Vírus egyszeregy: amikor az antivírus sem ment meg

2018. június 5. kedd, 09:23 • www.hirado.hu
Sokakon a telepített, minőségi szoftver és a biztonsági mentés sem segít. Az elmúlt időszakban a Makay.net rengeteg megkeresést és felkérést kapott olyan cégektől, amelyek zsarolóvírusok áldozatává váltak. A felkérések az ilyenkor szokásosnak tekinthető adat-helyreállítást, incidensvizsgálatot és új védelmi technológiák beszerzését foglalták magukban.

Twitter megosztás
Cikk nyomtatása

Csakhogy sok esetben a zsarolóvírus áldozatául esett cégek nem kívántak antivírus terméket vásárolni… ugyanis már rendelkeztek ilyen védelmi megoldásokkal.

A kérdés tehát az, hogy mégis miként következtek be ezek az incidensek, ha a vállalkozások közismert gyártók kifejezetten nekik (tehát nem otthoni felhasználásra) szánt antivírus termékeit használták? Ez azt jelenti, hogy az antivírusok sem védenek a zsarolóvírusok támadása ellen és az áldozatok kénytelenek kifizetni a több millió forintos váltságdíjakat? (Amikért aztán vagy visszakapják az adataikat, vagy nem.)

Nem véd, ha nem fut

Az említett vállalkozások informatikai infrastruktúrájának vizsgálatakor kiderült, hogy az üzemeltetők megfelelő antivírusokat alkalmaztak a munkaállomásokon és a szervereken a kártékony kódok ellen, valamint ezeket rendszeren frissítették, csakhogy kiderült, hogy a védelmi megoldások a támadások ideje alatt nem futottak.

Nem az üzemeltetők állították le, majd felejtették el újból elindítani és nem is valamilyen váratlan meghibásodás eredménye a leállás. Maguk a támadók léptek be manuálisan a rendszerekbe és állították le az antivírusok valós idejű védelmét, vagy az egész szoftvert – jellemzően a helyi idő szerinti hajnali órákban.

Az érintett szervezetek ugyanis olyan, jellemzően belsős használatra szánt hálózati szolgáltatásokat (távoli asztal, fájlszerver) nyitottak ki az internet felé, amik alapjáraton nem védettek a kibertámadásokkal szemben, így megfelelő tűzfalas védelem hiányában tulajdonképpen csak az nem próbálkozhatott a betöréssel, aki nem akart.

Ráadásul ezeket a szolgáltatásokat jellemzően olyan partnereknek nyitották ki, akik nem szívesen vacakolnak erős jelszavakkal, így a gyenge jelszavak használata, valamint a kétfaktoros beléptetés és a brute-force próbálgatásos támadások elleni védelem hiánya azt eredményezte, hogy a távoli támadók úgy jártak ki-be a rendszerekben, mintha ők is rendszergazdák lennének, akiknek joguk van a védelem deaktiválására.

A biztonsági mentéseket is titkosították

A másik tipikus probléma, hogy a biztonsági mentéseket nem a backup szerver végzi, hanem a mentendő kiszolgáló. Ez a gyakorlatban azt jelenti, hogy a legtöbb helyen nem a backup szerver jelentkezik be (meghatározott időközönként) a mentendő kiszolgálóra és húzza le az anyagokat, hanem a mentendő kiszolgáló végzi el a másolást ütemezetten egy folyamatosan csatolt hálózati tárhelyre.

WannaCry

Ez a hibás eljárás viszont csak a kiszolgáló meghibásodása esetén bekövetkező adatvesztés ellen véd, egy zsarolóvírus-támadás esetén a folyamatosan csatolt hálózati tárhelyet a kártevő ugyanolyan tárhelynek látja, mint a rendszer összes, szintén titkosításra kerülő meghajtóját.

Magyarán szólva a biztonsági mentések is áldozatul esnek.

10 jó tanács a védekezéshez

Bizalmatlanság: Attól, hogy egy ismerősünktől kaptunk e-mailt vagy üzenetet, még nem jelenti azt, hogy ő is küldte. Vigyázzunk a váratlan tartalmakkal, különösen, ha azt javasolja, hogy kattintsunk rá a linkre (legyen az bármilyen megbízható is), vagy nyissunk meg egy (ZIP, EXE, JS, HTA, DOC, DOCX, stb.) csatolmányt, ugyanis jó eséllyel kártevőt rejtenek.

Minimum elve: Az eszközeinket felhasználói jogosultságokkal használjuk és rajtuk kizárólag olyan szoftverek fussanak és azok a portok legyenek nyitva, amik feltétlenül szükségesek a mindennapi tevékenységünkhöz. Számos kártevő ugyanis olyan csatornákon (SSH, Telnet, Távsegítség, Java, Adobe Flash, böngészőbővítmények, stb.) próbál bejutni a rendszerünkbe, amiket nem, vagy csak alig használunk. Távolítsuk el, vagy tiltsuk le ezeket a potenciális veszélyforrásokat!

Biztonsági frissítések: A 2017 májusában indított WannaCry zsarolóvírus több mint 150 ország több százezer számítógépét fertőzte meg, mindössze 48 óra alatt. A sikeressége viszont nem a fejlettségében rejlett, hanem abban, hogy egy olyan Windows-sebezhetőséget használt ki a terjedéshez, amire ugyan a Microsoft már hónapokkal korábban kiadta a javítást, a felhasználók/üzemeltetők mégsem telepítették.

Védelmi szoftverek: Bár a biztonságtudatosság is szükséges, az igazi védelem megalapozásánál nem feledkezhetünk meg egy hatékony védelmi szoftver kiválasztásáról és alkalmazásáról sem, amik folyamatosan figyelik az eszközön végzett tevékenységet és futó folyamatokat, hogy a szükséges pillanatban közbeavatkozzanak, ezzel megakadályozva a kártevők és az illetéktelenek munkáját.

Védelmi hardverek, tűzfalak: Az alkalmazott antivírusok nem sokat érnek, ha a támadók képesek manuálisan bejelentkezni a hálózatunkba, és rendszergazdaként kikapcsolni azokat a hálózatra csatlakozó eszközökön. Ezért javasolt hardveres tűzfal építése az internet és a belső hálózatunk közé, hogy a támadók ne próbálkozhassanak a betöréssel.

Kétlépcsős azonosítás: Amennyiben egy adott online szolgáltatás (Facebook, Google, bank, stb.) lehetőséget biztosít a kétlépcsős (kétfaktoros) azonosítás bekapcsolására, éljünk vele! Az SMS-es azonosítás ugyanis számos esetben képes megakadályozni a kiberbűnözőket belépési adataink sikeres felhasználásában a különböző bejelentkező felületeken.

Titkosított archívum: Mivel a zsarolóvírusok jelentős része kizárólag közismert és népszerű fájlformátumokat (DOC, DOCX, XLS, XLSX, JPG, PDF, stb.) céloz, sokat segíthet a kártevők elleni védekezésben, ha egy egyedi kiterjesztéssel ellátott, titkosított archívumot használunk. Erre a VeraCrypt az egyik legmegfelelőbb eszköz, amivel nagyon erős titkosítású, meghajtóként csatoltható archívumokat hozhatunk létre, nem-létező fájlkiterjesztésekkel (pl.: CsaladiFotok.horvat)

Biztonsági mentések: A zsarolóvírusok sikeres fertőzés esetén záros határidőn belül elkezdik tevékenységüket, pusztításuk pedig azonnal felfedezhető az általuk feldobott figyelmeztetésnek és a titkosított (olvashatatlan) fájloknak köszönhetően. Ugyanakkor tudnunk kell, hogy kizárólag azokat a fájlokat titkosítják, amikhez a fertőzési folyamat során hozzáférnek. Készítsünk rendszeresen biztonsági mentéseket adatainkról manuálisan, csak a mentés idejére csatlakoztatott tárhelyre vagy kliensszoftver nélkül a felhőalapú (DropBox, Google Drive, Google Photos, Microsoft OneDrive, Amazon Drive) megoldásokra!

Kiberbiztonsági oktatás: A kártevők többsége felhasználói közreműködés eredményeként jut a rendszerbe, így a megfelelő kibervédelmi oktatás elengedhetetlen a biztonság maximalizálása érdekében.

Linux operációs rendszer: Természetesen itt nem a Linux-alapú Androidra kell gondolnunk, hanem olyan desktop rendszerekre, mint az Ubuntu, a Linux Mint, vagy a régebbi/gyengébb számítógépekre szánt Lubuntu, amikre jelenleg még meglehetősen kis számban készülnek vírusok. Ez persze nem jelenti azt, hogy egy manuálisan indított, linuxos zsarolóvírus ne lenne képes a felhasználói fájlok titkosítására, hiszen technikailag minden jogosultsága meg lesz rá.