» »

Globalna okužba se širi, proizvodnja ustavljena tudi v Revozu

1 2
3
4

Horejšio ::

Možno je tudi, da te zezne posodobitev zvočne kartice :) https://www.extremetech.com/computing/2...

A_A ::

SeMiNeSanja je izjavil:

Glede na to, da je killswitch domena zdaj aktivna, morda v ponedeljek ne bo česa hujšega. Komur je zakriptalo podatke, je to najbrž opazil že v petek. Ostali imajo inicialni downloader še nekje v svojih milboxih.

Problem pa bi znal nastati, če bo avtor virusa popravil kodo, da bo spremenil killswitch domeno ali jo celo odstranil iz kode.
V tem primeru bi inicialni downloader lahko v ponedeljek sprožil nov val okužb. Ampak za zdaj še nisem zasledil kakšnih poročil o kakem wannacry 3.0.


kaj pa v primeru, da ti požarni zid blokira dostop do te domene? vrjetno se pol vseeno izvede kriptiranje?

SeMiNeSanja ::

A_A je izjavil:

SeMiNeSanja je izjavil:

Glede na to, da je killswitch domena zdaj aktivna, morda v ponedeljek ne bo česa hujšega. Komur je zakriptalo podatke, je to najbrž opazil že v petek. Ostali imajo inicialni downloader še nekje v svojih milboxih.

Problem pa bi znal nastati, če bo avtor virusa popravil kodo, da bo spremenil killswitch domeno ali jo celo odstranil iz kode.
V tem primeru bi inicialni downloader lahko v ponedeljek sprožil nov val okužb. Ampak za zdaj še nisem zasledil kakšnih poročil o kakem wannacry 3.0.


kaj pa v primeru, da ti požarni zid blokira dostop do te domene? vrjetno se pol vseeno izvede kriptiranje?

Ne vem, ali zadeva zgolj preverja obstoj domene oz. naredi nekakšen nslookup, ali tudi izvede dejanski poskus povezave nanjo. Čisto možno, da zadošča že sam obstoj.

Ker se za nslookup ne povezuješ na blokirano domeno, bi načeloma ta test še šel skozi. Padel pa bi, če bi poskušal vzpostaviti kakšno konkretno povezavo.

Vendar je to zgolj teoretično. Če domeno blokiraš na domenskem strežniku, da se ne razrešuje, ali pa jo blokiraš na kakšnem DNS proxiju, potem bi virus imel občutek, da domena ne obstaja in se posledično zagnal.

Vsekakor je najbolje, da do uporabnikov sploh ne spustiš tisti downloader ali iniciator celotne štale (*.js/word/excel/pdf/??). Če se je ta že nekako prebil do uporabnika, pa da mu onemogočiš, da bi si lahko naložil dodatne komponente, katere potrebuje za svoje delovanje, kot tudi kasnejšo komunikacijo preko Tor omrežja s svojim C&C strežnikom.
Potem pa hitro naložiti patche, čimprej izprazniti spam karantene (pogosto dobre antispam rešitve te iniciatorje že v osnovi zaznajo kot spam),...

harmony ::

Testiral v virtualki na win7 sp1 brez popravka - rezultat datoteke kriptirane
Testiral v virtualki na win7 sp1 s popravkom - rezultat datoteke kriptirane

Torej popravek gor ali dol.

Edit: Predvidevam, da je nevezano na popravek okuzen samo izvorni racunalnik. Zakrpana luknja najbrz pomeni, da se ransomware ne more naprej siriti. Prav razumem?

Zgodovina sprememb…

  • spremenil: harmony ()

Saul Goodman ::

ti ga pač klikneš za okužbo. to še vedno deluje. s patchom ne deluje več RCE (remote code execution), torej da ti ne rabiš nič klikat, pa se vseeno okužiš, saj laufaš ranljiv servis (SMBv1, npr.).

harmony ::

Saul Goodman je izjavil:

ti ga pač klikneš za okužbo. to še vedno deluje. s patchom ne deluje več RCE (remote code execution), torej da ti ne rabiš nič klikat, pa se vseeno okužiš, saj laufaš ranljiv servis (SMBv1, npr.).

Kaj pa ce je luknja zakrpana, servis pa vseeno laufa? Naj se to testiram ali nima smisla in se ne bo mogel naprej siriti?

SeMiNeSanja ::

Zakaj pa ne?

Vedno je zanimivo videti, kako zadeve (ne?) delujejo v praksi.
Tako lahko ugotoviš, ali patch deluje tako, da ne more poskušati okuževati drugih računalnikov (dvomim) ali pa tako, da te drugi ne morejo poskusiti okužiti (verjetno ta varianta).

Je pa dobro imeti še kakšen wireshark vključen, da vidiš, kaj se dogaja na nivoju mreže.

Btw.: kje si dobil sample? Preklikal vse priponke, ki si jih dobil v mailu? :)

jukoz ::

Kako pa zgleda zakljenjena datoteka? Še vedno nisem videl enega primera okužbe, slike na netu in medijih pa zgledajo precej filmske. harmony, bi lahko nalimal kakšeno zaslonsko sliko?

harmony ::

SeMiNeSanja je izjavil:

Zakaj pa ne?

Vedno je zanimivo videti, kako zadeve (ne?) delujejo v praksi.
Tako lahko ugotoviš, ali patch deluje tako, da ne more poskušati okuževati drugih računalnikov (dvomim) ali pa tako, da te drugi ne morejo poskusiti okužiti (verjetno ta varianta).

Je pa dobro imeti še kakšen wireshark vključen, da vidiš, kaj se dogaja na nivoju mreže.

Btw.: kje si dobil sample? Preklikal vse priponke, ki si jih dobil v mailu? :)

LoL.
https://gist.github.com/Epivalent/e20d9...

jukoz je izjavil:

Kako pa zgleda zakljenjena datoteka? Še vedno nisem videl enega primera okužbe, slike na netu in medijih pa zgledajo precej filmske. harmony, bi lahko nalimal kakšeno zaslonsko sliko?

Torej, ko je kompjuter okuzen nimas veliko casa in se ti pocasi vse zaklepa. Karkol kliknes ti takoj zaklene, najbrz po dolocenem casu ti zaklene avtomatsko vse.

Jaz sem po okuzbi se 1minuto lahko gledal slike. Po minuti so ze bile kriptirane.

Tekstovne datoke so pa resnicno coolske. Na zacetku ti pise WannaCry ter ostali zmazek.

Fajli pa pac tipicno za ransomware dobijo random koncnice. Muzka.mp3.WTRZW al pa Text.txt.WRYJL

Zanimiv mi je read fajl..., ki pravi da naj se placa za odklep podatkov in da bojo 100% vrnili fajle, saj nezelijo prevarati uporabnikov. lol

Zgodovina sprememb…

  • spremenil: harmony ()

SeMiNeSanja ::

Vse analize, ki sem jih videl, preskočijo 'izvirni greh' in se prično tam, kjer je kakec že direktno pred ventilatorjem. Povsod pa manjka opis kdo se je pokakal in kako ta kakec v osnovi izgleda.

Ampak kakor jaz razumem zadevo, je že v osnovi dovolj, če imaš blokiran dostop do Tor omrežja, saj se tisti najbolj zlobni del prenese z Tor omrežja, da bi se izognil klasičnim mehanizmom zaščite požarnih pregrad (blokade *.exe datotek, AV preverjanja,...).
Skratka čim prej bannajte Tor s svojih omrežij. Če ga nujno potrebujete za kakšne posebne 'akcije', potem ga omogočite samo za določen IP naslov (na katerega premenjate naslov svojega računalnika, ko je to potrebno) ali ob kakšni posebni avtentikaciji na požarni pregradi.

SeMiNeSanja ::

The show must go....?

WannaCry -- New Variants Detected!


Kako že pravijo? It's not over till it's over?

Kot sem napovedoval, so se že pojavile nove variante brez killswitcha.
Patchajte kakor hitro morete, preverite backup-e,....

Jutri bo vsekakor zanimivo videt, kaj so se ljudje naučili v petek...

Zgodovina sprememb…

harmony ::

SeMiNeSanja je izjavil:

The show must go....?

WannaCry -- New Variants Detected!


Kako že pravijo? It's not over till it's over?

Jah, ponedeljek prihaja...

mtosev ::

jaz mam na netu en windows 7 non sp1 pa tega virusa nisem dobil. očitno rabiš bit idiot in klikniti na priponko.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

SeMiNeSanja ::

mtosev je izjavil:

jaz mam na netu en windows 7 non sp1 pa tega virusa nisem dobil. očitno rabiš bit idiot in klikniti na priponko.

Zadeva deluje kot črv - dovolj je, da imaš enega 'idiota' na mreži, pa si pečen, če nisi updejtal windowse.

mtosev ::

ja sem slišal, da je worm. zadnji virus, ki sn ga jaz mel je bil en java virus. znašo sem se na okuženem websitu in java ni bla up to date. jebiga. samo nobene škode ni povzročil razen tega, da mi je skril vse file.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

stara mama ::

mtosev je izjavil:

jaz mam na netu en windows 7 non sp1 pa tega virusa nisem dobil. očitno rabiš bit idiot in klikniti na priponko.

Kaj tebi ni najbolj jasno, kako delujejo omrežja v podjetjih v praksi, kajne?
Pa si že bil v kaki firmi sploh, da bi si ogledal?
Ekologija™ in Trajnost™

          ::

SeMiNeSanja je izjavil:

Skratka čim prej bannajte Tor s svojih omrežij.


Kako pa to narediš?

SeMiNeSanja ::

          je izjavil:

SeMiNeSanja je izjavil:

Skratka čim prej bannajte Tor s svojih omrežij.


Kako pa to narediš?

To je pa odvisno od tega, kaj imaš od orodij na razpolago.

Najlažje je seveda, če imaš sodobno požarno pregrado, ki podpira prepoznavo aplikacij. Nastaviš, da aplikacijo Tor ne dovoliš in konec veselja.

Naslednji še kolikor tolikor zanesljiv način je s pomočjo IPS sistemov.

Potem pa ti ostane še blokiranje IP naslovov posameznih vozlišč TOR omrežja, kar pa je lahko malo bolj zoprna zadeva.
Sam Tor nadziram kot aplikacijo na požarni pregradi in se nisem kaj dosti ukvarjal s samimi IP naslovi strežnikov. Predvidevam pa, da bi zelo hitro zbral listo potrebnih naslovov, če bi lovil DNS query-je, katere dela Tor odjemalec ob zagonu.
Odjemalec namreč mora kontaktirati neke osnovne strežnike, da bi pridobil listo Tor vozlišč, na katere se potem kasneje skuša povezovati. Če lahko na DNS-u blokiraš razreševanje teh naslovov, boš ravno tako onemogočil vzpostavljanje Tor povezave.

Skratka možnih prijemov je kar nekaj.

imagodei ::

Kako pa je v Sloveniji s prestrezanjem SSL sej na firewallu, da lahko filtriraš na L7? Po odločbi informacijskega pooblaščenca podjetje ne sme odpirat niti poštnega predala uporabnika, ki je zapustil podjetje - niti v toliko ne, da bi npr. nastavili Out-of-office reply. To moraš naredit na serverju. Prav tako odpade avtomatski forwarding maila na nov naslov.

Skratka, če nenadoma odide prodajnik (oz. ga vržeš iz službe), njegovega maila ne smeš preusmerit na drugega prodajnika, samodejni odgovor, da prodajnik ni več zaposlen v podjetju pa lahko nastaviš samo na strežniku, nikakor pa ne z odpiranjem njegovega email predala. Delodajalec ni niti upravičen preveriti, ali so v mailboxu ostali kakšni pomembni maili, na katere prodajnik še ni odgovoril.

Po drugi strani pa naj bi bil SSL interception na FW dovoljen?
- Hoc est qui sumus -

darksamurai ::

Ravno zaradi tega pa obstajajo odpovedni roki in odpovedni postopki. V kolikor se podjetje strogo drži zakonodaje in priporočil (zdrave pameti) se takšne probleme skoraj v celoti izniči.

harmony ::

In kako vam kaze kaj? Jaz sem zagnal povsod update na klientih. Kar me muci, je da tega KB-ja med instaliranimi updejti ne najdem. Je potrebno resnicno rocno to poinstalirati.

Pri nas so nekateri klienti na 1511 nekateri ze na 1607.

Tomay ::

Nima popravek na vseh sistemih istega KB
Glej MS17-010: Security update for Windows SMB Server: March 14, 2017
Voodoo 4Ever

antrim ::

Poleg tega je marčevski rollup superseded z aprilskim in potem majskim, ki oba vključujeta ustrezen patch in imata seveda drugo KB številko.

Edit: typo

Zgodovina sprememb…

  • spremenilo: antrim ()

SeMiNeSanja ::

Koneckoncev lahko tudi ročno izklopiš SMB v1, še predenj uspeš naložiti popravke.

Ampak to pomaga samo toliko, da ne postaneš sekundarna žrtev. Primarni kekec, ki je sumljivo priponko klikal, bo zato še vedno okužen. Temu tudi varnostni popravek ne bo pomagal.

SeMiNeSanja ::

imagodei je izjavil:


Po drugi strani pa naj bi bil SSL interception na FW dovoljen?

Dovoljen? V bistvu je nujen, saj nimaš druge opcije, da zadevo ustaviš še predenj vstopi v tvoje omrežje.

Ti pravniki se predvsem obešajo na sorazmernost ukrepov. Če ti mašina nekje v ozadju dela DPI, to samo po sebi ne prizadane zasebnosti. Področje zasebnosti se prične tam, kjer ti ugotovitve tega scana zapišeš nekam v en log. Tu je potem vprašanje, ali je potrebno (sorazmerno), da se te 'osebne podatke' hrani (zagotovo je - kako boš sicer ugotovil, kdo je bil pacient zero?). Še bolj pa zanje zadeva postane škakljiva, ko te podatke potem 'obdeluješ' (delaš statistiko).
Vrhunec skrbi pa IP povzročiš z dostopom do vpogleda v logirane (in/ali obdelane) podatke. Dejansko jaz šele na tej stopnji vidim resno potrebo po 'paniki' če stvari niso urejene, kot bi morale biti. Pač ne more kar vsakemu jet gledat, kam vse je pisal in od koga vse je prejemal maile, po katerih spletnih straneh se je šetal, itd. Takointako pa se tu z GDPR postavlja zahteva, da so logirani podatki anonimizirani, da do 'pravih' deanonimiziranih lahko prideš šele z privolitvijo pooblaščenca za varovanje zasebnosti, ali kako se bo to že imenovalo.

Ampak s samo DPI inšpekcijo v ozadju ta del nima veliko skupnega. Saj se tudi nihče ne obrega ob to, da se datoteke na računalniku skenirajo z antivirusnim programom. Razlika je zgolj v toliko, da AV ne dela logov (razen za zlonamerne datoteke), medtem ko jih DPI lahko ustvari celo kopico.

Seveda se potem še privacy paranojiki vtaknejo v broken chain of trust, ker se jim vtakneš vmes v njihov SSL promet, ampak to je že druga zgodba.

Zgodovina sprememb…

jukoz ::

A smo spet pri DPIju ali kaj? Ajajaj...

Kakorkoli - nova viroza po mailih:
Subject: 12_Invoice_3456
Body: 001_1234

WannaCry ver 2?

priloga: 001_1234.pdf

Zgodovina sprememb…

  • spremenilo: jukoz ()

SeMiNeSanja ::

jukoz je izjavil:

A smo spet pri DPIju ali kaj? Ajajaj...

Kakorkoli - nova viroza po mailih:
Subject: 12_Invoice_3456
Body: 001_1234

WannaCry ver 2?

priloga: 001_1234.pdf

Imam 4 take primerke v karanteni:
001_9952.pdf
001_5160.pdf
001_4860.pdf
001_0015.pdf
...vsak z drugim hash-em.

harmony ::

SeMiNeSanja je izjavil:

jukoz je izjavil:

A smo spet pri DPIju ali kaj? Ajajaj...

Kakorkoli - nova viroza po mailih:
Subject: 12_Invoice_3456
Body: 001_1234

WannaCry ver 2?

priloga: 001_1234.pdf

Imam 4 take primerke v karanteni:
001_9952.pdf
001_5160.pdf
001_4860.pdf
001_0015.pdf
...vsak z drugim hash-em.

Jaz sem jih najdel 42. :) pa vsi so iz .co.uk

Zgodovina sprememb…

  • spremenil: harmony ()

SeMiNeSanja ::

harmony je izjavil:


Jaz sem jih najdel 42. :)

Logično, saj imaš najmanj 10x večje omrežje.

Kar je bistveno pri zgodbi, je to, da ta golazen ne pride uporabniku v roke, da bi lahko po njej klikal. Tu se namreč zgodi izvorni greh.

Očitno so solidne antispam rešitve že toliko pametne, da ta sporočila že sama po sebi uspejo prepoznati kot sumljiv spam, pa čeprav noben AV še ne zganja panike.

Pri 0 day zadevah je AV takointako nemočen. Sandbox analitika dela odlično - a žal pridejo rezultati z 5-10-minutno zamudo. Kakšen hiter uporabnik bi tako priponko lahko ta čas že odprl. Če ti potem antispam rešuje zadevo in take maile umakne na 'stranski tir', ti ravno omogoči tisti dodatni čas do potrditve, da se gre dejansko za golazen, da lahko zadeve še varno odstraniš pred morebitnim klikom firbčnih uporabnikov.

Sicer pa, ko enkrat vidiš vzorce imen datotek, katere generator uporablja za določeno kampanjo, zanj narediš ustrezen filter in tovrstne datoteke enostavno porežeš ali zakleneš in se z njimi sploh ne ukvarjaš več, pa če so ali niso nevarne - zakaj bi tratil resurse na sistemih, če takointako z 99% gotovostjo lahko rečeš, da je taka datoteka malware.

Zgodovina sprememb…

surfer20038 ::

Mi lahko kdo odgovori prosim glede tega WannaCry:
1. Je v primeru okužbe v nevarnosti tudi backup na NAS, ki kolikor vem ne teče na Winsih?
2. Se okužba širi tudi prek VPN (Open VPN nastavljen več ali manj po njihovih navodilih)?

SeMiNeSanja ::

Če je datotečni sistem na NAS dosegljiv kot windows share (samba?), potem znajo biti ogrožene tudi datoteke na NAS strežniku.

Pri VPN se lahko širi, če dovoljuješ SMB promet preko VPN povezave.

Predvsem je treba ločiti 'širjenje' in 'kriptiranje' - širjenje poteka preko SMBv1 in okužuje druge računalnike, kateri spet naprej okužujejo in zaklepajo vse, kar 'vidijo'.
Pri kriptiranju pa okuženi računalnik kriptira samo tisto, kar 'vidi' oz. do česar ima dostop preko share-ov.

Če imaš npr. IPS na VPN povezavi, ki ima signaturo za SMBv1 ranljivost, boš morda imel srečo in bo preprečil širitev okužbe. Bolje pa je, da SMB promet sploh ne spuščaš preko VPN in na njemu omogočiš zgolj RDP, za prenašanje datotek pa uporabiš SFTP (ki je za povrhu še hitrejši od SMB). Vse ostale porte pa zapreš, oz. dovoliš izključno tiste, ki so nujno potrebni. Pa tudi za RDP in SFTP je najbolje, če lahko nastaviš per user, do katerih mašin bodo smeli dostopati preko RDP. Redko kdo namreč potrebuje dostop do celotnega omrežja.

AndraZK ::

Omenjene današnje PDF priponke izkoriščajo kako ranljivost PDF programov, ali pa gre le za link v PDFju, ki uporabnika pelje na download škodljive datoteke?
The Matrix Has Me...

Dieu ::

EternalBlue se izkorišča za širjenje po lokalnem omrežju (na vse Windoze sisteme, ki niso posodobljeni v tem omrežju), vstopna točka (prvi uporabnik v omrežju, ki požene to) je pa verjetno klik na sumljiv link v mail/priponka/dokument z makri, itd.

Praviloma te zadeve zašifrirajo VSE do česar imajo dostop (in pobrišejo obnovitvene točke itd), torej če ima kdo dostop do NASa/omrežnih pogonov/itd... potem bodo le ti tudi zašifrirani.
I was blind but now I see!

BigWhale ::

SeMiNeSanja je izjavil:

Invictus je izjavil:


Ena jebena access lista na switchu bi rešila 99% problemov. Lahko narediš še simple bazo, kjer se accss liste potem ponoči avtomatsko deplojajo na switche. Ni to rocket science... Sploh če veš, da imaš v omrežju zastarele, nezamenljive naprave...

Kar bi moral vedeti vsak kolikor toliko sposoben IT admin...

Se popolnoma strinjam.
Ampak očitno pisanje ACL-ov presega nivo znanja povprečnega IT-admina?


Ce za izmenjavo uporabljas katerega izmed standardnih protokolov, ki so dandanes v uporabi in je to protokol preko katerega se siri virus, ti nobena Access Lista ne pomaga.

Takoj, ko nimas vec fizicno locene zadeve se stvari zakomplicirajo in nobena rec ni vec 100% varna in zanesljiva.

Dieu ::

BigWhale je izjavil:

SeMiNeSanja je izjavil:

Invictus je izjavil:


Ena jebena access lista na switchu bi rešila 99% problemov. Lahko narediš še simple bazo, kjer se accss liste potem ponoči avtomatsko deplojajo na switche. Ni to rocket science... Sploh če veš, da imaš v omrežju zastarele, nezamenljive naprave...

Kar bi moral vedeti vsak kolikor toliko sposoben IT admin...

Se popolnoma strinjam.
Ampak očitno pisanje ACL-ov presega nivo znanja povprečnega IT-admina?


Ce za izmenjavo uporabljas katerega izmed standardnih protokolov, ki so dandanes v uporabi in je to protokol preko katerega se siri virus, ti nobena Access Lista ne pomaga.

Takoj, ko nimas vec fizicno locene zadeve se stvari zakomplicirajo in nobena rec ni vec 100% varna in zanesljiva.


Pa pozabil je omeniti, da v Sloveniji tako nihče ne potrebuje backupa dokler ga res ne potrebuje (samo takrat je prepozno). Od sistemcev na minimalcih pa je tudi težko kaj dosti več kot minimalni effort pričakovati. Zdaj če firme pač ne vidijo to kot nek pomemben faktor (večina, dokler nimajo kakšnega incidenta) potem pač jebiga (je stanje po pričakovanjih).

Evo tu imaš, https://isc.sans.edu/forums/diary/ETERN... (čeprav to zadevo le malenkost zajezi).
I was blind but now I see!

Zgodovina sprememb…

  • spremenil: Dieu ()

AndrejO ::

BigWhale je izjavil:

SeMiNeSanja je izjavil:

Invictus je izjavil:


Ena jebena access lista na switchu bi rešila 99% problemov. Lahko narediš še simple bazo, kjer se accss liste potem ponoči avtomatsko deplojajo na switche. Ni to rocket science... Sploh če veš, da imaš v omrežju zastarele, nezamenljive naprave...

Kar bi moral vedeti vsak kolikor toliko sposoben IT admin...

Se popolnoma strinjam.
Ampak očitno pisanje ACL-ov presega nivo znanja povprečnega IT-admina?


Ce za izmenjavo uporabljas katerega izmed standardnih protokolov, ki so dandanes v uporabi in je to protokol preko katerega se siri virus, ti nobena Access Lista ne pomaga.

Takoj, ko nimas vec fizicno locene zadeve se stvari zakomplicirajo in nobena rec ni vec 100% varna in zanesljiva.

Če je govora o poslovnem omrežju, je (mislim da Cisco) izumil rešitev že ... uf ... še preden sem jaz postal polnoleten. In tega ni malo let in danes, ga ima vsakdo, ki si upa dati na svoje stikalo nalepko "enterprise": Private VLAN.

Seveda to ni rešitev za vse, ampak človek ne bi verjel koliko dreka takšna malenkost odstrani iz omrežja že v prvem koraku.

Ne, to ni ravno "access lista", je pa dovolj blizu enostavnosti tega, kar je access lista. Ne, to tudi ne rešuje stvari tam, kjer si ljudje delijo datoteke kar med delovnimi postajami. Ampak hkrati pa je presenetljivo veliko majhnih in velikih omrežij, kjer so datotečni stražniki (NAS-i takšne in drugačne vrste) že v igri, posledično pa je tudi način uporabe omrežja tudi že takšen, da se lahko takšne recepture vpelje hitro in brez negativnih stranskih posledic.

bbbbbb2015 ::

Mr.B je izjavil:

bbbbbb2015,
to ti nič ne pomaga, ker tudi če uspeš paralerizirat rabiš imeti prepustnost, da boš to lahko prepunpal... move on sedi cvek, ker je rešitev no bistevno ensotavnejša.


Ne rabim jaz sedet, če mi ne paše. Kdo pa si ti, da mi boš cveke talal?

Zaenkrat je tako, da velike firme tukaj v tujini (Benelux) še vedno uporabljajo robotske knjižnice za backup. Večinoma je to D2D2T, ampak kot trajen medij je še vedno trak.

Sploh ne vem, o kakšni prepustnosti govoriš. Za vsak server, ki ga imajo, imajo bare-metal recovery. Vse kar majo na mainframu, je tudi backupirano. Večino diskovnih polj imajo itak priklopljeno na mainframe.

Samo mi ne govori, da so diski za backup. Lahko imaš virtualne trakove, samo nekje je vseeno potreben trak na koncu.

Če nimaš tega, ti ostane še uni tam zgoraj. Morda v Sloveniji, v kakšnih miki-maus firmah ne, samo tujci se s tem ne zajebavajo.

Mr.B ::

Ko bo potrebno en 10000TB restavrirat, med razlicnimi lokacijami, mi sporoci koliko casa bo trajalo s super robotsko knjiznico.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

BigWhale ::

AndrejO je izjavil:

Ne, to ni ravno "access lista", je pa dovolj blizu enostavnosti tega, kar je access lista. Ne, to tudi ne rešuje stvari tam, kjer si ljudje delijo datoteke kar med delovnimi postajami. Ampak hkrati pa je presenetljivo veliko majhnih in velikih omrežij, kjer so datotečni stražniki (NAS-i takšne in drugačne vrste) že v igri, posledično pa je tudi način uporabe omrežja tudi že takšen, da se lahko takšne recepture vpelje hitro in brez negativnih stranskih posledic.


Ok, imas masino A, ki skrbi za X, to je masina, ki se ne sme okuziti. Povezana je preko privatnega VLAN-a z masino B, kateri posilja podatke. Masina B je povezana v internet, ker mora te podatke posredovati naprej.

Ce okuzis masino B in ce masini A in B komunicirata na nek standardni nacin HTTP, FTP, SSH, ... in se virus siri po katerem izmed teh protokolov in izkorisca nek remote execution exploit, potem s privatnim VLANom nisi naredil nic. Ce je ranljiv ze sam TCP stack, potem je lahko dovolj ze to, da imas TCP interface pokonci na masini A.

Ce pa ti dve masini komunicirata na kak drugacen nacin, potem si safe, drugace pa ne. Access liste in privatni lani in podobne zadeve ne pomagajo kaj dosti, ce okuzis masino, ki je direktno povezana s tisto, ki je mission critical.

harmony ::

bbbbbb2015 je izjavil:


Samo mi ne govori, da so diski za backup. Lahko imaš virtualne trakove, samo nekje je vseeno potreben trak na koncu.

Zakaj pa ne bi bili diski za backup?

harmony ::

Vceraj sem v labu okuzil Windows 7 masino. Zraven mu je delal druzbo Win 10, brez updejtov, brez win defenderja ter z izklopljenim firewalom. Zgodilo se ni nic. Win 10 se ni okuzil. Je to fora tega kilswitcha?

imagodei ::

Hja, poskusi še tako, da lab ne bo imel povezave na network - potem domena ne bo dosegljiva in killswitch ne bo deloval.

IMO pa zna biti tudi zgolj to, da je ranljivost v SMBv1, Win 7 in Win 10 pa najbrž med sabo komunicirata v SMBv2 ali SMBv3.
- Hoc est qui sumus -

Invictus ::

BigWhale je izjavil:


Ce pa ti dve masini komunicirata na kak drugacen nacin, potem si safe, drugace pa ne. Access liste in privatni lani in podobne zadeve ne pomagajo kaj dosti, ce okuzis masino, ki je direktno povezana s tisto, ki je mission critical.

Predvsem nič ne pomagajo, če ne veš kaj se na mašinah dogaja ;).

Večina IT adminov pač priklopi mašino v mrežo in potem ... dela ...

Nobody give a fuck anymore...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

MrStein ::

imagodei je izjavil:

Hja, poskusi še tako, da lab ne bo imel povezave na network - potem domena ne bo dosegljiva in killswitch ne bo deloval.

IMO pa zna biti tudi zgolj to, da je ranljivost v SMBv1, Win 7 in Win 10 pa najbrž med sabo komunicirata v SMBv2 ali SMBv3.

Win 10 podpira tudi SMBv1.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

b3D_950 ::

Slučajno kdo ve, če ta nesnaga gleda header za vsak fajl posebej in na podlagi tega definira vrsto (pdf, jpg, doc...) ali gleda samo file.extension/končnico in se na podlagi tega odloči kaj se bo kriptiralo?
Zdaj ko je mir, jemo samo krompir.

AndrejO ::

BigWhale je izjavil:


Ce pa ti dve masini komunicirata na kak drugacen nacin, potem si safe, drugace pa ne. Access liste in privatni lani in podobne zadeve ne pomagajo kaj dosti, ce okuzis masino, ki je direktno povezana s tisto, ki je mission critical.

Ja, ampak v malo bolj realnem svetu nimaš zgolj A in B, temveč imaš mašino A(server) in mašine B1 do Bn (delovne postaje, prenosniki in ostala solata, ki jo ljudje v odsotnosti NAC-a "na črno" priklapljajo na omrežje).

Fokusiraš se na zaščito in redne popravke na A, kjer se ne bere pošte in ne odpira priponk.

Morda je A celo Samba in sploh ne Windows.

V teh primerih potem postane mnogo manj kritično, če nekdo prinese v podjetje svoj okužen prenosnik ali pa na svoji delovni postaji klikne na napačno priponko. Širjenje črva bo možno samo preko A in A je samo en in edini računalnik na katerega usmerjaš 80% svoje pozornosti in energije. Zagotovo je to bolj ugodno, kot pa porabiti 110% časa na A + Bn + neznano računalnikov, ki ti jih lahko "izobraženi uporabniki" pripnejo v omrežje.

Ja, še vedno lahko stvari pobegnejo skozi in, ko pade A, lahko pade vse. Ampak če imaš takšno mini omrežje, ki ga ima presenetljiva količina mini in ne tako mini podjetij, kamor je že stopila noga ne popolnoma nekompetentnega človeka za IT, ki bi jih ta enostaven dodatek v tokratni zgodbi hitro rešil. In morda jih je ta enostaven dodatek tudi rešil, ampak o njih ne bomo brali v novicah.

imagodei ::

MrStein je izjavil:

imagodei je izjavil:

Hja, poskusi še tako, da lab ne bo imel povezave na network - potem domena ne bo dosegljiva in killswitch ne bo deloval.

IMO pa zna biti tudi zgolj to, da je ranljivost v SMBv1, Win 7 in Win 10 pa najbrž med sabo komunicirata v SMBv2 ali SMBv3.

Win 10 podpira tudi SMBv1.

Vem, ampak ni nujno, da je enablan.
- Hoc est qui sumus -

SeMiNeSanja ::

Malenkost smo tudi pozabili na računalnike, ki so si navlekli inicialni downloader, ampak kasneje po 'spletu okoliščin' ni prišlo do prenosa dodatnih modulov in/ali njihove aktivacije.

Zadeva lahko še vedno straši po mašini in čaka na 'priložnost'. Upam, da bodo AV proizvodi čim prej pokrili zadevo s signaturami, da se bo lahko odstranilo tudi takšne 'sledove', ki so koneckoncev nekakšen trojanec in kadarkoli na računalnik navlečejo bilokaj.

darkolord ::

b3D_950 je izjavil:

Slučajno kdo ve, če ta nesnaga gleda header za vsak fajl posebej in na podlagi tega definira vrsto (pdf, jpg, doc...) ali gleda samo file.extension/končnico in se na podlagi tega odloči kaj se bo kriptiralo?
Čisto odvisno.

Nekateri gledajo samo končnice, nekateri pa enkriptirajo kar vse (razen sistemskih map).

harmony ::

imagodei je izjavil:

MrStein je izjavil:

imagodei je izjavil:

Hja, poskusi še tako, da lab ne bo imel povezave na network - potem domena ne bo dosegljiva in killswitch ne bo deloval.

IMO pa zna biti tudi zgolj to, da je ranljivost v SMBv1, Win 7 in Win 10 pa najbrž med sabo komunicirata v SMBv2 ali SMBv3.

Win 10 podpira tudi SMBv1.

Vem, ampak ni nujno, da je enablan.

By default SMB version 1.0 is enabled in Windows 10...zdej, ce je to res ne vem. V firmi sem preveril in vse imajo to po defaultu enabled, kar pomeni, da ocitno drzi...krneki

https://www.rootusers.com/disable-smb-v...

Zgodovina sprememb…

  • spremenil: harmony ()
1 2
3
4


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Ko napade malware, se bolnišnice ustavijo

Oddelek: Novice / Varnost
2513007 (11706) starfotr
»

WannaCry še ni mrtev, težave v Hondi

Oddelek: Novice / Kriptovalute
1510999 (9079) SeMiNeSanja
»

WannaCry okuževal večinoma Windows 7 (strani: 1 2 )

Oddelek: Novice / Kriptovalute
5625001 (20398) SeMiNeSanja
»

22-letnik, ki je ustavil WannaCry: Ni še konec! (strani: 1 2 )

Oddelek: Novice / Varnost
8129382 (20591) AnotherYou
»

Britanske bolnišnice poklenile pod izsiljevalsko programsko opremo (strani: 1 2 )

Oddelek: Novice / Kriptovalute
9653384 (47967) SeMiNeSanja

Več podobnih tem