Комментарии 12
После ввода учётных данных и нажатии на кнопку входа автоматически начинается загрузка исполняемого файла «vpn-client-2.1.1.exe», мимикрирующего под легитимный VPN-клиент, и перенаправление на страницу для ввода кода 2FA.
При ручном запуске этого исполняемого файла (автоматически он не запускается)
А разве в корпоративной почте допустимо скачивать и запускать ехе-файлы пришедшие во вложениях? Ну ладно там pdf какие можно скачивать и просматривать, а тут-то.. Вообще установка сторонних программ (vpn-client ) разве может осуществляться самими пользователями? По идее это должен делать сисадмин или как там его, специально обученный сотрудник.
Пункты 2-5 это вообще безумие какое-то.. со стороны Windows видимо.
А разве в корпоративной почте допустимо скачивать и запускать ехе-файлы пришедшие во вложениях?
попробуйте запретить обычному юзеру винды (не локальному админу) запускать .exe/.com/.cmd/.ps1/.dll/.js/.wsh/.lnk/.vb* из его собственного профиля.
при этом:
1) использовать только ntfs пермиссии (политики настраивать трудно и они обходятся).
2) чтобы на вновь создаваемые поддиректории и файлы (тем же юзером) пермиссии наследовались ваши а не дефолтные.
3) чтобы юзер не смог перенастроить пермиссии обратно (а если он владелец файлов и директорий - он сможет).
4) чтобы при применении шаблона безопасность локально или через политику ваши пермиссии не испортились и не вернулись в дефолт.
5) чтобы при создании нового профиля с нуля ... впрочем все уже понятно ?
разумеется есть идеи как запретить. но нет сырья и кадров.
pdf какие можно скачивать и просматривать
изнутри злого .pdf (.xls/.doc/.etc) будет скачано и запущено.
политики настраивать трудно и они обходятся
Ну, что трудно — это не повод не делать, это работа сисадмина. А как обходится SRP?
Exe не во вложении пришел, написано сотрудник перешёл по ссылке и ввёл свои учетные данные, после этого началось скачивание
Если сотрудник может скачивать с интернета и запускать файлы, от этого конечно не защитишься.
При ручном запуске этого исполняемого файла (автоматически он не запускается)
Выполняется HTTP GET-запрос на ресурс 5.8.38[.]130:8000 для получения вредоносной DLL-библиотеки: HTTP://5.8.38[.]130:8000/REMOTE.DLL.
Вот тоже момент. С какого перепугу любой процесс может лезть в инет и скачивать что попало незаметно для пользователя. И потом незаметно запускать скачанное.
(Тут наверное фаейрвол должен быть с белым списком. Но это конечно от строгости зависит. )
Еще лучше: сотрудник может скачать .exe Оялюблю эту политику безопасности.
попробуйте запретить обычному юзеру винды (не локальному админу) запускать .exe/.com/.cmd/.ps1/.dll/.js/.wsh/.lnk/.vb* из его собственного профиля.
Речь идет только о вложениях в письма. Это же почтовый клиент, в нем же можно запретить жмакать на вложения с определенным расширением? Или нельзя? В Яндекс-почте есть папка спам, в письмах, которые туда попадают отключены ссылки и вложения не открыть.
PDF-ки тоже можно только на просмотр открывать. Вот есть же сервисы "просмотр pdf онлайн", закачиваешь туда свой pdf и смотришь. Там же ничего вредного из пдфки не запускается, иначе их уже всех бы положили.
Вот читаешь, что фишинговые письма самый опасный способ, непонятно почему от них не защищаются. Неужели так сложно?
Речь идет только о вложениях в письма.
перед открытием (запуском) вложения сохраняются. как раз внутрь профиля.
то же почтовый клиент, в нем же можно запретить
есть много альтернативных почтовых клиентов. желательно покрыть их все.
Вот есть же сервисы "просмотр pdf онлайн", закачиваешь туда свой pdf и смотришь.
утечка. хотя если сделать свой селф-хостед сервис (и совместить его с sandbox), и чтобы почтовый сервер принудительно туда откидывал вложения то может что-то и выйдет. шифрованием и эл.подписью писем придется пожертвовать.
Как говорили древние философы - The dupe is not the mammoth, the dupe will never die out
Читатели кидают статью в закладки, чтобы провести обучение с сотрудниками и показать, как предотвратить фишинг, да??? 🤪
Спасибо за живой опыт. Ребята из SOC молодцы, задетектили и предотвратили развитие атаки. Я правильно понимаю из короткого предложения, что в данном случае у вас сработал мониторинг ВПН-подключений (кто, откуда с какой тачки) и за счет аномалий уже дальше раскручивали, а что происходило дальше.
Очень много коллеги пишут в комментариях, что можно было настроить систему защиты в конечных станциях пожестче, собственно с этим согласен, но как вы и сами верно написали, что это требует ресурсов. Белые списки на процессы, правила локального фаервола - в зрелом виде это мало где есть, часто об этом пишут, якобы с удивлением - "как, у вас нет правил фаервола на каждый из процессов в системе". Но те, кто шел этим путем знают, какой крови ежедневно это стоит в мире когда софт постоянно меняется.
От себя конечно добавлю, что самой легкие во внедрении меры, которые дадут заметный эффект:
1) запрет на фаерволе на закачку исполняемых фалов (exe, dll, скрипты). Сделать легко, но отсекает многое
2) внедрить базовый SRP/AppLocker. Отлично работает против методов соц. инженерии, как было у вас. Все, что запускается должно запускаться либо с защищенных от записи пользователем папок, либо если это например папка профиля, то все такого рода утилиты должны быть известны. В данном случае не прийдется мучатся с грануляцией фаловых прав, а решится через applocker груповые политики. Это тоже не очень дорого по ресурсам, но все же требует уже постоянного внимания. В качестве временной меры, можно внедрить SRP в режиме аудита и мониторить в СИЕМ появление чего-то неизвестного, не блокируя работу пользователя.
3) защита от APT-техник обхода SRP уже требует спец. инструментов, - хорошего антивируса, где можно написать свои custom policy для процессов. Таких антивирусов очень мало. Это требует большого ресурса как в разработке, так для дальнейшего поддержания.
4) правила фаервола для локальных процессов. Очень эффективная мера, но самая тяжелая по ресурсам на внедрение и поддержку. Постоянные сюрпризы после изменений версий ПО. Самая большая проблема - фирменный софт от микрософт (Тимс и т.п.)
Попались на удочку: как мы заплатили 100 тысяч рублей за фишинг