Служба безпеки попереджає українців про нову кібератаку

Понеділок, 21 серпня 2017 08:40
Служба безпеки України попереджає про можливу нову кібератаку на мережі українських установ та підприємств і просить дотримуватися розроблених рекомендацій.

Як відомо, 27 червня цього року Україна піддалась масштабній кібератаці з використанням шкідливого програмного забезпечення ідентифікованого як комп’ютерний вірус «Petya».

Під час аналізу наслідків і передумов цієї атаки було встановлено, що їй передував збір даних про підприємства України (електронні пошти, паролі до облікових записів, які використовуються підприємствами та їхніми співробітниками, реквізити доступу до командно-контрольних серверів і хеш-дані облікових записів користувачів в уражених системах та інша інформація, яка відсутня у відкритому доступі), з подальшим їх приховуванням у файлах cookies та відправленням на командний сервер.

Фахівці СБУ припускають, що саме ця інформація і була ціллю першої хвилі кібератаки та може бути використана справжніми ініціаторами як для проведення кіберрозвідки, так і в цілях подальших деструктивних акцій.

Про це свідчить виявлена фахівцями під час дослідження кібератаки «Petya» утиліта Mimikatz (інструмент, що у т.ч. реалізує функціонал Windows Credentials Editor і дозволяє отримати високопривілейовані аутентифікаційні дані з системи у відкритому вигляді), яка використовує архітектурні особливості служби Kerberos в Microsoft Active Directory з метою прихованого збереження привілейованого доступу над ресурсами домену. Робота служби Kerberos базується на обміні та верифікації так званих квитків доступу (TGT-квитків).

У регламентах з інформаційної безпеки більшості установ та організацій зміна паролю користувача krbtgt не передбачена, йдеться на сторінці СБУ.

Таким чином у зловмисників, які внаслідок проведеної кібератаки «Petya» несанкціоновано отримали адміністративні відомості, з’явилася можливість генерації умовно безстрокового TGT-квитка, виписаного на ідентифікатор вбудованого адміністратора системи (SID 500). Особливістю згаданого TGT-квитка є те, що за умов відключення скомпрометованого облікованого запису, аутентифікація по Kerberos буде легітимною та сприйматиметься системою. Для підвантаження TGT-квитка в адресний простір операційної системи root-повноваження не потрібні.

З огляду на наведене, а також враховуючи тривалий час знаходження в скомпрометованих 27.06.17 інформаційно-телекомунікаційних системах шкідливого програмного забезпечення, системним адміністраторам або уповноваженим особам з інформаційної безпеки таких систем рекомендують у найкоротший термін провести такі дії за наведеним порядком:

  • здійснити обов’язкову зміну паролю доступу користувача krbtgt;
  • здійснити обов’язкову зміну паролів доступу до всіх без винятку облікових записів в підконтрольній доменній зоні ІТС;
  • здійснити зміну паролів доступу до серверного обладнання та до програм, які функціонують в ІТС;
  • на виявлених скомпрометованих ПЕОМ здійснити обов’язкову зміну всіх паролів, які зберігались в налаштуваннях браузерів;
  • повторно здійснити зміну паролю доступу користувача krbtgt;
    перезавантажити служби KDC.

Рекомендуємо у подальшому уникати збереження в ІТС автентифікаційних даних у відкритому вигляді (використовувати для таких цілей спеціалізоване програмне забезпечення).

Перегляди 547 разів






Loading...


Додати коментар

Захисний код
Оновити

Читайте нас в соціальних мережах

Сторінка Франківчанни в FACEBOOK

46 нелегалів: на Прикарпатті завершилася операція "Мігрант" Довірливі громадяни продовжують потрапляти у пастки шахраїв На Прикарпатті смертність значно перевищує народжуваність На Косівщині перекинувся ЗІЛ з деревом. Загинув водій День відмови від паління, або чим шкідливий нікотин У Франківську на Коновальця спіймали квартирних злодіїв (ФОТО) У Франківську в музеї Небесної Сотні з`явилась експозиція присвячена Сергію Морозу. ФОТО Прокуратура вимагатиме, щоб муніципальних вартових, яких взяли на хабарі, тримали під вартою Кабмін зобов'язали переглянути розмір прожиткового мінімуму На Прикарпатті відкрили меморіал працівникам лісової галузі, які загинули на війні. ФОТО Франківець розшукує свідків викрадення автівки. ФОТО "Люди мають побачити це на практиці": у ВР розповіли, коли буде референдум щодо продажу землі іноземцям У Франківську вшанували загиблих на Майдані та в АТО/ООС. ФОТО Діти вміють дивувати: патрульні завітали в один із садочків Франківська. ФОТО Запрацював новий онлайн-інструмент «Доступні ліки»: як користуватися та знайти аптеки У Франківську карета швидкої допомоги застрягла в заторі. ФОТО/ВІДЕО Різдвяний піст 2019/2020: дата, традиції, страви та чого категорично не можна робити в цей період Військова прокуратура судитиме ексдиректора франківського котельно-зварювального заводу за привласнення авто До Дня Гідності Джамала презентувала кліп на пісню до фільму "Ціна правди" У франківському торговому центрі знижки Чорної п’ятниці триватимуть цілий тиждень