Hirdetés

2024. március 28., csütörtök

Gyorskeresés

Hozzászólások

(#1) Domonkos


Domonkos
Ármester

Egyszeru: Ne reaktiv, hanem proaktiv modszereid legyenek a vedekezesre.

Peldaul:
Legyen offline backup-od a fontos dolgokrol; igy virus eseten az adatok visszaallitasan kivul nincs sok egyeb dolgod es kicsi a kockazat.

Gender of electrical connectors is defined by the pins.

(#2) Csorbi


Csorbi
addikt

Utána kéne nézned hogy működnek a zsarolóvírusok, mert baromira látszik, hogy halvány kis lövésed sincs a működésükről. :) A fájlokat fizikailag kódolják, ergo másik gépbe rakva is pontosan ugyanazt fogod látni. Nem véletlenül állt az egész UNIX is napokig.

(#3) Gargouille


Gargouille
őstag

Elég zavarosan fogalmaztad meg, de ha jól értelmezem, azt szeretted volna megkérdezni, hogy ha egy zsarolóvírus letitkosítja a merevlemezed tartalmát és ezután kiveszed a merevlemezt a gépből és átrakod mondjuk egy másikba, akkor ott mit látnál?

Ha ez a kérdés, akkor pontosan az a válasz amit írtak a többiek is, ugyanúgy a letitkosított fájlokat látnád. A zsarolóvírusok (magától a fertőzés mechanizmusától eltekintve) lényegében végigmennek a fájlrendszeren és minden egyes fájlt (vagy csak bizonyos fájltípusokat) fognak és letitkosítanak, ami prosztón megfogalmazva annyit tesz, hogy "krikszkrakszokra" cserélik a tartalmát, a változást pedig vissza is írják a lemezre. Ha ez megtörtént, akkor már akármivel nézegetheted, vagy rakhatod másik gépbe, ugyanazt fogod látni.

Sok ransomware-hez viszont készítettek dekódert, vagyis ha szerencséd van és olyan zsarolóvírust nyaltál be, amihez készítettek dekódert, akkor vissza tudod fejteni a titkosítást és ezáltal az adataidat.

A No More Ransom Projekt oldalán megtalálod ezeket a visszafejtő eszközöket.

Az egyetlen biztos megoldás, ha mentésed van, mégpedig off-line mentésed is az adatokról.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

(#4) Dilikutya


Dilikutya
félisten

Én csak azt nem értem, hogy lehet zsarolóvírust, vagy bármi ilyet benyelni.
Ismeretlen feladó zavaros levele: kuka
Telefonszolgáltató számlája, amihez semmi közöm: kuka
Tört magyarságú nigériai fivérem szomorú sorsa: kuka

Stb, stb.

A mostanában futó csomagküldős SMS is jól példázza, az emberek a saját dolgaikról sincsenek képben.

Lövésem sincs, hol lehet zsarolóvírushoz jutni. Gyanús mellékletek is csak az ezeréves freemail címem spam mappájában landolnak, de a freemail-ről tudjuk, hogy a T-Online/Telekom elég trehány ilyen téren, egy időben a szolgáltatós címemre is jött szemét, pedig semmire se használtam. Értelmesen használt Gmail-en viszont már semmi, a spam is üres.

Nem vagyok perverz, csak haladok a korral. (Még mindig: Rock&roll feeling baby, rock&roll feeling.....)

(#5) moongoose válasza Gargouille (#3) üzenetére


moongoose
őstag
LOGOUT blog

Részedről kaptam a legpontosabb megfogalmazást. :R
Erre lettem volna kíváncsi.

Mindenki jó valamire. Ha másra nem, hát elrettentő példának. "Chasing Spiders and overheat"

(#6) Gargouille válasza Dilikutya (#4) üzenetére


Gargouille
őstag

Nem csak emailben lehet "benyelni", az ellen könnyen lehet védekezni viszonylag. Ez még pár éve volt a fő tendencia. Mostanra már aktívan kihasznált sebezhetőségeken keresztül és célzott támadással is bőségesen jönnek. Például a legutóbbi Exchange sebezhetőségről bizonyára hallottál, de ugyanígy aktívan keresik a kint hagyott RDP-n elérhető gépeket, a már nem supportált (pl. Win XP, Win7 stb.) oprendszereket, régi SAP rendszereket, Teamviewer elérésket (de láttam már Chrome Remote Desktopon is), és így tovább. És persze az adathalászatok során összegyűjtött info-kat is felhasználják, hogy személyre szabottan küldjenek levelet, amik már nem olyan béna spam-ek, amiket fél kilométerről felismersz csukott szemmel, hanem akár olyan emailek, amiben előzményként ott van mondjuk egy korábbi valós levelezésed valakivel...

Nyilván ha odafigyel az ember (főképp otthoni környezetben), akkor ezek jól védhetők, de egy vállalat például sokkal nehezebb helyzetben van ilyen szempontból. Több az ember, bonyolultabb a rendszer, sok a szolgáltatás, sok a külső elérés, több a hibalehetőség.

Tény, hogy kell hozzá az is, hogy valahol hibázzon az ember vagy legyen rés a rendszerben, de ez azért a legtöbb esetben adott.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

(#7) Egon válasza Dilikutya (#4) üzenetére


Egon
nagyúr

Röviden: LOL.
Hosszabban: az előző munkahelyemen egy idős kollegina egy vidéki kis színház honlapját meglátogatva (!) nyelt be zsarolóvírust (mint utóbb kiderült). A weblapot korábban feltörték, kártékony kódot helyeztek el rajta, ami lefutott a gépén. Ennyike.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

(#8) MasterDeeJay

Pár ilyen zsarolóvírusos titkosítással már találkoztam.
Pl régebben azaz talán a kezdetekkor volt egy olyan amely a fileokat titkosította majd locky kiterjesztést adott hozzá és egy txt filet az adott könyvtárba hogy ide fizess ha meg akarod kapni a vissza kódoló kulcsot. Maga a kód addig futott amíg a gép ment de nem terjedt át más gépre szerencsére csak egy adott gép titkosítgatta a hálózati megosztásokon a fileokat.

Szervereknél fileszűrés és figyelést szoktak beállítani. Ha egy felhasználó valamiért létrehoz egy ilyen figyelt kiterjesztést azt egyből ledobja a megosztásról, vagy ha egyszerre túl sok adatot akar mozgatni arról is figyelmeztetés érkezik a rendszermókusnak.
Szerencsére ha ezek a vírusok ha nem a szerverről indulnak akkor könnyedén visszaállíthatóak minimális vagy 0 veszteséggel a fileelőzményekből.
A legnagyobb gond akkor van ha valami luk van a rendszerben, azaz nem egy program indít támadást egy user gépéről hanem közvetlenül a szervert érik el (pl: bejönnek RDP-vel) vagy admin szinten futnak, na ilyenkor van bukó és lehet hozzányúlni a nagyobb mentésekhez és ez bizony már járhat leállásokkal.

Home usernek egyszerűbb ha csinál egy külső vincsire rendszeresen mentést. Illetve több tárhelyet használ egyszerre. Nálam pl a telefonokról megy fel google felhőbe, és otthoni nas-ra is minden kép/video és ezekről havonta csinálok egy mentést külső vincsire.

Cégnél ahol vagyok most minden gépről időnként van teljes lemezkép mentés egy külön szerverre melynek megosztását csak az adott program látja (veeam) és teljesen más userrel fut mint a többi szerver. A szerverek is veamra mentenek erre a szerverre valamint külső hdd-re winsrv saját backupjával amely nincs megosztva és betűjel sincs hozzárendelve. Illetve eleve virtuális szerverek is futnak amelyek alapból visszaállíthatóak árnyékmásolatból. De ez a worst case, mert alapból elég szokott lenni csak az árnyékmásolat ha valami gáz van.

(#9) Gargouille


Gargouille
őstag

Cégnél ahol vagyok most minden gépről időnként van teljes lemezkép mentés egy külön szerverre melynek megosztását csak az adott program látja (veeam) és teljesen más userrel fut mint a többi szerver. A szerverek is veamra mentenek erre a szerverre valamint külső hdd-re winsrv saját backupjával amely nincs megosztva és betűjel sincs hozzárendelve. Illetve eleve virtuális szerverek is futnak amelyek alapból visszaállíthatóak árnyékmásolatból. De ez a worst case, mert alapból elég szokott lenni csak az árnyékmásolat ha valami gáz van.

Na pont egy hasonló felépítésű rendszernél vettem részt pár hete a felderítésben és a helyreállításban. Csak a tanulság kedvéért és nagy vonalakban:

A támadó bejutott a szerverekre (AD környezet, az összes szerverük kompromittálódott), Veeam agent volt a mentés külön nem domain userrel egy NAS-ra, csak a mentéseknek (ahogy nálatok), Windowsba el sem volt mentve a user. Miután legyakta az összes shadow copy-t és a fájlrendszert, kinézte a Veeam agentből a jelszót és a mentést is bedarálta.

Sajnos tehát az sem garancia, hogy nincs betűjel rendelve hozzá vagy külön usered van. Az árnyékmásolat az meg az első dolog, amit azonnal törölnek (ha nem barmolnak bele fizikailag a fájlrendszerbe, akkor persze még manuálisan van esély ezt visszacsinálni, de pokoli meló). Ha bejutottak a szerverre vagy a gépre, onnan bukta van mindennek amit el lehet érni. Ami védelmet ad, az például az elszeparált hálózat, ha a hypervisor meg a mentések (tehát az alap infrastruktúra) egy olyan másik védett hálózatban van ami semmilyen módon nem elérhetők a produktív környezetből. A mentést meg ebből a védett hálózatból érdemes csinálni akár Veeam Backup & Replication-el, meg snapshot-olni a VM-eket stb. Így akármi történik a produktív hálózatban (mert ott minden is megtörténhet), a mentés érintetlen tud maradni. Meg persze off-line mentés és verziózás. Egy külső USB HDD például teljesen jó, bármilyen primitív megoldás is.

Sajnos már rég túl vagyunk azokon az időkön, amikor csak egy sima encryptáló exe futott a memóriában és ennyi volt a támadás, ha kilőtted akkor vége is, a mostani módszerek sokkal szofisztikáltabbak.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

(#10) MasterDeeJay válasza Gargouille (#9) üzenetére

Durván hangzik. Bár tűzfalon csak adott ip-kre engedek be pár külsőst az a gyenge pont. Usereknek gépéről kivéve az enyémet meg nem lehet szerverre bemenni.
Gyakoribb szerintem az user error, az ellen jól állok. Direkt támadás ellen lenne mit javítani. Bár ez kis haló 50 gép 4 szerver fele hyperv. Nem nagy célpont.

(#11) Gargouille válasza MasterDeeJay (#10) üzenetére


Gargouille
őstag

A cég - ahol ez történt - kb 20 fő. Sajnos nem a mérettől függ, a lehetőség számít. Tudod, mint a besurranó tolvaj, nem nézi, hogy kinek a lakása, ha nyitva az ajtó akkor már bent is van és viszi ami mozdítható. Érdemes a legmeredekebb forgatókönyvekre készülni, bármilyen túlzásnak is hangzik.

Van egy gyanúm - de tényleg csak gyanú - amúgy, hogy a SolarWinds ügyből kifolyólag (az érintettektől) rossz kezekbe kerülhettek bizonyos 0day sebezhetőségek és/vagy olyan sérülékenységek, amiket most aktívan elkezdtek kihasználni (nem a Red Team Tools-ra gondolok). Kb tavaly év vége óta egyre több olyan esetet látok-hallok, amiket korábban nem nagyon.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

(#12) hcl


hcl
félisten
LOGOUT blog (1)

Semmit nem látnál egy zsaroló által megtámadott gépen, mert annak a lényege, hogy letitkosítja a file-okat. Ha olyat szívsz be, amire van visszaállító cucc, akkor azt lehet használni, de ez nem életbiztosítás.

@MasterDeeJay : Az a baj, hogy ha valahogyan el lehet érni a te géped, arról simán megszerezheti valaki a jogaidat. Onnantól úgy megy be a szerverre, mint te.
Ez a separation of duties elve, miszerint az ilyen, kintről elérhető gépek csak egyféle dolgot csinálnak, illetve nem zsúfolunk indokolatlanul sok feladatkört egy gépre.
Az sem érdekes, hogy ott ülsz-e. Egy ügyes támadót nem veszel észre a gép fizikai konzoljáról.

@Gargouille : Az Exchange sem véletlenül most pattant ki.

[ Szerkesztve ]

Mutogatni való hater díszpinty

(#13) MasterDeeJay válasza hcl (#12) üzenetére

Igaz csak sajnos gyakran kell akár telefonról elérnem a szervereket. Dwservice-t használok távelérésre. Teamviewer már leszedtem mert folyamatosan támadták.

(#14) hcl válasza MasterDeeJay (#13) üzenetére


hcl
félisten
LOGOUT blog (1)

Ilyenkor akkor már érdemesebb egy jumpserver. Nekem a home szerveren van már csak SSH (nem standard porton), azon keresztül bejutok, onnantól kezdve van VNC is.

Meg ha már valamit be kell engedni, akkor azt nem standard portra. Sokkal kevesebb úgy a bepróbálkozás.

[ Szerkesztve ]

Mutogatni való hater díszpinty

(#15) Gargouille válasza hcl (#12) üzenetére


Gargouille
őstag

Az Exchange sem véletlenül most pattant ki.

Hát nekem is ez az érzésem. :D

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

(#16) Gargouille válasza MasterDeeJay (#13) üzenetére


Gargouille
őstag

Jól mondja HCL kolléga, jumpszerver a célszerű ha már mindenképp kell. Bár telefonról én egészen biztosan semmilyen módon nem tennék elérhetővé szervert.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

Copyright © 2000-2024 PROHARDVER Informatikai Kft.