23.06.2016 09:02
yosemity 20 10300 Источник


Вчера компания «Доктор Веб» сообщила о появлении первого в своем роде вируса-шифровальшика. Уникальность данного зловреда заключается в том, что он написан на языке программирования 1С и является, по сути, внешней обработкой для клиентского приложения 1С: Предприятие 8. Хорошая новость заключается в том, что если в вашей среде не используется 1С, то угрозы не существует. Плохая же новость в том, что если вы, как и сотни тысяч компаний в России и за рубежом, все же используете 1с, то угроза более чем реальна.



На самом деле, как следует из названия, 1C.Drop.1 не самостоятельный шифровальщик, а дроппер, попадающий на компьютер жертвы по электронной почте. Подробно о действии вируса следует почитать на сайте «Доктор Веб», но в двух словах, происходит следующее. К письму приложен файл с расширением .epf, являющийся внешней обработкой 1с. Если пользователь последует инструкции из письма и выполнит обработку, то сможет насладиться забавной картинкой из начала топика, во время показа которой вирус попытается разослать себя контрагентам из базы по полю e-mail. Ну а после запускается уже вполне себе настоящий шифровальщик Trojan.Encoder.567.

Ленивый администратор скажет сейчас «пфффф, SRP/Applocker не даст исполняемому файлу запуститься» и будет прав. Действительно, Trojan.Encoder.567 не нанесет деструктивных действий и в худшем случае вы будете виноваты в рассылке вредоноса по почте своим контрагентам. Репутации это однозначно не прибавит, но хоть так, малой кровью. Хотя… погодите расслабляться. Это всего лишь первая версия, которая использует внешний компонент для шифрования файлов, а что будет когда сам шифровальщик будет написан на 1с? И вот тут становится действительно не по себе. Никакой SRP не поможет, ведь 1с — вполне себе разрешенное приложение и будет выполнено без проблем, а уж что там оно делает — дело десятое. По сути, внешнюю обработку можно сравнить с макросами MS Office. Получается, что когда (не если, а когда), в свет выйдет шифровальщик на 1с, то у него на пути встанет воздушная преграда в виде одного антивируса, который как мы знаем далеко не панацея. Ну а рассчитывать на сознательность пользователей в вопросах ИБ — особая степень глупости.

Кардинальным решением может быть запрет на интерактивное открытие внешних обработок, но в реальной жизни это встречается редко. Для снижения рисков, в данный момент на ум приходит только работа в 1с на терминальном сервере через сервер приложений с максимальным ограничением прав на файловую систему и сетевые ресурсы. Естественно, не все могут это себе это позволить, а других идей пока нет. Может быть у вас появятся?

Дополню:
Для БП3/ЗУП3 право интерактивного запуска внешних обработок дают:
— АдминистраторСистемы (не выбирается в профиле, назначается пользователям включенным в предопределенную группу доступа/профиль «Администраторы»)
— ИнтерактивноеОткрытиеВнешнихОтчетовИОбработок
— ОператорОтправкиОтчетностиЧерезПредставителяПереопределяемая

Роли «Полные права» и «Администрирование» сами по себе не разрешают запуск обработок.

Соответственно, для запрета интерактивного запуска запуска обработок следует создать новый профиль, в котором снять права Интерактивное открытие внешних отчетов и обработок и Оператор отправки отчетности через представителя (переопределяемая). Право «Администратор» можно оставить, т.к. без него не будут доступны некоторые нужные тычки, например настройка обмена с банками, но в этм случае юзер сможет сам себе выставлять права.
Используется ли у вас 1С?

Проголосовало 257 человек. Воздержалось 58 человек.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Поделиться с друзьями
-->

Комментарии (20)


  1. teecat
    23.06.2016 12:21
    #9671200
    +1

    Народ уже активно обсуждает, что можно сделать, используя встроенные возможности 1С

    Кстати новость выглядит не особо внушающе — но на самом деле на уровне антивируса реализация возможности детектирования была не так проста.


    1. SSSerg
      23.06.2016 16:15
      #9671730
      +1

      Дата постов с мисты: 16.06.05
      Наверное, не так уже активно.


    1. yosemity
      23.06.2016 16:18
      #9671736
      +1

      Новость более чем внушающая, если учитывать, что по дефолту куча народу сидит с возможностью интерактивного выполнения внешних обработок.


  1. rrrav
    23.06.2016 16:57
    #9671818

    Интересно, заведется он на этом движке https://habrahabr.ru/post/301064/?


    1. vasyzpetya
      23.06.2016 18:03
      #9672034

      это .net фреймворк который сначала нужно установить )
      и если там реализована функция ЗапуститьПриложение() схожая со стандартной, то почему бы и нет


  1. vasyzpetya
    23.06.2016 17:33
    #9671922
    +1

    Вот официальная новость от 1С 1c.ru/news/info.jsp?id=21537

    Кстати, странное дефолтное имя «D:\ОбновлениеБикБанка.exe»… можно было использовать ПолучитьИмяВременногоФайла(«exe») которая вернула бы имя по умолчанию доступное для записи вроде %temp% \9\v8_BF5_13.exe

    Так же через ЗапуститьПриложение() можно выполнять и JS код и прочие скрипты.
    У нас в компании так СБ тестила наше приложение на 1С которое в том числе умело работать с письмами. Они завернули JS код в обычное письмо, который успешно отработал и заблокировал рабочий стол.

    Вот пример кода который еще опаснее, если такое выполнить с директивой &НаСервере, то можно запустить что угодно на сервере от имени севисной учетки службы 1С, которую обычно делают с повышенными привилегиями.

    &НаКлиенте
    Процедура ПриОткрытии()
    // это стандартный обработчик формы при открытии
    ВыполнитьКодНаСервере();
    КонецПроцедуры

    &НаСервере
    Процедура ВыполнитьКодНаСервере()
    // ой вирус вирус ой запущу запущу
    КонецПроцедуры

    Будьте бдительны.


    1. yosemity
      23.06.2016 18:14
      #9672086

      Официальная новость от 1с является копипастой «Доктора Веба». А вообще вы правы, следует быть максимально бдительным.


  1. Gnesus
    23.06.2016 17:33
    #9671928

    Сервер предприятия с максимально порезанными правами у пользователей. Плюс ограниченный и фильтруемый обмен файлами между серверной средой и локальными компами, в котором отсутствует возможность передать что-то сложнее pdf, doc, xls, и txt.


    1. vasyzpetya
      23.06.2016 18:04
      #9672040

      Ну такая штука скорее рассчитана на уйму мелких контор где бухгалтер сам же и администратор… и тогда беда неизбежна…
      Кстати, 2ой квартал подходит к концу, «отчетность из коминг!!!»


      1. Gnesus
        24.06.2016 15:02
        #9673646

        Полностью в сами согласен. Этот вирь рассчитан на локально установленную одноэс.


  1. Arch0n
    23.06.2016 18:06
    #9672056

    Автор транслирует свое мнение про права на внешние обработки. Это как администрированием хороший админ включит SRP, а плохой выключит.
    В типовых конфигурациях так же есть механизмы подключения внешних обработок через администратора. И таки да на крупных проектах функцию открытия внешних обработок отлучают. Через внешнюю обработку можно например удобно выкачать доступную часть базы. По мне так это очередной тест на криворуких админов теперь уже в 1С


    1. yosemity
      23.06.2016 18:12
      #9672080
      +1

      Следует разграничивать интерактивную функцию открытия внешних обработок (Файл — Открыть) и программный запуск через «внешние обработки». Во втором случае юзеру будут доступы только одобренные администратором обработки. И это вполне действенный механизм защиты.


      1. Arch0n
        24.06.2016 16:44
        #9673788

        Я про это и писал. «Кардинальным решением может быть запрет на интерактивное открытие внешних обработок» — это не кардинальный способ, а обычная практика можно сказать обязательная. И те кто это еще не сделал сами себе злобные буратины.
        Какая вообще информационная безопасность если любой сотрудник может выполнить любой произвольный код в системе?


  1. fosihas
    23.06.2016 18:39
    #9672146

    >>>>Уникальность данного зловреда заключается в том, что он написан на языке программирования 1С
    Очень громкое высказывание. Код 1С только запускает исполняемый файл, в котором вирус.
    1С только средство для запуска.


    1. yosemity
      23.06.2016 20:34
      #9672340

      Вы пробовали читать статью?


      1. fosihas
        24.06.2016 10:45
        #9672972

        Начальный абзац врезается в память. И есть вероятность дальше читать не будет и не дойдет до технических объяснений.

        Зная среду 1С: написание вируса без внешних компонент невозможно (на данном этапе). Максимум данные самой 1С испортит.


        1. yosemity
          24.06.2016 11:45
          #9673150

          Максимум данные самой 1С испортит.

          Лучше не стало.
          В любом случае, шифровальщик на 1с без запуска сторонних приложений — дело времени. Так что ждем развития событий и лучше быть готовым заранее.


  1. firehunt
    24.06.2016 02:45
    #9672694

    Ну а рассчитывать на сознательность пользователей в вопросах ИБ — особая степень глупости.

    +100500


  1. DikSoft
    24.06.2016 11:11
    #9673050

    Поставил на почтовике правило обработки потока почты на вложения .epf. Пока попались на пересылке обработок только разработчики )) Получил уже кто-нибудь subj?


  1. amarao
    24.06.2016 13:55
    #9673488
    +1

    Внезапно, все очнулись и осознали, что 1С, как бы над ним не смеялись, тьюринг-полный язык программирования. Для которого можно писать программы и исполнять их.

    А Windows, как всегда, на высоте — любой файл во вложении считается исполняемым и доверенным, пока специальными гвоздями не вкручено обратное.