На этой неделе мы рассмотрим «вымогателя» (ransomware), который на самом деле не является таковым. И даже не является вредоносной программой. Но он способен «захватить» Ваш сервер.

Несколько дней назад мы видели типичную RDP-атаку через удаленный рабочий стол, которая навела нас на мысль, что она была подобна той атаке, о которой мы рассказывали несколько месяцев назад и которую кибер-преступники использовали для заражения устройств с помощью шифровальщика. Но мы сильно заблуждались.

Прежде всего, потому, что вместо шифрования данных этот «зловред» блокировал рабочий стол с помощью пароля, который жертва не знает. Во-вторых, он не требует выкупа (!) в обмен на ключ или пароль, а скорее стремится как можно дольше удерживать устройство в заблокированном виде, чтобы как можно дольше использовать его для майнинга биткоинов. И, в-третьих, он не использует вредоносные программы как таковые.

После того как хакеры получили доступ к Вашей машине с помощью метода «brute force» (например, в рассматриваемом случае сервер получал 900 попыток в день), хакеры копируют файл под названием BySH01.zip. Он, в свою очередь, содержит следующие файлы:

1. BySH01.exe (исполняемый файл через AutoIt)
2. 7za.exe (легальная программа: хорошо известная бесплатная утилита 7zip)
3. tcping.exe (легальная программа: утилита для выполнения TCP-пингов)
4. MW_C.7z (заархивированный с паролем файл), который содержит:

  • Приложение – легальная программа для «добычи» биткионов
  • Приложение – легальная программа для блокировки рабочего стола Windows

Хакер запускает файл BySH01.exe, и появляется следующий интерфейс:



По сути, приложение для майнинга биткоинов использует этот интерфейс для настройки того, сколько использовать ядер, на какой кошелек отправлять биткоины и пр. После того, как нужные настройки выбраны, хакер нажимает на кнопку «Установить» для установки и запуска приложения по майнингу биткоинов. Приложение называется CryptoNight, и оно разработано для майнинга биткоинов с использованием процессоров.

Затем он нажимает на кнопку Локер, которая устанавливает и запускает приложение по блокировке рабочего стола. Это коммерческое приложение Desktop Lock Express 2, измененное только таким образом, что информация, показываемая в свойствах файла, точно такая же, как у системного файла svchost.exe. Наконец, он удаляет все файлы, использованные для атаки, за исключением CryptoNight и Desktop Lock Express 2.


Desktop Lock Express 2: приложение, используемое хакерами.

Мы обнаружили и заблокировали несколько атак в различных странах. Подобные примеры еще раз показывают, как кибер-преступники используют преимущества слабых паролей, которые можно подобрать с помощью метода «brute force» за определенный период времени. Больше не требуется вредоносной программы, чтобы получить доступ к системе, так что обратите внимание на то, чтобы использовать сложный пароль и защититься от нежелательных посетителей.

Советы для системных администраторов

В дополнение к использованию решений, подобных Adaptive Defense, которые обнаруживают и предотвращают такой тип атак, приведем пару советов для всех сисадминов, которые вынуждены открывать RDP:

  • Сделайте настройки таким образом, чтобы использовать нестандартный порт. 99,99% злоумышленников отслеживают все Интернет-соединения на TCP и UDP-портах 3389. Они могут отслеживать и другие, но им не обязательно это делать, т.к. большинство сисадминов не меняют эти порты. Те же, кто делает это в сочетании со сложными паролями, заботятся о безопасности корпоративной сети, чтобы хакерам было сложнее заполучить регистрационные данные в разумные сроки с помощью метода «brute force».

  • Отслеживайте неудачные попытки RDP-соединения. Таким образом, можно достаточно легко вычислить атаки типа Brute force, т.к. в этом случае хакеры используют автоматизированные системы, которые осуществляют новые попытки подключения каждые несколько секунд.
Поделиться с друзьями
-->

Комментарии (16)


  1. LoadRunner
    24.01.2017 10:00

    использовать нестандартный порт
    В дополнение к этому стоит создать дополнительный прослушиватель для соединений снаружи и делать проброс со шлюза на него. Так можно более гибко настроить права доступа по RDP внутри сети и снаружи.


  1. Demon_i
    24.01.2017 10:49

    Кто вообще открывает РДП вовне напрямую? Если в организации до 500 пользователей — каждому свой порт и диапазон айпишников, для которых разрешен вход извне на этот порт. Как правило провайдеры держат статику (стараются держать один IP за пользователем) ну, в крайнем случае, он чуток меняется в пределах подсети.


    1. LoadRunner
      24.01.2017 11:20

      А для тех, кто постоянно по командировкам летает, какое решение предложите?


      1. PandaSecurityRus
        24.01.2017 11:32
        +1

        А для тех, кто постоянно по командировкам летает, какое решение предложите?

        Пожалуй, самый оптимальный вариант — это настроить VPN-доступ.


        1. LoadRunner
          24.01.2017 11:44

          Ну вообще, в идеале — это должен быть первый совет по настройке удалённого доступа. А дальше уже всё остальное — сложные пароли, разрешённый доступ только тем учёткам, каким надо и тому подобное.


          1. htol
            25.01.2017 15:43

            Альтернатива vpn — ssh шлюз. Пользователь с помощью того же Putty запускает сессию до удаленного шлюза. И конектится на localhost:port_для проброса. А ssh шлюз пересылает уже нужному внутреннему rdp на 3398. И не надо городить acl для внешних пользователей. Если хочется повысить безопасноть, то надо раздать пользователям ключи и отключить парольный/интерактивный вход на шлюз.
            Если есть cygwin с openssh, то и вообще все просто.
            ssh -f -N -L localport:remote_rdp_host_inside_network:3389 user@ip_ssh_gate
            что-то типа
            ssh -f -N -L 33389:10.10.10.10:3389 user@ssh.company.name


  1. Labunsky
    24.01.2017 15:12

    Приложение называется CryptoNight, и оно разработано для майнинга биткоинов с использованием процессоров
    Я три раза перечитал, но глаза не врут. CryptoNight — PoW алгоритм, применяющийся в криптовалютах семейства CryptoNote, который позволяет относительно выгодно майнить на CPU. Самая популярная из них — Monero, которая еще XMR

    А майнить биткоины на CPU — такая себе затея


    1. LoadRunner
      24.01.2017 16:07

      В сети полно мест, где можно купить доступ к вывешенным наружу серверам. Когда есть доступ к одному серверу — не выгодно, а когда таких серверов десятки-сотни? А если повезёт и там будет какой-никакой графический адаптер? Стали бы люди подобным заниматься, не будь это выгодно.


      1. Labunsky
        24.01.2017 16:15
        +1

        а когда таких серверов десятки-сотни? А если повезёт и там будет какой-никакой графический адаптер?
        Все равно не выгодно. Можете прикинуть на калькуляторе, хотя это уже сто раз делали.

        Стали бы люди подобным заниматься, не будь это выгодно.
        Этим и не занимаются. Уже давно майнят тот же XMR и прочие CPU-frendly валюты, как и авторы недовируса в этой статье


      1. Deosis
        25.01.2017 08:18

        Недавно на хабре была статья про биткоин и хэш-рейты:
        общий 2.300.000.000.000 MH/s
        GPU 2000 MH/s
        CPU 140 MH/s
        Общая производительность больше в миллиард раз. Чтобы результат был заметен, нужны миллионы серверов.


        1. Nordicx86
          25.01.2017 08:52

          может и миллионы, но тут важна концепция тк судя по интерфейсу это наколенная поделка школьника… на полностью ЛЕГАЛЬНОМ и Не опасном софте, те нагрузка у этой системы может быть любой вплоть до полезной(SETA, «Folding» etc)


          1. Deosis
            25.01.2017 09:06

            А то, что она блокирует доступ пользователя в расчет не берется?


            1. Nordicx86
              25.01.2017 12:25

              «нет конечно же....» — я не спорю что оно вредоносное, просто интересная поделка.


  1. teecat
    25.01.2017 11:55

    Вредоносная программа, программа которая устанавливается без разрешения или выполняет неразрешенные действия. Соответственно философский вопрос — считать ли незаконно (без уведомления) поставленные приложения вредоносными (ага, и про решения суда тоже).

    В любом случае система защиты должна блокировать установку неразрешенного ПО, что означает требование запрета установки для данного пользователя или использования белых списков


    1. evilzipik
      26.01.2017 07:53

      как блокировать если «пользователь» сам нажал все эти кнопки? поэтому и даются рекомендации об увеличении степени защиты чуть более


      1. teecat
        26.01.2017 09:37

        В данном случае был брутфорс пароля, никто на кнопки не нажимал