Служба безпеки попереджає українців про нову кібератаку

Понеділок, 21 серпня 2017 08:40
Служба безпеки України попереджає про можливу нову кібератаку на мережі українських установ та підприємств і просить дотримуватися розроблених рекомендацій.

Як відомо, 27 червня цього року Україна піддалась масштабній кібератаці з використанням шкідливого програмного забезпечення ідентифікованого як комп’ютерний вірус «Petya».

Під час аналізу наслідків і передумов цієї атаки було встановлено, що їй передував збір даних про підприємства України (електронні пошти, паролі до облікових записів, які використовуються підприємствами та їхніми співробітниками, реквізити доступу до командно-контрольних серверів і хеш-дані облікових записів користувачів в уражених системах та інша інформація, яка відсутня у відкритому доступі), з подальшим їх приховуванням у файлах cookies та відправленням на командний сервер.

Фахівці СБУ припускають, що саме ця інформація і була ціллю першої хвилі кібератаки та може бути використана справжніми ініціаторами як для проведення кіберрозвідки, так і в цілях подальших деструктивних акцій.

Про це свідчить виявлена фахівцями під час дослідження кібератаки «Petya» утиліта Mimikatz (інструмент, що у т.ч. реалізує функціонал Windows Credentials Editor і дозволяє отримати високопривілейовані аутентифікаційні дані з системи у відкритому вигляді), яка використовує архітектурні особливості служби Kerberos в Microsoft Active Directory з метою прихованого збереження привілейованого доступу над ресурсами домену. Робота служби Kerberos базується на обміні та верифікації так званих квитків доступу (TGT-квитків).

У регламентах з інформаційної безпеки більшості установ та організацій зміна паролю користувача krbtgt не передбачена, йдеться на сторінці СБУ.

Таким чином у зловмисників, які внаслідок проведеної кібератаки «Petya» несанкціоновано отримали адміністративні відомості, з’явилася можливість генерації умовно безстрокового TGT-квитка, виписаного на ідентифікатор вбудованого адміністратора системи (SID 500). Особливістю згаданого TGT-квитка є те, що за умов відключення скомпрометованого облікованого запису, аутентифікація по Kerberos буде легітимною та сприйматиметься системою. Для підвантаження TGT-квитка в адресний простір операційної системи root-повноваження не потрібні.

З огляду на наведене, а також враховуючи тривалий час знаходження в скомпрометованих 27.06.17 інформаційно-телекомунікаційних системах шкідливого програмного забезпечення, системним адміністраторам або уповноваженим особам з інформаційної безпеки таких систем рекомендують у найкоротший термін провести такі дії за наведеним порядком:

  • здійснити обов’язкову зміну паролю доступу користувача krbtgt;
  • здійснити обов’язкову зміну паролів доступу до всіх без винятку облікових записів в підконтрольній доменній зоні ІТС;
  • здійснити зміну паролів доступу до серверного обладнання та до програм, які функціонують в ІТС;
  • на виявлених скомпрометованих ПЕОМ здійснити обов’язкову зміну всіх паролів, які зберігались в налаштуваннях браузерів;
  • повторно здійснити зміну паролю доступу користувача krbtgt;
    перезавантажити служби KDC.

Рекомендуємо у подальшому уникати збереження в ІТС автентифікаційних даних у відкритому вигляді (використовувати для таких цілей спеціалізоване програмне забезпечення).

Перегляди 481 разів






Loading...


Додати коментар

Захисний код
Оновити

Читайте нас в соціальних мережах

Сторінка Франківчанни в FACEBOOK

Як голосував мер міста та кандидати в нардепи від франківського округу. ФОТО Поліція розпочала кримінальне провадження щодо незаконного використання виборчого бюлетеня членом виборчої комісії на Прикарпатті На Прикарпатті мотоцикл в’їхав в дорожнє огородження: загинули водій та пасажир. ФОТО Пожежа в житловому будинку на Прикарпатті забрала життя власниці На Прикарпатті прогнозують грози, град та сильний вітер На Прикарпатті блискавка вдарила в міст: бетонна конструкція обвалилася і вбила чоловіка На Прикарпатті відкрилися виборчі дільниці: що взяти з собою і чого не можна робити "Лелече гніздо": у міському парку Франківська з’явилася нова гойдалка для діток. ФОТО Жінка, яка втратила двох синів у аварії на Долинщині, теж померла На Франківщині затримали 10 нетверезих водіїв. ІНФОГРАФІКА Рятувальники ліквідували гніздо шершнів на Прикарпатті У Франківську рятувальники знімали чоловіка з 11-го поверху На Прикарпатті через ДТП вантажівка опинилася у кюветі. ФОТО\ВІДЕО Поліцейські затримали п’яного водія, який збив на смерть жінку на Яремчанщині. ФОТО/ВІДЕО У Франківську на пішохідному переході автівка збила дворічну дівчинку. ФОТО На Рожнятівщині неповнолітній викрав автомобіль, щоб покататись. ФОТО/ВІДЕО До Франківська приїде індійська монахиня, яка має дар зцілення Надзвичайники попереджають прикарпатців про грози з градом Трагедія на Прикарпатті: швидкий потяг переїхав жінку Злетіли в обрив: у Буковелі трапилася смертельна ДТП