?

Log in

No account? Create an account
Криптолокеры - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Криптолокеры [Jul. 1st, 2015|03:43 pm]
ArkanoiD
[Tags|, , ]

У меня тут от кучки дискуссий в социальных сетях очередной раз слегка кровоточат глаза. На этот раз на тему криптолокеров.

Люди на ПОЛНОМ СКОТСКОМ СЕРЬЕЗЕ обсуждают, насколько от криптолокеров помогает всякая advanced antimalware, защита от 0-day через сэндбоксинг и профилирование, белые списки приложений, вот это вот все.

ААААААААА!!!!!

Мои попытки объяснить, что это все решения для компаний, зрелость которых в ИТ и ИБ минимум на два очевидных уровня выше, чем та, при которой может беспокоить криптолокер, не приводят ни к чему.

И да, еще есть люди, которые верят, что проблемы решаются покупкой чего-то. И что менять бизнес-процессы ИБ никто не пустит, а вот денег купить это что-то, пусть задорого и без разумной отдачи, найти куда легче.
linkReply

Comments:
[User Picture]From: mds
2015-07-01 12:48 pm (UTC)
я наверное не понимаю твоей идеи.
У меня перед глазами пример нескольких довольно развитых с т.з. зрелости ИБ крупных и не очень лавок, где криптолокеры все же беспокоют. Настолько, что админам приходится морщить ум и выстраивать эшелонированные подпорки для сохранения данных. Не настолько, чтобы они спать не могли, но достаточно, чтоб они об этом думали.
(Reply) (Thread)
[User Picture]From: arkanoid
2015-07-01 12:50 pm (UTC)
Погоди, но как?

"Довольно развитые" подразумевают, что на рабочей станции вообще ничего более ценного, чем работа за один день, не хранится в принципе. Так что "избавление от криптолокера" это заливка стандартного образа админами.

Вообще криптолокер это такой хороший звоночек: "у нас где-то большой проеб в ИБ, но к счастью, атакующий оказался безобиден"

Edited at 2015-07-01 12:51 pm (UTC)
(Reply) (Parent) (Thread)
[User Picture]From: el_loko
2015-07-01 12:52 pm (UTC)
криптолокер запросто шифрует данные на сетевых папках, которые у этих пользователей таки есть
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: zinal
2015-07-01 01:02 pm (UTC)
Возьмем в качестве примера гипотетическую лавку с неплохим уровнем зрелости ИБ, но таки эксплуатирующую некое количество серверов под Windows Server. Или даже серверов под RedHat Linux - нынче "красную шляпу" тоже ринулось ломать немалое количество "черных шляп".

Так вот ИБ этой гипотетической лавки вполне могут беспокоить недоразвитые идиоты, способные на рабочем компе запустить вирусняк, пришедший извне через почту и замаскированный, например, под офисный документ. Который, например, эксплуатирует свежую дыру в офисном пакете, на которую применяемый антивирус еще не научился реагировать. Далее есть корпоративная сеть, через которую доступны те же самые сервера.

Дальше рассказывать ведь смысла нету?
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: mds
2015-07-01 01:12 pm (UTC)
как уже сказали - сетевые диски. Их много, даже если СЭД в наличии.
Плюс - всевозможные варианты стыка между этой лавкой и ее внешними корреспондентами. У которых обычно драконы и псиглавцы на mail.ru, "счастливые флэшки курьером" и прочая и прочая.
СЭД тут не поможет, т.к. кроме рабочих документов по процессу есть еще открытая переписка и пр.
Мало-мало добавляют собственные выездные продаваны и консультанты, внешние исполнители.
Заметно доставляют топы, как обычно, но все же реже, чем еще пару лет назад.

Инкрементальный бэкап - не панацея в таких условиях:
1. он не всегда успевает - "суточный бэкап стал занимать 27 часов"
2. он запросто накроет данные, которые наполовину уже закодированы, и в этом фарше придется разбираться админу.

В основном мозги они морщат как раз на тему раннего предупреждения - следят за файловой активностью тем или иным способом.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: shaman007
2015-07-01 01:29 pm (UTC)
Они не понимают, как ты не понимаешь!
(Reply) (Thread)
From: bowhill
2015-07-01 02:47 pm (UTC)
В принципе, криптолокер похож на ситуацию «пользователь случайно удалил». Разница в проблеме массового обслуживания.
(Reply) (Thread)
From: karpion
2015-07-01 07:46 pm (UTC)
Пользователь не удалит столько и сразу.
(Reply) (Parent) (Thread)
From: bowhill
2015-07-01 08:42 pm (UTC)
Вы, кажется, не верите в наших людей?

Пользователь может удалить достаточно, чтобы запустить процедуру восстановления.
(Reply) (Parent) (Thread)
[User Picture]From: egorfine
2015-07-01 02:59 pm (UTC)
Слушай, люди покупают абонемент в спортзал и не ходят вообще, зато они чувствуют глубокое удовлетворение от принадлежности к ЗОЖ.
(Reply) (Thread)
From: Aceler [yandex.ru]
2015-07-01 03:29 pm (UTC)
> И да, еще есть люди, которые верят, что проблемы решаются покупкой чего-то. И что менять бизнес-процессы ИБ никто не пустит, а вот денег купить это что-то, пусть задорого и без разумной отдачи, найти куда легче.

Тысячи их.
(Reply) (Thread)
[User Picture]From: scif_yar
2015-07-01 03:38 pm (UTC)
>>Мои попытки объяснить, что это все решения для компаний, зрелость которых в ИТ и ИБ минимум на два очевидных уровня выше, чем та, при которой может беспокоить криптолокер
-
проеб 100.000 фоточек на усб винте - не повод для беспокойства ?
(Reply) (Thread)
[User Picture]From: blacklion
2015-07-03 03:57 pm (UTC)
100000 фоточек на усб винде в фирме с развитой ИТ и ИБ-инфраструктурой?! Вы серьёзно!?
(Reply) (Parent) (Thread)
[User Picture]From: scif_yar
2015-07-03 04:06 pm (UTC)
Я про то, что ценность 100к фоток для отдельной девочки очень высока.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: doxliak
2015-07-19 10:29 am (UTC)
фоточки бывают очень разные. 100000 фоточек нужные определеному отделу проебанные в определенный момент могут накрыть волосатой писей контракт и прибыль за полгодика.
(Reply) (Parent) (Thread)
[User Picture]From: stifff
2015-07-01 03:44 pm (UTC)
Я вот не настоящий сварщик, но разве криптованные файлы не детектятся по сигнатурам? Вернее по отсутствию оных в файлах? Ну и по энтропии.

Если у юзера слишком резко начало изменяться файло, по сравнению с тем, что лежит на бэкапах — как бы сигнал.
(Reply) (Thread)
[User Picture]From: scif_yar
2015-07-01 04:28 pm (UTC)
>>но разве криптованные файлы не детектятся по сигнатурам?
-
чего детектим-то ? каждое обращение по сети "записать в файл А от начала до *** " ?
на скорости это как скажется ?
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: e1am0
2015-07-01 03:47 pm (UTC)
да один фиг тока версионность файлов спасёт от проёба. ну и как тут уже отметили -- надо непроебать увеличение объёма бэкапа резкое. плохо будет, когда эта хрень начнёт потихоньку гадить. одна надежда, что не сможет
(Reply) (Thread)
[User Picture]From: scif_yar
2015-07-01 04:30 pm (UTC)
>>надо непроебать увеличение объёма бэкапа резкое
-
окей. Прошел суточный бекап, размер резко вырос.
проебаны ли документы ко времени начала бекапа ?
(Reply) (Parent) (Thread)
[User Picture]From: e1am0
2015-07-01 04:55 pm (UTC)
я ж там всё написал:
1. пока эти локеры туповаты и булком всё шифруют чё могут. на этом их пока и можно ловить
2. в случае обнаружения такого индикатора проводим расследование и уповаем на версионность файлов, если гавно случилось
(Reply) (Parent) (Thread)
From: instantmanager
2015-07-02 06:38 am (UTC)
А вот например мы бэкапим каждый день, файло поехало шифроваться. Юзер тупой как пень обнаруживает это через неделю, но уходит в отпуск еще на две. По возвращению даже самый старый бэкап - трэш.

Тоже самое с редкоменяющимися и малопопулярными файлами на серверах.

Выходит что кроме собственно бэкапа нужна еще и сигнализация. А это и будет то самое antimalware которой вы проклинаете.
(Reply) (Thread)
[User Picture]From: cdplayer
2015-07-02 08:35 am (UTC)
Интересно, кстати, а Bromium не поможет?
(Reply) (Thread)
[User Picture]From: arkanoid
2015-07-02 09:35 am (UTC)
Поможет, но, эээ, это, разумеется, тоже обойдется в бОльшие деньги, чем изнчитожить root cause.
(Reply) (Parent) (Thread)
[User Picture]From: cdplayer
2015-07-02 09:37 am (UTC)
"root cause" as in "stupid motherfuckers clicking on random shit"? Ну-ну.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: goodspider
2015-07-19 07:26 pm (UTC)
Сейчас я радуюсь тому, что не знаю кто такие криптолокеры и в чем беда)
(Reply) (Thread)