Ryuk – pięć godzin od pierwszego dostępu do infekcji ransomware. Case study.

19 października 2020, 16:05 | W biegu | komentarzy 6
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Pełen opis dostępny macie tutaj, a akcja rozgrywała się wyjątkowo szybko.

  • Klik w e-mailu phishingowym – dostęp na niskouprzywilejowanego użytkownika – 17:01
  • Rekonesans po sieci wewnętrznej w celu poszukiwania domeny
  • [skuteczne] odpalenie exploita na Zerologon – 19:41
  • Atak na drugi kontroler domeny
  • Binarka Ryuka została rozpylona po sieci (via RDP) – 20:29
  • Binarka Ryuka odpalona na ostatnim systemie – 21:03

Scenariusz działania

Autorzy badania wskazują, że trzeba być w stanie reagować wyjątkowo szybko (nawet 1h). Zauważcie, że tutaj bardzo istotny był brak łatki na kontroler domeny (podatność ZeroLogon), a scenariusz – dostęp na kontro usera -> zlokalizowanie kontrolera domeny -> exploit -> dostęp na Administratora Domeny można zrealizować w zasadzie błyskawicznie.

Nie zwlekajcie z łataniem.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Pawel

    Panowie, a możecie wrzucać większe obrazki? No chyba że nie macie ;]

    Odpowiedz
    • Marek

      Większy obrazek jest we wskazanym jako pełen opis, linku.

      Odpowiedz
  2. Ano

    Pokaż obrazek, zoom in (ctrl+scroll) i po sprawie

    Odpowiedz
  3. asdsad

    Wnioski?
    1. Wyłączaj kompa wychodząc z pracy.
    2. Lekko się spóźniaj przychodząc.
    :D
    Przychodzisz – koledzy już zaszyfrowani, a Ty odpalasz kompa z Hiren’s-a, zgrywasz swoje pliki na pena i stawiasz system na czysto… już nie dodając go do AD.
    .
    .
    PS Czy był już w historii ransomware, który szyfrowałby systemy unixowe? Ok, niby z Active Directory zawsze winny jest administrator, a nie same założenia systemu, ale czy nie da się zrobić czegoś totalnie idiot-proof?

    Odpowiedz

Odpowiedz