Перейти к содержанию
Krec

Помощь в расследовании

Recommended Posts

Krec

Приветствую всем.

у нас в компании произошло ЧП.. базы данных 1С "пропали", точнее вирус LockDir их куда то дел. почитал в интернете - вроде должно было шифровать, но нет и даже шифрованные данные, чтоб выслать примеры лабораторию для расшифровки.

Ну это как бы лирика.

теперь руководство мне поручил провести внутреннюю расследованию , цель - выявить виновника, кто заразил , откуда этот файл "LockDir" появился на сервере.

Как теперь понять каким образом, через какого пользователя этот вирус попал в сеть?

топология сети такова:

контроллер домена - на нем ничего такого, мелкие файлы

база данных - на нем держится 1С база данных, где клиенты работают под RDP. клиентам интернет не доступен под RDP, но у них есть доступ к расшаренным папкам этого же сервера.

Интернет раздает отдельный сервер - IDECO ICS.

Все сервера - Windows 2003 R2

корпоративный антивирус - Kaspersky Small Office Security

клиенты - 30 клиентов на windows XP, 10 на windows 7

Почитал в интернете, что этот вирус шары только шифрует, как бы "специализирован" как раз на таких случаях, как у нас.

база была где то 500-800 мб, но куда то исчез. по идее архив должен был находится в этой же папке, но ничего нет там..

96e300ef74ce.jpg

Сам эта вся папка весит около 1.2мб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

вопрос кстати, какой смысл создавать бэкап базы 1с на этом же сервере, в этой же папке? в случае падения сервера ни бэкапа ни рабочей базы нет в доступе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
вопрос кстати, какой смысл создавать бэкап базы 1с на этом же сервере, в этой же папке? в случае падения сервера ни бэкапа ни рабочей базы нет в доступе.

Бекап на другом месте хранится. сейчас вопрос не об этом кстати.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Eagle
Приветствую всем.

у нас в компании произошло ЧП.. базы данных 1С "пропали", точнее вирус LockDir их куда то дел. почитал в интернете - вроде должно было шифровать, но нет и даже шифрованные данные, чтоб выслать примеры лабораторию для расшифровки.

Ну это как бы лирика.

теперь руководство мне поручил провести внутреннюю расследованию , цель - выявить виновника, кто заразил , откуда этот файл "LockDir" появился на сервере.

Как теперь понять каким образом, через какого пользователя этот вирус попал в сеть?

топология сети такова:

контроллер домена - на нем ничего такого, мелкие файлы

база данных - на нем держится 1С база данных, где клиенты работают под RDP. клиентам интернет не доступен под RDP, но у них есть доступ к расшаренным папкам этого же сервера.

Интернет раздает отдельный сервер - IDECO ICS.

Все сервера - Windows 2003 R2

корпоративный антивирус - Kaspersky Small Office Security

клиенты - 30 клиентов на windows XP, 10 на windows 7

Почитал в интернете, что этот вирус шары только шифрует, как бы "специализирован" как раз на таких случаях, как у нас.

база была где то 500-800 мб, но куда то исчез. по идее архив должен был находится в этой же папке, но ничего нет там..

Сам эта вся папка весит около 1.2мб.

1. Необходимо посмотреть владельца этих файлов

2. Уточнить количество пользователей обладающих правами создания в этой папке

3. Проверяется ли почтовый/http трафик на вирусы?

4. Доступ к USB/DVD есть?

5. У каспера есть функция белого списка софта, она включена?

для начала хватит

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Krec, сочувствую :( Lockdir очень активно гуляет, хотя уже и не является вредоносным hi-end. Вот тут посмотрите инфу http://virusinfo.info/showthread.php?t=120806 (там много ключей собрано и рецептов). Рекомендую туда закинуть пост, возможно кто-то сталкивался с затиранием баз уже.

Как теперь понять каким образом, через какого пользователя этот вирус попал в сеть?

Обычно эта штуку закидывают жертвам через email. Кто-то заражается и далее шифруются файлы, включая шары.

Если следовать этой логике, то смотреть нужно почтовый сервер и список лиц, у кого вообще был доступ к месту хранения баз.

1. Необходимо посмотреть владельца этих файлов

2. Уточнить количество пользователей обладающих правами создания в этой папке

3. Проверяется ли почтовый/http трафик на вирусы?

4. Доступ к USB/DVD есть?

5. У каспера есть функция белого списка софта, она включена?

для начала хватит

Сейчас речь идет о расследовании, а не об аудите безопасности. Поэтому п. 2-5 немного не о том.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
1. Необходимо посмотреть владельца этих файлов

2. Уточнить количество пользователей обладающих правами создания в этой папке

3. Проверяется ли почтовый/http трафик на вирусы?

4. Доступ к USB/DVD есть?

5. У каспера есть функция белого списка софта, она включена?

для начала хватит

файл заразился по сети.. сканировал компьютеры в сети, в помощью liveCD Dr.Web. Удивительно, но на каждом компле минимум 2 зловреда нашел. Хотя везде стоят каспера.. Эхх...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

Сергей Ильин

да.. так и есть. хотя знайте, шифрованных данных так и не нашел. мне кажется какой то сбой произошел и не шифровались данные.

хотя пропали только база 1С, просто пропала. из 10-и расшаренных папках в 4-х только присутствует этот lockdir, но все файлы в этих папках нормально открываются. А на остальных 6 папках нету lockdir.

каким то странным образом заразился.

этот файл был запущен ночью на выходные, что и казалось странным. посмотрел логи сервера, обнаружил, что извне кто то подключился по RDP.. одним словом - взломан или сервер или каким то образом стырили учетные данные . Брутить как бы не думаю, т.к.:

а) на границе стоит IDECO, вроде должен блокировать брутфорс атаки

б) логин пользователя состоит из фамилии и инициалов, типа vasilevAS

ну в общем, после сканирование несткольких компьютеров мне стало явно, что глупая затея уже что то найти точно, т.к. на всех компьютерах есть И троян И бэкдур И adware. решили все почистить, перестановить и повысить уревень безопасности. По этому поводу создам новую тему и там обсудим.

спасибо всем за внимание!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Хорошо если сбой - во временных пусто?

Сергей Ильин, оная зловредина только шифрует или тащить себе всё может.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Сергей Ильин, оная зловредина только шифрует или тащить себе всё может.

Я не слышал о том, чтобы lockdir тащил базы себе. Зачем они злоумышленникам? Да и лишние следы это. Тут схема классического вымогательства.

пропали только база 1С, просто пропала. из 10-и расшаренных папках в 4-х только присутствует этот lockdir, но все файлы в этих папках нормально открываются. А на остальных 6 папках нету lockdir.

каким то странным образом заразился.

А не пробовали восстановить удаленные файлы? Можно же с харда восстановить удаленные файлы, если они не затерты ничем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
А не пробовали восстановить удаленные файлы? Можно же с харда восстановить удаленные файлы, если они не затерты ничем.

Это неоправданная трата времени..

слава богу резервные копии баз были в другом носителе, в временно сделали папку, там развернули базы и сейчас оттуда работают клиенты. Просто в начале думал обычное вымогательство и думал выслать примеры в лабораторию, чтоб они пароль "генерировали" , вот и начал искать базы, так и не нашлись. ну да и хрен с ним. какая то аномалия.. нахрена вымогателю удалить базу? Я думал он просто перенес в другую папку, но видимо нигде нет.. и каким то образом они удалились.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Я думал он просто перенес в другую папку, но видимо нигде нет.. и каким то образом они удалились.

Просто преступники тоже говнокодят, а тестируют они код на реальных жертвах. Поэтому результат иногда может быть самым неожиданным :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
Просто преступники тоже говнокодят, а тестируют они код на реальных жертвах. Поэтому результат иногда может быть самым неожиданным :)

:D ну это только радует пока что)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg
Просто преступники тоже говнокодят, а тестируют они код на реальных жертвах. Поэтому результат иногда может быть самым неожиданным :)

Довелось столкнутся с вирусом-шифровальщиком Евромайдан в одной конторе.

http://virusinfo.info/showthread.php?t=156048

Юзер в панике примчался и показал вымогательную табличку.

Смотрим. Все файлы на месте, ничего не пошифрованно. WTF?

Загнали это говно на эмуляторы. Оказалось, что при старте, вирус пытался тупо извлечь свое тело-шифроватора в PF, а юзер сидел под Пользователем.

Соответсвенно модуль шифратора не записался и не запустился, а табличку создать смог. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Загнали это говно на эмуляторы. Оказалось, что при старте, вирус пытался тупо извлечь свое тело-шифроватора в PF, а юзер сидел под Пользователем.

Соответсвенно модуль шифратора не записался и не запустился, а табличку создать смог.

Забавно :) Еще один повод работать под юзером.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×