Вы используете устаревший браузер!
Страница может отображаться некорректно.
Свяжитесь с нами Незакрытые запросы:
Пример экспертизы вирусозависимого компьютерного инцидента специалистами «Доктор Веб»
Весной 2019 года в службу технической «Доктор Веб» обратился корпоративный клиент с жалобой на проблемы в работе сервера. Нагрузка на вычислительные мощности была очень высокой и возникала словно из ниоткуда. На этом сервере был установлен Dr.Web.
Поскольку случай выглядел нехарактерно, и наши специалисты заподозрили работу вредоносного ПО (хотя сигналов об атаке от Dr.Web не поступало), к вопросу подключились эксперты компании «Доктор Веб».
Перед экспертами было поставлено несколько задач.
В рамках экспертизы были проведен анализ логов антивируса Dr.Web. Это позволило обнаружить первую зацепку и определить приложение, которое скрытно потребляло ресурсы сервера, а также способ проникновения злоумышленника в систему. Стало очевидно, что вредоносная активность была связана с работой программы известного российского разработчика, используемой клиентом.
Эксперты обратились к разработчику этой программы. Благодаря взаимодействию с ним был не только определён способ атаки, но и изобличен злоумышленник, организовавший её. Он оказался сотрудником компании-разработчика.
Полученные в ходе экспертизы данные позволили полностью восстановить картину произошедшего.
Заражение начиналось с RCE-уязвимости в легальном продукте. Через эксплойт на стороне пострадавшего клиента создавалась административная учетная запись для доступа по RDP. После этого злоумышленник вручную заходил на сервер по RDP и, используя легитимное ПО ProcessHacker, «убивал» установленный антивирус или просто отключал его напрямую через GUI — если антивирус не был защищен паролем. Таким образом, антивирусная защита оказывалась неэффективна, поскольку ее отключал человек с полномочиями администратора.
Получив доступ в систему, злоумышленник загружал на сервер троянца-майнера и запускал его. Процесс майнинга и создавал нагрузку на вычислительные мощности сервера. В последней обнаруженной версии троянца все действия по отключению антивирусов были автоматизированы.
Информацию об уязвимости специалисты «Доктор Веб» передали разработчику ПО, чтобы тот мог оперативно «залатать дыру». Разработчик передал экспертам для изучения жесткий диск со служебного компьютера подозреваемого программиста. В результате исследования этого носителя и используемых «Доктор Веб» ханипотов было обнаружено еще несколько эксплойтов. Также на диске было выявлено несколько видов ранее неизвестных антивирусу Dr.Web вредоносных программ и список жертв, атакованных аналогичным образом. Среди пострадавших оказались пользователи самых разных антивирусных продуктов. После анализа полученных исходных кодов нового вредоносного ПО вирусная база Dr.Web пополнилась новыми записями.
Благодаря экспертизе «Доктор Веб» злоумышленника выявили, изобличили и уволили. Информация о нем была передана правоохранительным органам. Однако после увольнения с работы он поменял место жительства и скрылся.
Клиент получил рекомендации по настройке антивируса Dr.Web, которые позволят не допустить повторного заражения. Стоит отметить, что если бы эти настройки были установлены изначально, наш клиент не пострадал бы, поскольку злоумышленник не смог бы отключить Dr.Web на его сервере.
Рекомендации наших экспертов заключались в следующем:
Разработчик ПО, в котором и была обнаружена критическая уязвимость, предпринял ряд важных шагов, направленных не только на исправление положения «здесь и сейчас», но и на недопущение подобных инцидентов в будущем.
Инцидент был разрешен достаточно быстро и с минимальными потерями. Клиент компании «Доктор Веб» избавился от проблемы и остался доволен работой наших экспертов, разработчик ПО принял все необходимые меры по устранению уязвимостей, а хакер встретится с полицией.
Но стоит особо отметить, что в данном случае жертва еще «легко отделалась». Злоумышленник, получив доступ в систему, устанавливал туда троянца-майнера, который «всего лишь» сильно загружал ресурсы системы, не нанося прямого урона. Поскольку речь идёт о весьма специфическом ПО, которое обычно находится на том же сервере, что и, например, приложения типа 1С, ситуация могла развиваться иначе. Так, будь на месте майнера троянец-шифровальщик (а в планах злоумышленника было и такое!), ущерб исчислялся бы огромными суммами. Работа атакованных серверов была бы остановлена, а файлы с критически важными данными – зашифрованы, и, как это часто бывает, с высокой долей вероятности без возможности восстановления.
Если произошла нештатная ситуация (пропали деньги или данные, утекли пароли к корпоративным ресурсам, компьютеры работают с перебоями и т. д.) и вы предполагаете, что причина в действиях вредоносного ПО, закажите экспертизу ВКИ в компании «Доктор Веб». 28 лет опыта в антивирусной отрасли и наши эксклюзивные методики обнаружения новейших угроз помогут разобраться в произошедшем, а наличие специального оборудования, позволяющего снимать информацию в соответствии с установленными законом процедурами, обеспечит неопровергаемую доказательную базу в суде.
