IT (vovney) wrote in ru_sysadmins,
IT
vovney
ru_sysadmins

Category:

Петя

Подводим итоги #petya #ransomware

Подробности:
https://www.facebook.com/altaranenco/posts/1364113076990535?pnref=story
https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759
http://blog.talosintelligence.com/2017/06/worldwide–ransomware–variant.html?utm_source=dlvr.it&utm_medium=twitter&utm_campaign=Feed:+feedburner/Talos+(Talos+Blog)&m=1
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
https://www.ptsecurity.com/ru-ru/about/news/283092/

Суть:
Помимо MS17–010 EternalBlue делали через стандартный APT spread: mimikatz, lsadump кредов, wmi, psexec, что и вызвало такую массовость, потому что уж MS17–010 почти все закрыли уже после Wannacry

Как защититься, вкратце, базовое.

Изучить общее про PtH Attack.
https://www.google.ru/search?q=microsoft+pth+guide

Внедрить уже наконец LAPS
выглядит страшно, по факту внедряется за час)
https://technet.microsoft.com/en-us/mt227395.aspx?f=255&MSPPError=-2147217396

Никогда и нигде не использовать креды Domain Admin, кроме собственно DC (и максимум Exchange)

Пиздить helpdesk ногами, чтобы использовали сложные пароли для wa- админских учеток с правами на рабочих станциях.

Самим использовать сложные пароли для серверных sa- учеток.

Задать себе наконец вопрос: какого хуя у нас открыты C$ от всех на всех??? Сделать нормальную сегментацию сети.

Использовать Secure Admin Workstation в работе, либо на отдельной физической машинке, либо на виртуалке с защитой.

Ну, и бэкапы конечно.

UPD. Конечн же, совсем забыл.

Нахуй PCI-DSS с их 90 днями на патчинг. Хорошей практикой считается установка critical и security заплаток максимум через 2 недели после MS Patch Tuesday.
App Whitelisting обязателен, хотя бы SRP
Антивирус - нужен на КАЖДОМ объекте, где это технически возможно.

Tags: windows
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 37 comments