Пара слов про “Это” Опубликовано: 15.03.2013 - 10:43 Сергей Мариничев http://blog.wadmin.ru/2013/03/incident/ Не раз и не сто уже было говорено, рассказано, намазано на бутерброд и даже пережевано, то что надо хоть иногда отключать функцию “вера в авось” и начинать задумываться над тем что у вас имеется, но это так грустно… Гораздо проще плыть по течению будней а потом, когда наступит “день икс” и вы начнете разгребать результаты инцидента (взлом, вирусная эпидемия и пр.), будет очень занимательно и весьма интересно говорить что микрософт дерьмо, за такое бабло он (компьютер) должен еще и за пивом бегать, надо было ставить линукс (он мега-стабилен и надежен) и ваапще, во всем виноват Билл Гейтс. Из-за чего происходит основная масса инцидентов? Средне статистическая ситуация такова: *Устаревшие системы (есть товарищи которые еще планируют переход на Windows XP). *Дофига доменных админов (так надежнее). *Дофига локальных админов (старый софт работает только так, но при проверке выясняется что надо только дать право записи на ветку реестра). *Первые и вторые безнаказанно ходят везде где только вздумается. *Сервера в последний раз обновлялись неизвестно когда (рабочие станции тоже) и перезагружались в последний раз очень давно (потому что страшно, да и может не подняться). Примечание: Материал подготовлен по просьбе одного из коллег и является “полетом мысли” да и задолбало копаться в одном и том же. Если выше написанное есть у Вас то без тени иронии скажу, коли вас еще не поимели то это вопрос времени . Конечно, это не исчерпывающее описание, я просто не хочу размазывать, но эти пункты довольно точно описывают то что я видел, в восьми случаях из десяти, на аудитах. Не хочу никого пугать, просто приведу пару сценариев по которым, чаще всего, злоумышленники получают необходимый уровень контроля. Примечание: Товарищи, кто “в теме”, поправляйте если что. Сценарий №1 – О бедном админе замолвите слово Веруя что наш пароль “#I-admin_1980!” не подлежит взлому мы совершенно спокойно включаем свою учетку во все возможные группы – “Domain Admins”, “Enterprise Admins”. Если работа идет в рабочей группе (не удивляйтесь, воркгруппы еще живы) то на всех серверах и даже на рабочих станциях можно найти этот “железный” пароль. Итак, раз мы защищены супер-паролем то обязательно надо из под своей учетки запустить что то важное – например сервер БД. Пусть будет, так круче и работать будет быстрее. Главное пароль никогда не менять иначе что то может упасть Вектор атаки – нету его, бери что хочешь потому что все открыто. Администратор 1С, который приходит раз в неделю у нас обязательно является как минимум локальным админом. Товарищи, которые приходят обновлять “Гарант” и прочие штуки у нас точно админы, а секретарша директора у нас администратор файлового сервера только потому что вам лень настроить разрешения на общих папках. Бухгалтер у нас вообще Enterprise Admin только потому что она должна править табельные номера которые хранятся в custom-полях. Кто скажет что я буду писать дальше? Правильно – всякие гадости, которые портят настроение супер-админам. Гадость №1 Пароли от учеток под которыми запущены сервисы легко выдергиваются . Гадость №2 Про LMHash никто не помнит (хорошо если знает ) и при получении дампа вышеназванный пароль становится явным через минуту. Гадость №3 Про PTH (pass the hash) если кто то и читал то чаще всего, говорят что мол не все такие умные и что у нас “откуда это может появиться? Я всем верю…” Гадость №4 Про то что доменному админу, который заходит на рабочую станцию, напихать в секцию logon нужных “полезностей” вообще мало кто догадывается. День Хэ Приблизительный сценарий развития будет примерно таким. Суперадмин получает по почте либо фишинговое письмо (предварительно производится разведка пристрастий и пр.), открывает ссылку и злоумышленник получает доступ ко всем ресурсам. Может быть еще проще – втыкается флешка в рабочую станцию админа (она по дефолту не залочена) и пока тот на обеде ему ставится весь необходимый зоопарк инструментария. Как вариант может прийти “девочка” которая заменяет заболевшего “мальчика” который обновляет ПО “гарант”. Естественно, обновляться надо только с компьютера супер-админа и ничто не мешает ей сделать “глазки” (+ декольте + нужный размер)для того что бы лошара-админ повелся и оставил бы свое рабочее место без внимания на пару минут. Примечание: Последний приведенный случай вполне реален. Он был осуществлен в рамках тестирования на проникновение, ни один компьютер при этом не пострадал. Итого Чаще всего про взлом, если он имел цель получение информации, очень долго никто ничего не знает. Конечно, это можно назвать модным словомAPT, но так как у нас “умных” нет, факт утечки информации либо не всплывает либо обнаруживается слишком поздно. Примечание: Естественно, в сложившейся ситуации виноват микрософт фигня что антивирус Avast давно не обновлялся, то что на рабочих станциях нет обновлений уже с год тоже не повод напрягаться. Да, админ у нас проходит как мученик только потому что он так перегружен…. В основном процессом восстановления формы лица после того как выспится на клавиатуре Сценарий №2 – админов мало не бывает Второй шаблон, с которым я чаще всего встречался – если есть несколько администраторов то они автоматически включены в группу “Domain Admins” и конечно ими используются только стандартные учетные записи. В этом усматривается масса плюсов: *Я же админ? Должен быть включен “куда надо”. *Мне удобно компы админить. В этом случае вектор для атаки простой – учетные записи админов. Как правило, вторжение происходит просто, в компанию устраивается человек или он вербуется из заинтересованных лиц, который вначале производит разведку: *Получение топологии сети. *Получение информации о настройках серверов. *Получение информации о клиентских рабочих местах. *Получение версий установленного ПО. *Получение списка целевых аккаунтов. По результатам, можно начинать анализ того что можно получить: *Устаревшие приложения или операционные системы имеют ряд унаследованных проблем. *Участие в критичных группах непонятных учеток делает их целью для атаки. Дальнейшее развитие идет примерно по такому пути: *Если получен доступ администратора к рабочему месту (редко кто думает о защите конечных ПК. Как правило процентное соотношение 75-80% в “плохую” сторону) или подключен свой девайс то ничто не помешает отсканировать целевые хосты или “зарядить” свое рабочее место нужным софтом и получить пароль администратора. *Укрепляемся в сети и на серверах. *Маскируем свое прибывание. *В зависимости от целей либо уничтожаем атакованную инфраструктуру либо подчищаем за собою хвосты после того как из нее “вынуто” все необходимое. Примечание: Весь инструментарий доступен в интернете, но надежнее всего получить бэкап (как правило, он лежит на локальных дисках и доступен для чтения) и изучить его в домашних условиях. Итого Если много админов то работать они лучше от этого не станут. Сценарий №3 – разработчик не админ? Программеры ленивы и первое их требование – права локального админа на своем рабочем месте и обязательно на серверах куда они заходит. Знакомо? Вектор атаки – учетная запись разработчика. Сценариев предостаточно – от изучение деятельности целевой личности в формумах, с последующим скармливанием “полезных” ссылок, до привлечения социальных инженеров. Разработчики чаще всего “попадаются” после того как скачают архив с “подарком” от мифических коллег по цеху или после посещения “заряженных” положительной информацией сайтов. Логика проста – программер автоматом является админом и при заражении его компьютера мы вполне возможно получим доступ не только к исходному коду (иногда полезно) но и к важной для компании информации, например пароли часто хранятся в виде текстовиков, доступ к продуктивным БД и пр. Сценарий №4 – крот внутри Довольно часто, в случаях которые удавалось выявить, случался “крот” который сливал важную информацию для заинтересованных людей… Вектор атаки – все что может пригодиться, потом разберемся что именно надо. Банальное – “ща я вышлю Excel-файл со всеми секретными данными по почте”, – обнаруживается быстро, да и назвать кротом подобного сотрудника сложно, но никогда не стоит забывать что этот инцидент может быть всего лишь методикой “отвода глаз” от работы основного “крота”. На моей практике был случай когда в небольшой фирме занимающейся оптовыми поставками был инцидент связанный с “обиженными” сотрудниками которые работали в паре, один был как пушечное мясо т.е. для отвода глаз, а второй, под тщательным руководством админа от конкурентов использовал примитивные методики для получения необходимой информации. Была куча установленных троянов, перекрученные политики (среди полезностей было активировано хранение LM-хэшей. Видимо для удобства ) Ситуация безусловно очень неприятная, но исключить ее нельзя. Конечно, кто то скажет что это перерастет в паранойю, но я не раз видел как небольшие конторки, именно из-за утечек информации, теряли деньги. Что в итоге? Говорил это не раз и повторюсь снова – безопасность должна быть в голове, надеяться на то что все безопасно по умолчанию не надо. *Не надейтесь на антивирус. *Не молитесь на фразу “Работает, не трогай” и забудьте про миф что обновления вредны. *Заведите себе отдельную учетку для работы.
Либо ТС вообще не читал то, что копипастил и просто надеялся репу повысить, либо прочитал и посчитал этот текст вполне корректным и изящным, что, в свою очередь, говорит о том, что ТС надо прислушаться к совету qaz. Есть конечно еще вариант, что ТС сделал копипаст из своего блога... p.s. 2qaz Пожалуйста, избегай употребления мата в постах. p.p.s. ИМХО
