¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Vulnerables

Уязвимые

Otras ediciones de este tema (40)
  • añadir a favoritos
    Añadir a marcadores

Las vulnerabilidades de siempre

Consultas: 820 Comentarios: 7 Ranking: 13

lunes, 1 de junio de 2020

En el mes de mayo del año 2020 todo empezó por una solicitud rara a nuestro servicio de soporte:

Ahora en los servidores empezó a cambiarse la dirección DNS, por 8.8.8.8 y 9.9.9.9, aunque hay Dr.Web instalado.

En general las dos direcciones son conocidas y no son maliciosas. Pero seguro que hay un cambio no hecho por ningún administrador, y habrá que investigarlo. Y, para realizarlo, recabar la información. Vamos a usar la utilidad especial Dr.Web.

Un resultado intermediario №1. El análisis de la información recabada demostró que en la configuración del antivirus no estaba activado el escaneo de software potencialmente peligroso.

#drweb

No es la culpa del antivirus que podía haber ayudado.

Como el software de terceros penetró en el equipo de alguna forma, continuamos la investigación.

Según el informe más reciente, en Su red debe haber un servidor con dirección _____, donde se nota la actividad de red sospechosa.

Supuestamente, se genera un brute desde este servidor. Hay que hacer un escaneo completo.

¿Qué sistema operativo estaba instalado en el servidor, en Su opinión? Linux. Y, por supuesto, no había ningún antivirus porque en Linux "“no hay virus”.

Esto queda claro, analizamos la funcionalidad del software malicioso:

Un conjunto entero con brute rdp, explotación de eternalblue, escaneo en bluekeep y smbghost.

Son cosas muy conocidas. Recordamos: es la misma vulnerabilidad a través de la cual penetraba WannaCry en el año 2017.

Han pasado tantos años, pero no todos han instalado el parche, y y los malintencionados siguen penetrando a través de esta vulnerabilidad.

Primero hay que comprobar los parches en SO para que haya todas las actualizaciones de seguridad y haya un antivirus actualizado correctamente, de versión más actual.

Primero hay que instalar un parche de seguridad MS17-010. También se lanzaba para XP. No lo hay en esta estación donde ahora hay un conjunto entero de tareas y servicios maliciosos.

En general, esta actualización de seguridad pasa a través de toda la solicitud actual. En todas las estaciones primero hay que asegurarse si hay este parche instalado.

Un modo rápido de comprobarlo es averiguar la versión del archivo %systemroot%\system32\drivers\srv.sys Aquí hay un artículo con una tabla Modo 2. Comprobación por versión del archivo %systemroot%\system32\drivers\srv.sys" para todas las versiones del SO.

Compruebe la versión del archivo en relación al SO instalado en la estación, si la versión es inferior, no hay parche y primero hay que instalarlo. Si es igual o superior, hay un parche.

Su ausencia en cualquier estación de trabajo es inaceptable. Ahora vamos a ver el caso de infección en la red local o la red de la empresa. Para restringir y limitar ataques en esta red, es imprescindible que haya actualizaciones de seguridad en cada equipo.

Hasta 1 estación vulnerable pondrá toda la red en peligro. A la estación vulnerable a través de la vulnerabilidad del sistema se puede penetrar desde dentro de forma remota y ejecutar un archivo aleatorio. Por ejemplo, descargar un script, un archivo ejecutable, iniciarlos y ejecutar las funciones fijas en las mismas, y luego ya seguir navegando por la red desde este equipo. Se puede ejecutarse cualquier cosa, un brute de cuentas para el hackeo posterior de RDP, el cifrado de los datos, el robo de la información personal y privada etc.

Así mismo, las demás estaciones y servidores pueden estar protegidos del ataque desde fuera a través de EternalBlue, pero no estar protegidos de otro tipo de ataque desde la estación de su propia red.

Si el parche no se instala, hay que averiguar por qué e instalarlo, si no, no tiene sentido.

Y durante todo este periodo la estación y toda la red se somete a un peligro de un ataque más serio.

Instalamos parches y limpiamos...

Una recomendación del servicio de soporte de Doctor Web.

«No lo hay en esta estación donde ahora hay un conjunto entero de tareas y servicios maliciosos».

Y las solicitudes de este tipo son muy frecuentes.

El mismo día:

El virus penetró a cada carpeta con acceso de red público para el personal. La eliminación del archivo lo corrige solo temporalmente, el archivo vuelve a aparecer.

Además de esto, en las estaciones fue detectada una actividad sospechosa en el administrador de tareas con el mismo nombre DOC001.exe y múltiples procesos de sistema clonados que llenan toda la memoria del equipo. Al pasar a la ubicación del archivo, fue detectado el mismo archivo y un documento de texto pools.txt con un conjunto de enlaces. Los nombres de enlaces contienen palabras vinculadas al mining de la criptomoneda.

Toda la red informática funciona con errores, el acceso a los servidores donde hay programas requeridos para el trabajo supone bastantes dificultades. Todas las estaciones están en el dominio y ninguna tiene acceso simultáneo a Internet y al dominio.

También se podía evitarlo.

#Linux #antivirus #parche #características_de_infección #tecnologías_Dr.Web #vulnerabilidad

El mundo de antivirus recomienda

Se puede evitar situaciones similares si:

  1. Todos los parches están instalados.
  2. Hay un antivirus instalado en todos los equipos.
  3. No hay zonas prohibidas para el escaneo antivirus.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios