, например, какой протокол, у меня есть некоторые даты, когда они создавали задачи в планировщике задач Windows, я также проверил программа просмотра событий входит в систему, но не может ее понять, поскольку существует много входов в систему. Я не очень разбираюсь в Windows, и мои навыки программирования находятся на среднем уровне. Возможно, вы знаете другие вещи, которые я могу проверить на сервере и которые могут предоставить ценную информацию. Если вам нужно, чтобы я прикрепил .zip, содержащий большую часть того, что хакер поместил на наш сервер, дайте мне знать, потому что мне нужно поместить некоторые инструкции, чтобы вы не заразили себя. Кстати, у нас Windows Server 2016.
ОБНОВЛЕНИЕ 1: Прежде всего, спасибо, ребята, за помощь и рекомендации. Я работаю в очень неорганизованной компании, на этих серверах даже не был включен брандмауэр Windows. У компании нет какой-либо страховки, процедуры или политики в отношении того, что делать или как действовать в такой ситуации, вероятно, потому, что им повезло, что этого не произошло раньше.
Ребята из организационной схемы отметили, что первая инструкция заключалась в том, что ничего не говорите о том, что на самом деле произошло, а если будут заданы вопросы, отвечайте как можно более неясно.
Конечно, первой реакцией моего начальника было сказать нам, что нам нужно восстановить службу как можно скорее. Итак, пока я пытался найти и взломать сценарий выкупа хакера в Интернете и на серверах базы данных, 2 инженера форматировали первые 2 сервера опроса. Когда я нашел решение, было уже поздно, данные 2-х серверов уже были потеряны. Я убедил своего босса оставить веб-сервер в прежнем виде, чтобы я мог проверить все доступные журналы, код и все остальное, что смогу найти.
Теперь, когда я тщательно просмотрел все журналы на веб-сервере (это заняло у меня 2 дня) и читаемые фрагменты сценария (некомпилированный код), я понял, что один сервер, который я взял домой, не был точкой входа хакера, я могу видеть только сеансы других участников кластера, которые ранее были скомпрометированы, поэтому я не мог определить, как хакер вообще попал на сервер или какой сервер был скомпрометирован первым. Я мог предположить, что он получил доступ через какой-то протокол передачи файлов, поскольку позже я обнаружил, что приложение PsExec было установлено хакером вручную.
Кроме того, я не думал получить копию тома, а затем отформатировать, в следующий раз я буду иметь это в виду, чтобы сохранить все доказательства.
То, что говорит Джо, звучит очень разумно, но я также хотел бы задаться вопросом, почему возникла необходимость загружаться с USB-накопителя Linux, когда в прошлый раз, когда один из наших клиентов (медицинское учреждение) пострадал от атаки вымогателя, мы могли клонировать пострадавшего тома для криминалистического анализа и восстановления из моментального снимка менее чем за 30 минут.
Получите хороший план резервного копирования и моментального снимка (это не одно и то же!) И хороший план быстрого восстановления. Программа-вымогатель станет бесполезной, если вы сможете восстановить ее за 30 минут и попросите кого-нибудь посмотреть, как вы заразились, чтобы предотвратить это.
Что касается вашего вопроса, существует множество декомпиляторов, но, честно говоря, это похоже на простой сценарий запуска, который пытается отпугнуть людей, чтобы они заплатили.
РЕДАКТИРОВАТЬ: Я не могу добавить ответ ниже, так как у меня нет 50 репутации на сайте (в основном я много лет скрывался). Но я хочу ответить на следующий вопрос OP:
Мы говорим о различных способах развертывания серверов. По сути, старый аргумент «домашнее животное против чайника» может показаться грубым, но, на мой взгляд, развертывание, при котором любая проблема на локальном диске вашего сервера вызывает недоступность / потерю данных, является ошибочным развертыванием.
Для решения этой проблемы существуют десятки различных технологий, но я понимаю, что в небольших компаниях сложно добиться большей устойчивости производственных серверов к атакам или даже сбоям оборудования. Во всяком случае, это могло быть замаскированным благословением, это можно было бы использовать для обеспечения надлежащего хранения с помощью fc / iscsi и правильных резервных копий / syncrep и т.
Компетентная программа-вымогатель не уничтожает операционную систему хоста сразу. Сохранение работоспособности хоста позволяет отображать экран с требованием выкупа, продолжая при этом извлекать или шифровать ценные данные.
Для определения начального доступа требуется очень широкий поиск, особенно если злоумышленник мог перемещаться между системами в боковом направлении. Кто входит в эти хосты, и запускали ли они программное обеспечение сомнительного происхождения? Как обновления программного обеспечения проверяются на подлинность? Какие известные уязвимости существуют, но еще не исправлены? См. MITER ATT & CK Initial Access , чтобы получить общее представление.
Просканируйте вредоносное ПО, чтобы понять, что это может быть. VirusTotal охватывает многие механизмы обнаружения, и делиться ссылкой на результаты VT безопаснее.
Полное судебное расследование, обратная разработка вредоносного ПО и установка средств защиты, таких как список разрешений, - все это вовлеченные проекты. Наймите сотрудника службы безопасности, чтобы он изучил вашу среду и дал конкретный совет.
Вы нарушили главное правило обращения с нарушением безопасности / системы: Сохраняйте доказательства .
Вы, вероятно, разрушили или, по крайней мере, сильно затруднили вашу способность определять, что и как произошло, путем переформатирования серверов и восстановления данных. Не только это, но если вы планировали подать иск в свою страховую компанию о любых понесенных убытках, вы, вероятно, поставили под угрозу и это. Кроме того, если вы планировали уведомить правоохранительные органы, вы серьезно помешали им провести расследование.
Вот мой совет, если это повторится:
Отключитесь от Интернета.
Отключите все системы от внутренней сети.
Обратитесь в свою страховую компанию, объясните ситуацию и попросите совета. Если это крупная страховая компания, у них, вероятно, есть определенные протоколы и шаги, которым они должны будут следовать, и, если вам повезет, у них будет специальная команда, которая поможет вам с этим справиться.
Делайте все, что вам говорит страховая компания, в точности так, как они говорят вам, и в том порядке, в котором они говорят вам это делать.
Не предпринимайте никаких действий сверх того, что предписано вашей страховой компанией или правоохранительными органами. тебя взять.