- Luck Dragon: Asszociációs játék. :)
- MasterDeeJay: Mindkét irányból bedugható USB-A?
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- Magga: PLEX: multimédia az egész lakásban
- hcl: Kelj fel komám, ne aludjál
- Lalikiraly: Derail Valley
- sziku69: Fűzzük össze a szavakat :)
- GoodSpeed: Ugrás 32 GB RAM-ról 64 GB RAM-ra: Corsair Vengeance CMK64GX5M2B6000Z30
- sziku69: Szólánc.
- Yézi: 10 év
Új hozzászólás Aktív témák
-
#16
Gargouille
őstag
MasterDeeJay
#13
Gargouille
őstag
válasz
MasterDeeJay
#13
üzenetére
Jól mondja HCL kolléga, jumpszerver a célszerű ha már mindenképp kell. Bár telefonról én egészen biztosan semmilyen módon nem tennék elérhetővé szervert.
-
#14
hcl
titán
MasterDeeJay
#13
válasz
MasterDeeJay
#13
üzenetére
Ilyenkor akkor már érdemesebb egy jumpserver. Nekem a home szerveren van már csak SSH (nem standard porton), azon keresztül bejutok, onnantól kezdve van VNC is.
Meg ha már valamit be kell engedni, akkor azt nem standard portra. Sokkal kevesebb úgy a bepróbálkozás.
-
#13
MasterDeeJay
veterán
hcl
#12
-
Semmit nem látnál egy zsaroló által megtámadott gépen, mert annak a lényege, hogy letitkosítja a file-okat. Ha olyat szívsz be, amire van visszaállító cucc, akkor azt lehet használni, de ez nem életbiztosítás.
@MasterDeeJay : Az a baj, hogy ha valahogyan el lehet érni a te géped, arról simán megszerezheti valaki a jogaidat. Onnantól úgy megy be a szerverre, mint te.
Ez a separation of duties elve, miszerint az ilyen, kintről elérhető gépek csak egyféle dolgot csinálnak, illetve nem zsúfolunk indokolatlanul sok feladatkört egy gépre.
Az sem érdekes, hogy ott ülsz-e. Egy ügyes támadót nem veszel észre a gép fizikai konzoljáról.@Gargouille : Az Exchange sem véletlenül most pattant ki.
-
#11
Gargouille
őstag
MasterDeeJay
#10
Gargouille
őstag
válasz
MasterDeeJay
#10
üzenetére
A cég - ahol ez történt - kb 20 fő. Sajnos nem a mérettől függ, a lehetőség számít. Tudod, mint a besurranó tolvaj, nem nézi, hogy kinek a lakása, ha nyitva az ajtó akkor már bent is van és viszi ami mozdítható. Érdemes a legmeredekebb forgatókönyvekre készülni, bármilyen túlzásnak is hangzik.
Van egy gyanúm - de tényleg csak gyanú - amúgy, hogy a SolarWinds ügyből kifolyólag (az érintettektől) rossz kezekbe kerülhettek bizonyos 0day sebezhetőségek és/vagy olyan sérülékenységek, amiket most aktívan elkezdtek kihasználni (nem a Red Team Tools-ra gondolok). Kb tavaly év vége óta egyre több olyan esetet látok-hallok, amiket korábban nem nagyon.
-
#10
MasterDeeJay
veterán
Gargouille
#9
válasz
Gargouille
#9
üzenetére
Durván hangzik. Bár tűzfalon csak adott ip-kre engedek be pár külsőst az a gyenge pont. Usereknek gépéről kivéve az enyémet meg nem lehet szerverre bemenni.
Gyakoribb szerintem az user error, az ellen jól állok. Direkt támadás ellen lenne mit javítani. Bár ez kis haló 50 gép 4 szerver fele hyperv. Nem nagy célpont. -
#9
Gargouille
őstag
Gargouille
őstag
Cégnél ahol vagyok most minden gépről időnként van teljes lemezkép mentés egy külön szerverre melynek megosztását csak az adott program látja (veeam) és teljesen más userrel fut mint a többi szerver. A szerverek is veamra mentenek erre a szerverre valamint külső hdd-re winsrv saját backupjával amely nincs megosztva és betűjel sincs hozzárendelve. Illetve eleve virtuális szerverek is futnak amelyek alapból visszaállíthatóak árnyékmásolatból. De ez a worst case, mert alapból elég szokott lenni csak az árnyékmásolat ha valami gáz van.
Na pont egy hasonló felépítésű rendszernél vettem részt pár hete a felderítésben és a helyreállításban. Csak a tanulság kedvéért és nagy vonalakban:
A támadó bejutott a szerverekre (AD környezet, az összes szerverük kompromittálódott), Veeam agent volt a mentés külön nem domain userrel egy NAS-ra, csak a mentéseknek (ahogy nálatok), Windowsba el sem volt mentve a user. Miután legyakta az összes shadow copy-t és a fájlrendszert, kinézte a Veeam agentből a jelszót és a mentést is bedarálta.
Sajnos tehát az sem garancia, hogy nincs betűjel rendelve hozzá vagy külön usered van. Az árnyékmásolat az meg az első dolog, amit azonnal törölnek (ha nem barmolnak bele fizikailag a fájlrendszerbe, akkor persze még manuálisan van esély ezt visszacsinálni, de pokoli meló). Ha bejutottak a szerverre vagy a gépre, onnan bukta van mindennek amit el lehet érni. Ami védelmet ad, az például az elszeparált hálózat, ha a hypervisor meg a mentések (tehát az alap infrastruktúra) egy olyan másik védett hálózatban van ami semmilyen módon nem elérhetők a produktív környezetből. A mentést meg ebből a védett hálózatból érdemes csinálni akár Veeam Backup & Replication-el, meg snapshot-olni a VM-eket stb. Így akármi történik a produktív hálózatban (mert ott minden is megtörténhet), a mentés érintetlen tud maradni. Meg persze off-line mentés és verziózás. Egy külső USB HDD például teljesen jó, bármilyen primitív megoldás is.
Sajnos már rég túl vagyunk azokon az időkön, amikor csak egy sima encryptáló exe futott a memóriában és ennyi volt a támadás, ha kilőtted akkor vége is, a mostani módszerek sokkal szofisztikáltabbak.
-
#8
MasterDeeJay
veterán
Pár ilyen zsarolóvírusos titkosítással már találkoztam.
Pl régebben azaz talán a kezdetekkor volt egy olyan amely a fileokat titkosította majd locky kiterjesztést adott hozzá és egy txt filet az adott könyvtárba hogy ide fizess ha meg akarod kapni a vissza kódoló kulcsot. Maga a kód addig futott amíg a gép ment de nem terjedt át más gépre szerencsére csak egy adott gép titkosítgatta a hálózati megosztásokon a fileokat.Szervereknél fileszűrés és figyelést szoktak beállítani. Ha egy felhasználó valamiért létrehoz egy ilyen figyelt kiterjesztést azt egyből ledobja a megosztásról, vagy ha egyszerre túl sok adatot akar mozgatni arról is figyelmeztetés érkezik a rendszermókusnak.
Szerencsére ha ezek a vírusok ha nem a szerverről indulnak akkor könnyedén visszaállíthatóak minimális vagy 0 veszteséggel a fileelőzményekből.
A legnagyobb gond akkor van ha valami luk van a rendszerben, azaz nem egy program indít támadást egy user gépéről hanem közvetlenül a szervert érik el (pl: bejönnek RDP-vel) vagy admin szinten futnak, na ilyenkor van bukó és lehet hozzányúlni a nagyobb mentésekhez és ez bizony már járhat leállásokkal.Home usernek egyszerűbb ha csinál egy külső vincsire rendszeresen mentést. Illetve több tárhelyet használ egyszerre. Nálam pl a telefonokról megy fel google felhőbe, és otthoni nas-ra is minden kép/video és ezekről havonta csinálok egy mentést külső vincsire.
Cégnél ahol vagyok most minden gépről időnként van teljes lemezkép mentés egy külön szerverre melynek megosztását csak az adott program látja (veeam) és teljesen más userrel fut mint a többi szerver. A szerverek is veamra mentenek erre a szerverre valamint külső hdd-re winsrv saját backupjával amely nincs megosztva és betűjel sincs hozzárendelve. Illetve eleve virtuális szerverek is futnak amelyek alapból visszaállíthatóak árnyékmásolatból. De ez a worst case, mert alapból elég szokott lenni csak az árnyékmásolat ha valami gáz van.
-
Egon
nagyúr
-
#6
Gargouille
őstag
Dilikutya
#4
Gargouille
őstag
Nem csak emailben lehet "benyelni", az ellen könnyen lehet védekezni viszonylag. Ez még pár éve volt a fő tendencia. Mostanra már aktívan kihasznált sebezhetőségeken keresztül és célzott támadással is bőségesen jönnek. Például a legutóbbi Exchange sebezhetőségről bizonyára hallottál, de ugyanígy aktívan keresik a kint hagyott RDP-n elérhető gépeket, a már nem supportált (pl. Win XP, Win7 stb.) oprendszereket, régi SAP rendszereket, Teamviewer elérésket (de láttam már Chrome Remote Desktopon is), és így tovább. És persze az adathalászatok során összegyűjtött info-kat is felhasználják, hogy személyre szabottan küldjenek levelet, amik már nem olyan béna spam-ek, amiket fél kilométerről felismersz csukott szemmel, hanem akár olyan emailek, amiben előzményként ott van mondjuk egy korábbi valós levelezésed valakivel...
Nyilván ha odafigyel az ember (főképp otthoni környezetben), akkor ezek jól védhetők, de egy vállalat például sokkal nehezebb helyzetben van ilyen szempontból. Több az ember, bonyolultabb a rendszer, sok a szolgáltatás, sok a külső elérés, több a hibalehetőség.
Tény, hogy kell hozzá az is, hogy valahol hibázzon az ember vagy legyen rés a rendszerben, de ez azért a legtöbb esetben adott.
-
#5
moongoose
őstag
Gargouille
#3
válasz
Gargouille
#3
üzenetére
Részedről kaptam a legpontosabb megfogalmazást.
Erre lettem volna kíváncsi. -
Dilikutya
félisten
Én csak azt nem értem, hogy lehet zsarolóvírust, vagy bármi ilyet benyelni.
Ismeretlen feladó zavaros levele: kuka
Telefonszolgáltató számlája, amihez semmi közöm: kuka
Tört magyarságú nigériai fivérem szomorú sorsa: kukaStb, stb.
A mostanában futó csomagküldős SMS is jól példázza, az emberek a saját dolgaikról sincsenek képben.
Lövésem sincs, hol lehet zsarolóvírushoz jutni. Gyanús mellékletek is csak az ezeréves freemail címem spam mappájában landolnak, de a freemail-ről tudjuk, hogy a T-Online/Telekom elég trehány ilyen téren, egy időben a szolgáltatós címemre is jött szemét, pedig semmire se használtam. Értelmesen használt Gmail-en viszont már semmi, a spam is üres.
-
#3
Gargouille
őstag
Gargouille
őstag
Elég zavarosan fogalmaztad meg, de ha jól értelmezem, azt szeretted volna megkérdezni, hogy ha egy zsarolóvírus letitkosítja a merevlemezed tartalmát és ezután kiveszed a merevlemezt a gépből és átrakod mondjuk egy másikba, akkor ott mit látnál?
Ha ez a kérdés, akkor pontosan az a válasz amit írtak a többiek is, ugyanúgy a letitkosított fájlokat látnád. A zsarolóvírusok (magától a fertőzés mechanizmusától eltekintve) lényegében végigmennek a fájlrendszeren és minden egyes fájlt (vagy csak bizonyos fájltípusokat) fognak és letitkosítanak, ami prosztón megfogalmazva annyit tesz, hogy "krikszkrakszokra" cserélik a tartalmát, a változást pedig vissza is írják a lemezre. Ha ez megtörtént, akkor már akármivel nézegetheted, vagy rakhatod másik gépbe, ugyanazt fogod látni.
Sok ransomware-hez viszont készítettek dekódert, vagyis ha szerencséd van és olyan zsarolóvírust nyaltál be, amihez készítettek dekódert, akkor vissza tudod fejteni a titkosítást és ezáltal az adataidat.
A No More Ransom Projekt oldalán megtalálod ezeket a visszafejtő eszközöket.
Az egyetlen biztos megoldás, ha mentésed van, mégpedig off-line mentésed is az adatokról.
A fájlokat fizikailag kódolják, ergo másik gépbe rakva is pontosan ugyanazt fogod látni. Nem véletlenül állt az egész UNIX is napokig.
Új hozzászólás Aktív témák
- Akciós áron, Lenovo ThinkPad T14s Gen2 Core i5-1135G7/16GB RAM/512GB SSD/14" FULL HD IPS kijelző
- ASUS TUF Gaming FX505DT
- ALKALMI VÉTEL : AORUS GAMER laptop /// 17" 2K 240 HZ /// i7 13700H /// 16GB DDR5 /// RTX 4070 8GB
- Huawei watch GT5
- Lenovo Thinkpad P53S - 15.6" - I7 8565U 1.80GHZ- 16Gb ram - Nvidia P520
- VÉGKIÁRUSÍTÁS - REFURBISHED - HP Elite / ZBook Thunderbolt 3 docking station
- Frederick Forsythe: Isten ökle (nem olvasott)
- Samsung Galaxy A13 64GB, Kártyafüggetlen, 1 Év Garanciával
- BESZÁMÍTÁS! MSI B450M R5 5500 16GB DDR4 512GB SSD RX 5700XT 8GB Rampage SHIVA Chieftec 600W
- AKCIÓ! Apple Macbook Pro 16" 2019 i9 9980HK 64GB DDR4 1TB SSD Radeon Pro 5500M garanciával
Állásajánlatok
Cég: Liszt Ferenc Zeneművészeti Egyetem
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest