Перейти к содержанию
Krec

Помощь в расследовании

Recommended Posts

Krec

Приветствую всем.

у нас в компании произошло ЧП.. базы данных 1С "пропали", точнее вирус LockDir их куда то дел. почитал в интернете - вроде должно было шифровать, но нет и даже шифрованные данные, чтоб выслать примеры лабораторию для расшифровки.

Ну это как бы лирика.

теперь руководство мне поручил провести внутреннюю расследованию , цель - выявить виновника, кто заразил , откуда этот файл "LockDir" появился на сервере.

Как теперь понять каким образом, через какого пользователя этот вирус попал в сеть?

топология сети такова:

контроллер домена - на нем ничего такого, мелкие файлы

база данных - на нем держится 1С база данных, где клиенты работают под RDP. клиентам интернет не доступен под RDP, но у них есть доступ к расшаренным папкам этого же сервера.

Интернет раздает отдельный сервер - IDECO ICS.

Все сервера - Windows 2003 R2

корпоративный антивирус - Kaspersky Small Office Security

клиенты - 30 клиентов на windows XP, 10 на windows 7

Почитал в интернете, что этот вирус шары только шифрует, как бы "специализирован" как раз на таких случаях, как у нас.

база была где то 500-800 мб, но куда то исчез. по идее архив должен был находится в этой же папке, но ничего нет там..

96e300ef74ce.jpg

Сам эта вся папка весит около 1.2мб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

вопрос кстати, какой смысл создавать бэкап базы 1с на этом же сервере, в этой же папке? в случае падения сервера ни бэкапа ни рабочей базы нет в доступе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
вопрос кстати, какой смысл создавать бэкап базы 1с на этом же сервере, в этой же папке? в случае падения сервера ни бэкапа ни рабочей базы нет в доступе.

Бекап на другом месте хранится. сейчас вопрос не об этом кстати.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Eagle
Приветствую всем.

у нас в компании произошло ЧП.. базы данных 1С "пропали", точнее вирус LockDir их куда то дел. почитал в интернете - вроде должно было шифровать, но нет и даже шифрованные данные, чтоб выслать примеры лабораторию для расшифровки.

Ну это как бы лирика.

теперь руководство мне поручил провести внутреннюю расследованию , цель - выявить виновника, кто заразил , откуда этот файл "LockDir" появился на сервере.

Как теперь понять каким образом, через какого пользователя этот вирус попал в сеть?

топология сети такова:

контроллер домена - на нем ничего такого, мелкие файлы

база данных - на нем держится 1С база данных, где клиенты работают под RDP. клиентам интернет не доступен под RDP, но у них есть доступ к расшаренным папкам этого же сервера.

Интернет раздает отдельный сервер - IDECO ICS.

Все сервера - Windows 2003 R2

корпоративный антивирус - Kaspersky Small Office Security

клиенты - 30 клиентов на windows XP, 10 на windows 7

Почитал в интернете, что этот вирус шары только шифрует, как бы "специализирован" как раз на таких случаях, как у нас.

база была где то 500-800 мб, но куда то исчез. по идее архив должен был находится в этой же папке, но ничего нет там..

Сам эта вся папка весит около 1.2мб.

1. Необходимо посмотреть владельца этих файлов

2. Уточнить количество пользователей обладающих правами создания в этой папке

3. Проверяется ли почтовый/http трафик на вирусы?

4. Доступ к USB/DVD есть?

5. У каспера есть функция белого списка софта, она включена?

для начала хватит

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Krec, сочувствую :( Lockdir очень активно гуляет, хотя уже и не является вредоносным hi-end. Вот тут посмотрите инфу http://virusinfo.info/showthread.php?t=120806 (там много ключей собрано и рецептов). Рекомендую туда закинуть пост, возможно кто-то сталкивался с затиранием баз уже.

Как теперь понять каким образом, через какого пользователя этот вирус попал в сеть?

Обычно эта штуку закидывают жертвам через email. Кто-то заражается и далее шифруются файлы, включая шары.

Если следовать этой логике, то смотреть нужно почтовый сервер и список лиц, у кого вообще был доступ к месту хранения баз.

1. Необходимо посмотреть владельца этих файлов

2. Уточнить количество пользователей обладающих правами создания в этой папке

3. Проверяется ли почтовый/http трафик на вирусы?

4. Доступ к USB/DVD есть?

5. У каспера есть функция белого списка софта, она включена?

для начала хватит

Сейчас речь идет о расследовании, а не об аудите безопасности. Поэтому п. 2-5 немного не о том.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
1. Необходимо посмотреть владельца этих файлов

2. Уточнить количество пользователей обладающих правами создания в этой папке

3. Проверяется ли почтовый/http трафик на вирусы?

4. Доступ к USB/DVD есть?

5. У каспера есть функция белого списка софта, она включена?

для начала хватит

файл заразился по сети.. сканировал компьютеры в сети, в помощью liveCD Dr.Web. Удивительно, но на каждом компле минимум 2 зловреда нашел. Хотя везде стоят каспера.. Эхх...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

Сергей Ильин

да.. так и есть. хотя знайте, шифрованных данных так и не нашел. мне кажется какой то сбой произошел и не шифровались данные.

хотя пропали только база 1С, просто пропала. из 10-и расшаренных папках в 4-х только присутствует этот lockdir, но все файлы в этих папках нормально открываются. А на остальных 6 папках нету lockdir.

каким то странным образом заразился.

этот файл был запущен ночью на выходные, что и казалось странным. посмотрел логи сервера, обнаружил, что извне кто то подключился по RDP.. одним словом - взломан или сервер или каким то образом стырили учетные данные . Брутить как бы не думаю, т.к.:

а) на границе стоит IDECO, вроде должен блокировать брутфорс атаки

б) логин пользователя состоит из фамилии и инициалов, типа vasilevAS

ну в общем, после сканирование несткольких компьютеров мне стало явно, что глупая затея уже что то найти точно, т.к. на всех компьютерах есть И троян И бэкдур И adware. решили все почистить, перестановить и повысить уревень безопасности. По этому поводу создам новую тему и там обсудим.

спасибо всем за внимание!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Хорошо если сбой - во временных пусто?

Сергей Ильин, оная зловредина только шифрует или тащить себе всё может.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Сергей Ильин, оная зловредина только шифрует или тащить себе всё может.

Я не слышал о том, чтобы lockdir тащил базы себе. Зачем они злоумышленникам? Да и лишние следы это. Тут схема классического вымогательства.

пропали только база 1С, просто пропала. из 10-и расшаренных папках в 4-х только присутствует этот lockdir, но все файлы в этих папках нормально открываются. А на остальных 6 папках нету lockdir.

каким то странным образом заразился.

А не пробовали восстановить удаленные файлы? Можно же с харда восстановить удаленные файлы, если они не затерты ничем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
А не пробовали восстановить удаленные файлы? Можно же с харда восстановить удаленные файлы, если они не затерты ничем.

Это неоправданная трата времени..

слава богу резервные копии баз были в другом носителе, в временно сделали папку, там развернули базы и сейчас оттуда работают клиенты. Просто в начале думал обычное вымогательство и думал выслать примеры в лабораторию, чтоб они пароль "генерировали" , вот и начал искать базы, так и не нашлись. ну да и хрен с ним. какая то аномалия.. нахрена вымогателю удалить базу? Я думал он просто перенес в другую папку, но видимо нигде нет.. и каким то образом они удалились.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Я думал он просто перенес в другую папку, но видимо нигде нет.. и каким то образом они удалились.

Просто преступники тоже говнокодят, а тестируют они код на реальных жертвах. Поэтому результат иногда может быть самым неожиданным :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
Просто преступники тоже говнокодят, а тестируют они код на реальных жертвах. Поэтому результат иногда может быть самым неожиданным :)

:D ну это только радует пока что)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg
Просто преступники тоже говнокодят, а тестируют они код на реальных жертвах. Поэтому результат иногда может быть самым неожиданным :)

Довелось столкнутся с вирусом-шифровальщиком Евромайдан в одной конторе.

http://virusinfo.info/showthread.php?t=156048

Юзер в панике примчался и показал вымогательную табличку.

Смотрим. Все файлы на месте, ничего не пошифрованно. WTF?

Загнали это говно на эмуляторы. Оказалось, что при старте, вирус пытался тупо извлечь свое тело-шифроватора в PF, а юзер сидел под Пользователем.

Соответсвенно модуль шифратора не записался и не запустился, а табличку создать смог. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Загнали это говно на эмуляторы. Оказалось, что при старте, вирус пытался тупо извлечь свое тело-шифроватора в PF, а юзер сидел под Пользователем.

Соответсвенно модуль шифратора не записался и не запустился, а табличку создать смог.

Забавно :) Еще один повод работать под юзером.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.2.7.
    • demkd
      ---------------------------------------------------------
       4.15.7
      ---------------------------------------------------------
       o Исправлена старая ошибка проверки ЭЦП: "Not a cryptographic message or the cryptographic message is not formatted correctly"
         проявляющаяся в некоторых системах.

       o Обновлена база известных файлов.

       
    • demkd
      ---------------------------------------------------------
       4.15.6
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой автоматически не замораживались потоки внедренные в uVS,
         если их код НЕ принадлежал одной из загруженных DLL.

       o Добавлена поддержка английского интерфейса при запуске под Win2k.

       
    • demkd
      Иногда спрашивают, как загрузиться в командную строку без диска, я постоянно забывают дополнить Общий FAQ.
      И вот наконец-то я про это вспомнил:
      Q: Как запустить uVS с командной строки Windows без использования загрузочного диска/флешки для работы с НЕактивной системой.
         (!) Для текущей версии uVS работа с командной строки доступна только для 32-х битных систем. (что бы работало в x64 системах, нужно делать uVS x64 и это запланировано).
         1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
         2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
         3. Выберите админскую учетную запись и введите для нее пароль.
         4. Запустите start.exe из каталога uVS с командной строки.
            (!) Обычно система расположена на диске D.
                Например: uVS лежит в каталоге С:\uvs (в командной строке это будет D:\uvs)
                Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
                1. d:
                2. cd d:\uvs
                3. start.exe
         5. Выбрать каталог Windows (обычно D:\Windows).
         Если у вас Windows 7 и младше, то в меню вы можете попасть только нажав F8 при перезагрузке системы
         (!) Использовать msconfig для этого не рекомендуется, система может не загрузиться после его использования.
         Для младших систем доступен только безопасный режим с поддержкой командной строки, т.е. система будет активна.
       
    • demkd
      ---------------------------------------------------------
       4.15.5
      ---------------------------------------------------------
       o Обновлена функция трансляции переменных окружения USERPROFILE, HOMEPATH, LOCALAPPDATA, APPDATA.
         Значения этих переменных теперь зависят от того где физически находится lnk файл.
         Теперь с разбором lnk файлов будет меньше проблем, но я все же рекомендую удалять ссылки
         на отсутствующие объекты только под текущем пользователем.

       o Исправлена функция разбора путей не содержащих букву диска.

       o Исправлена функция разбора аргументов rundll32.

       o Обновлен start.exe.
         o Обновлен интерфейс.
         o Изменена кнопка по умолчанию, теперь это "запуск под текущим пользователем".
         o Исправлена ошибка: при определенных параметрах повторный запуск uVS в режиме "до запуска эксплорера" был невозможен.
         
×