2021. április 14., szerda

Gyorskeresés

Zsarolóvírussal kapcsolatos elméleti megoldás.

Írta: | Kulcsszavak: zsarolóvírus

[ ÚJ BEJEGYZÉS ]

Eszembe jutott, hogy egyszer talán összeszedek egy ilyen vírusfélét, akkor milyen megoldást találnék az adatok kimentésére.
Adott egy pc, aminek tárolóján zenék, filmek, fotók találhatók elkülönített mappákban.
A neten fellelt problémák megoldása mindig az adott gépre koncentrálódott.
Másik megközelítésben, ha kiveszem az adattárolót és átteszem egy másik hálózat független gépre másodlagos meghajtóként, vagy külső usb meghajtóként, akkor az adott gép oprendszerének fájlkezelőkön keresztül, mit láthatnék a meghajtó tartalmából?
Ugyanúgy az adatokat, vagy kriksz-kraksz adathalmazt, esetleg megfertőződne az a gép is amire csatlakoztattam?
Logikus elméleti megoldásokat, tapasztalatokat várok ezzel kapcsolatban.

Hozzászólások

(#1) Domonkos


Domonkos
Ármester

Egyszeru: Ne reaktiv, hanem proaktiv modszereid legyenek a vedekezesre.

Peldaul:
Legyen offline backup-od a fontos dolgokrol; igy virus eseten az adatok visszaallitasan kivul nincs sok egyeb dolgod es kicsi a kockazat.

Gender of electrical connectors is defined by the pins.

(#2) Csorbi


Csorbi
őstag

Utána kéne nézned hogy működnek a zsarolóvírusok, mert baromira látszik, hogy halvány kis lövésed sincs a működésükről. :) A fájlokat fizikailag kódolják, ergo másik gépbe rakva is pontosan ugyanazt fogod látni. Nem véletlenül állt az egész UNIX is napokig.

(#3) Gargouille


Gargouille
senior tag

Elég zavarosan fogalmaztad meg, de ha jól értelmezem, azt szeretted volna megkérdezni, hogy ha egy zsarolóvírus letitkosítja a merevlemezed tartalmát és ezután kiveszed a merevlemezt a gépből és átrakod mondjuk egy másikba, akkor ott mit látnál?

Ha ez a kérdés, akkor pontosan az a válasz amit írtak a többiek is, ugyanúgy a letitkosított fájlokat látnád. A zsarolóvírusok (magától a fertőzés mechanizmusától eltekintve) lényegében végigmennek a fájlrendszeren és minden egyes fájlt (vagy csak bizonyos fájltípusokat) fognak és letitkosítanak, ami prosztón megfogalmazva annyit tesz, hogy "krikszkrakszokra" cserélik a tartalmát, a változást pedig vissza is írják a lemezre. Ha ez megtörtént, akkor már akármivel nézegetheted, vagy rakhatod másik gépbe, ugyanazt fogod látni.

Sok ransomware-hez viszont készítettek dekódert, vagyis ha szerencséd van és olyan zsarolóvírust nyaltál be, amihez készítettek dekódert, akkor vissza tudod fejteni a titkosítást és ezáltal az adataidat.

A No More Ransom Projekt oldalán megtalálod ezeket a visszafejtő eszközöket.

Az egyetlen biztos megoldás, ha mentésed van, mégpedig off-line mentésed is az adatokról.

(#4) Dilikutya


Dilikutya
nagyúr

Én csak azt nem értem, hogy lehet zsarolóvírust, vagy bármi ilyet benyelni.
Ismeretlen feladó zavaros levele: kuka
Telefonszolgáltató számlája, amihez semmi közöm: kuka
Tört magyarságú nigériai fivérem szomorú sorsa: kuka

Stb, stb.

A mostanában futó csomagküldős SMS is jól példázza, az emberek a saját dolgaikról sincsenek képben.

Lövésem sincs, hol lehet zsarolóvírushoz jutni. Gyanús mellékletek is csak az ezeréves freemail címem spam mappájában landolnak, de a freemail-ről tudjuk, hogy a T-Online/Telekom elég trehány ilyen téren, egy időben a szolgáltatós címemre is jött szemét, pedig semmire se használtam. Értelmesen használt Gmail-en viszont már semmi, a spam is üres.

Nem vagyok perverz, csak haladok a korral. (Még mindig: Rock&roll feeling baby, rock&roll feeling.....)

(#5) moongoose válasza Gargouille (#3) üzenetére


moongoose
őstag
LOGOUT blog (1)

Részedről kaptam a legpontosabb megfogalmazást. :R
Erre lettem volna kíváncsi.

Mindenki jó valamire. Ha másra nem, hát elrettentő példának. phmegbízhatóság:http://phmegbizhatosag.atw.hu/phtabla.php?nev=moongoose

(#6) Gargouille válasza Dilikutya (#4) üzenetére


Gargouille
senior tag

Nem csak emailben lehet "benyelni", az ellen könnyen lehet védekezni viszonylag. Ez még pár éve volt a fő tendencia. Mostanra már aktívan kihasznált sebezhetőségeken keresztül és célzott támadással is bőségesen jönnek. Például a legutóbbi Exchange sebezhetőségről bizonyára hallottál, de ugyanígy aktívan keresik a kint hagyott RDP-n elérhető gépeket, a már nem supportált (pl. Win XP, Win7 stb.) oprendszereket, régi SAP rendszereket, Teamviewer elérésket (de láttam már Chrome Remote Desktopon is), és így tovább. És persze az adathalászatok során összegyűjtött info-kat is felhasználják, hogy személyre szabottan küldjenek levelet, amik már nem olyan béna spam-ek, amiket fél kilométerről felismersz csukott szemmel, hanem akár olyan emailek, amiben előzményként ott van mondjuk egy korábbi valós levelezésed valakivel...

Nyilván ha odafigyel az ember (főképp otthoni környezetben), akkor ezek jól védhetők, de egy vállalat például sokkal nehezebb helyzetben van ilyen szempontból. Több az ember, bonyolultabb a rendszer, sok a szolgáltatás, sok a külső elérés, több a hibalehetőség.

Tény, hogy kell hozzá az is, hogy valahol hibázzon az ember vagy legyen rés a rendszerben, de ez azért a legtöbb esetben adott.

(#7) Egon válasza Dilikutya (#4) üzenetére


Egon
nagyúr

Röviden: LOL.
Hosszabban: az előző munkahelyemen egy idős kollegina egy vidéki kis színház honlapját meglátogatva (!) nyelt be zsarolóvírust (mint utóbb kiderült). A weblapot korábban feltörték, kártékony kódot helyeztek el rajta, ami lefutott a gépén. Ennyike.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

(#8) MasterDeeJay

Pár ilyen zsarolóvírusos titkosítással már találkoztam.
Pl régebben azaz talán a kezdetekkor volt egy olyan amely a fileokat titkosította majd locky kiterjesztést adott hozzá és egy txt filet az adott könyvtárba hogy ide fizess ha meg akarod kapni a vissza kódoló kulcsot. Maga a kód addig futott amíg a gép ment de nem terjedt át más gépre szerencsére csak egy adott gép titkosítgatta a hálózati megosztásokon a fileokat.

Szervereknél fileszűrés és figyelést szoktak beállítani. Ha egy felhasználó valamiért létrehoz egy ilyen figyelt kiterjesztést azt egyből ledobja a megosztásról, vagy ha egyszerre túl sok adatot akar mozgatni arról is figyelmeztetés érkezik a rendszermókusnak.
Szerencsére ha ezek a vírusok ha nem a szerverről indulnak akkor könnyedén visszaállíthatóak minimális vagy 0 veszteséggel a fileelőzményekből.
A legnagyobb gond akkor van ha valami luk van a rendszerben, azaz nem egy program indít támadást egy user gépéről hanem közvetlenül a szervert érik el (pl: bejönnek RDP-vel) vagy admin szinten futnak, na ilyenkor van bukó és lehet hozzányúlni a nagyobb mentésekhez és ez bizony már járhat leállásokkal.

Home usernek egyszerűbb ha csinál egy külső vincsire rendszeresen mentést. Illetve több tárhelyet használ egyszerre. Nálam pl a telefonokról megy fel google felhőbe, és otthoni nas-ra is minden kép/video és ezekről havonta csinálok egy mentést külső vincsire.

Cégnél ahol vagyok most minden gépről időnként van teljes lemezkép mentés egy külön szerverre melynek megosztását csak az adott program látja (veeam) és teljesen más userrel fut mint a többi szerver. A szerverek is veamra mentenek erre a szerverre valamint külső hdd-re winsrv saját backupjával amely nincs megosztva és betűjel sincs hozzárendelve. Illetve eleve virtuális szerverek is futnak amelyek alapból visszaállíthatóak árnyékmásolatból. De ez a worst case, mert alapból elég szokott lenni csak az árnyékmásolat ha valami gáz van.

The Glorious Xeon Gaming Master Race :) Master of chinese x79/x99

(#9) Gargouille


Gargouille
senior tag

Cégnél ahol vagyok most minden gépről időnként van teljes lemezkép mentés egy külön szerverre melynek megosztását csak az adott program látja (veeam) és teljesen más userrel fut mint a többi szerver. A szerverek is veamra mentenek erre a szerverre valamint külső hdd-re winsrv saját backupjával amely nincs megosztva és betűjel sincs hozzárendelve. Illetve eleve virtuális szerverek is futnak amelyek alapból visszaállíthatóak árnyékmásolatból. De ez a worst case, mert alapból elég szokott lenni csak az árnyékmásolat ha valami gáz van.

Na pont egy hasonló felépítésű rendszernél vettem részt pár hete a felderítésben és a helyreállításban. Csak a tanulság kedvéért és nagy vonalakban:

A támadó bejutott a szerverekre (AD környezet, az összes szerverük kompromittálódott), Veeam agent volt a mentés külön nem domain userrel egy NAS-ra, csak a mentéseknek (ahogy nálatok), Windowsba el sem volt mentve a user. Miután legyakta az összes shadow copy-t és a fájlrendszert, kinézte a Veeam agentből a jelszót és a mentést is bedarálta.

Sajnos tehát az sem garancia, hogy nincs betűjel rendelve hozzá vagy külön usered van. Az árnyékmásolat az meg az első dolog, amit azonnal törölnek (ha nem barmolnak bele fizikailag a fájlrendszerbe, akkor persze még manuálisan van esély ezt visszacsinálni, de pokoli meló). Ha bejutottak a szerverre vagy a gépre, onnan bukta van mindennek amit el lehet érni. Ami védelmet ad, az például az elszeparált hálózat, ha a hypervisor meg a mentések (tehát az alap infrastruktúra) egy olyan másik védett hálózatban van ami semmilyen módon nem elérhetők a produktív környezetből. A mentést meg ebből a védett hálózatból érdemes csinálni akár Veeam Backup & Replication-el, meg snapshot-olni a VM-eket stb. Így akármi történik a produktív hálózatban (mert ott minden is megtörténhet), a mentés érintetlen tud maradni. Meg persze off-line mentés és verziózás. Egy külső USB HDD például teljesen jó, bármilyen primitív megoldás is.

Sajnos már rég túl vagyunk azokon az időkön, amikor csak egy sima encryptáló exe futott a memóriában és ennyi volt a támadás, ha kilőtted akkor vége is, a mostani módszerek sokkal szofisztikáltabbak.

(#10) MasterDeeJay válasza Gargouille (#9) üzenetére

Durván hangzik. Bár tűzfalon csak adott ip-kre engedek be pár külsőst az a gyenge pont. Usereknek gépéről kivéve az enyémet meg nem lehet szerverre bemenni.
Gyakoribb szerintem az user error, az ellen jól állok. Direkt támadás ellen lenne mit javítani. Bár ez kis haló 50 gép 4 szerver fele hyperv. Nem nagy célpont.

The Glorious Xeon Gaming Master Race :) Master of chinese x79/x99

További hozzászólások megtekintése...
Copyright © 2000-2021 PROHARDVER Informatikai Kft.