Перейти к содержанию

Как защититься от Zerologon и аналогов | Блог Касперского


Рекомендуемые сообщения

Американское агентство по кибербезопасности и безопасности инфраструктуры (DHS CISA) крайне редко выдает экстренные предписания ликвидировать конкретные уязвимости. Однако в сентябре прошлого года оно издало предписание правительственным учреждениям, использующим в своих сетях Microsoft Windows Active Directory, немедленно установить патч на все контроллеры домена. Речь шла об уязвимости CVE-2020-1472 в протоколе Netlogon, получившей название Zerologon (мы уже писали о ней).

Десять из десяти по шкале опасности

Уязвимость Zerologon связана с использованием ненадежного криптографического алгоритма в механизме аутентификации Netlogon. Эта уязвимость позволяет злоумышленнику, которому удалось подключить свой компьютер к корпоративной сети или как-то заразить одну из машин, атаковать контроллер домена и в итоге захватить контроль над ним.

Уязвимость получила максимальную оценку в 10 баллов по шкале CVSSv3. Microsoft выпустила патч еще в августе, но всеобщее внимание к Zerologon привлекло подробное исследование, опубликованное кибербезопасниками из голландской компании Secura, с подробными объяснениями того, как Zerologon может быть проэксплуатирован. В считанные часы после выхода этого документа различные исследователи начали публиковать свои доказательства концепций (PoC). Через несколько дней на сайте Github уже можно было найти как минимум четыре примера открытого исходного кода, который демонстрировал, как эту уязвимость можно применить на практике.

 

View the full article

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От vadim22
      всем привет возникла проблема я скачал kaspersky я  его переустановил надо было я залогинился, и у меня началась сама по себе  пробная версия kaspersky security cloud personal что будет по окончанию снимут ли деньги? если я не указывал никаких реквезитов и аккаунт my kaspersky удалил пиршёл ключ на почту что с ним делать
      ps яскачал на один раз 
       
    • От KL FC Bot
      Создание шифровальщиков-вымогателей уже достаточно давно превратилось в целую подпольную индустрию — с техподдержкой, пресс-центром и рекламными кампаниями. Как и в любой другой индустрии, для создания конкурентоспособного продукта злоумышленникам постоянно приходится совершенствовать свои услуги. Например, очередная киберпреступная группировка LockBit в качестве преимущества своей платформы начала рекламировать автоматизацию заражения всех компьютеров в сети предприятия при помощи доменного контроллера.
      LockBit работает по принципу Ransomware as a Service (RaaS) — предоставляет своим «клиентам», проводящим непосредственную атаку, свою инфраструктуру и программный код и получает за это процент от заплаченного выкупа. Так что по сути за первоначальное проникновение в сеть жертвы отвечает подрядчик. А вот для распространения по сети LockBit приготовил достаточно интересную технологию.
      Метод распространения LockBit 2.0
      Согласно информации Bleeping Computer, после того как злоумышленники получают доступ в сеть и добираются до контроллера домена, они запускают на нем свое вредоносное ПО. Оно создает новые групповые политики, которые затем автоматически накатываются на каждое устройство в сети. Сначала при помощи этих политик отключают технологии защиты, встроенные в операционную систему. Затем при помощи других политик зловред создает отложенную задачу на запуск исполняемого файла шифровальщика на всех машинах под управлением Windows.
      Со ссылкой на исследователя Виталия Кремеца BleepingComputer также утверждает, что шифровальщик использует программный интерфейс Windows Active Directory для запросов через Lightweight Directory Access Protocol (LDAP) с целью получить полный список компьютеров в сети. При этом шифровальщик обходит контроль учетных записей пользователя (UAC) и запускается в фоновом режиме, так что на самом шифруемом устройстве это никак не заметно.
      По всей видимости, это первый массовый зловред, распространяющийся через групповые политики. Кроме того, LockBit 2.0 также использует достаточно любопытный метод доставки требований о выкупе — он печатает записку на всех принтерах, подключенных к сети.
       
      View the full article
    • От KL FC Bot
      Оставленная без присмотра кредитная карта может стать серьезной угрозой финансовому благополучию семьи, если в дело вступает юный геймер. В отличие от взрослых, дети не всегда могут контролировать расходы или попросту не понимают, что тратят реальные деньги. Увлеченный игрой подросток может облегчить банковский счет родителей на тысячи долларов и даже не осознать этого.
      Разбираемся, на что школьники тратят деньги в играх и как правильно защитить свой кошелек от будущих звезд киберспорта.
      На чем делают деньги создатели игр
      Некоторые родители считают, что расходы на игру заканчиваются на ее покупке. Такое заблуждение может стоить целого состояния. Многие создатели игр сегодня зарабатывают продажей не самих программ (игры могут быть и вовсе бесплатными), а всевозможных дополнений к ним. Но на что в виртуальных вселенных можно потратить совсем не виртуальные деньги?
      Внутриигровая валюта
      В виртуальном мире они выполняют ту же роль, что и рубли или доллары в нашем. Как и в реальности, денег в игре много никогда не бывает. Зато можно в любой момент обменять немного (или много) настоящих денег на виртуальные. Всего пара кликов, и игровой счет пополнен, а банковский — наоборот.
      Внутриигровые предметы
      Еще один источник расходов — это всевозможные мечи, бронежилеты и другие виды оружия или просто одежды для персонажа. Подростки покупают их, чтобы повысить различные качества персонажа или просто подчеркнуть свой уникальный стиль. Виртуальные приобретения выделяют подростка среди других игроков так же, как, например, новый смартфон или брендовая вещь — среди сверстников, но и стоить могут немало. Например, цена булавы Echoing Fury Mace в Diablo 3 однажды доходила до $14 000!
      Отдельного упоминания заслуживают так называемые лутбоксы (от англ. loot box, коробка с добычей) — наборы виртуальных предметов. Их покупка похожа на игру в лотерею: игрок покупает набор вслепую, а там могут оказаться как действительно ценные предметы, так и совершенно «проходные» побрякушки. Как правило, разработчики называют лутбоксы по-разному — например, в FIFA футболистов покупают «паками». При этом внутри можно обнаружить как Месси с Роналду, так и игроков условного ФК «Автомобилист» — как повезет.
       
      View the full article
    • От KL FC Bot
      Назойливая реклама давно стала неотъемлемым атрибутом большинства сайтов. Отвлекающие баннеры, всплывающие окна, автоматически открывающиеся вкладки и стартующие без спроса видео — за показ всего этого добра интернет-ресурсы получают деньги, и далеко не всех владельцев волнует ваш комфорт. Еще меньше о вас беспокоятся злоумышленники, которые могут встроить в рекламу что-нибудь вредоносное, чтобы дополнительно на вас заработать.
      Проблема назойливых баннеров настолько наболела, что существует множество программ, помогающих очистить сайты от лишней информации. Впрочем, если у вас уже установлен Kaspersky Security Cloud, дополнительные инструменты не понадобятся. Рассказываем, как убрать баннеры и всплывающую рекламу при помощи нашего решения.
      Включите расширение Kaspersky Protection
      Для начала вам понадобится расширение Kaspersky Protection: оно отвечает за всю активность нашего решения в браузере. Главная задача этого расширения — защита вашего компьютера от опасных сайтов и интернет-мошенников, но заодно оно умеет удалять баннеры. Чаще всего оно подключается при установке Kaspersky Security Cloud автоматически — поищите на панели навигации браузера его значок:

      Если значка нет, придется включить Kaspersky Protection в список расширений вручную.
       
      View the full article
    • От KL FC Bot
      Чтобы выманить у сотрудников компаний учетные данные от корпоративной почты, злоумышленникам в первую очередь нужно обмануть антифишинговые решения на почтовых серверах. Нередко для этого они пытаются использовать легитимные веб-сервисы: те, как правило, имеют заслуживающую доверия репутацию и не вызывают подозрений у почтовых фильтров. В последнее время в качестве одного из таких сервисов мошенники все чаще используют Google Apps Script.
      Что такое Apps Script и как его используют злоумышленники
      Apps Script — скриптовая платформа Google, построенная на базе Java Script. По задумке авторов, она служит для автоматизации задач как в продуктах компании (например, аддонов для Google Docs), так и в сторонних приложениях. По большому счету, это сервис, позволяющий создавать скрипты и исполнять их в инфраструктуре Google.
      В почтовом фишинге этот сервис используют, по сути, для редиректа. Вместо того, чтобы вставлять непосредственно URL вредоносного сайта, злоумышленники зашивают в текст ссылку на скрипт. Таким образом они решают сразу несколько задач:
      Для антифишингового решения на почтовом сервере письмо выглядит как нормальное послание с гиперссылкой на легитимный сайт Google с нормальной репутацией. Такая схема позволяет эксплуатировать фишинговый сайт дольше, поскольку его URL не светится в письмах, а следовательно, не виден большей части защитных решений. Схема получает определенную гибкость — при необходимости скрипт можно поменять (на случай, если сайт все-таки будет забанен вендорами защитных решений), а кроме того, скрипт позволяет экспериментировать с доставкой контента (например, посылать жертву на разные языковые варианты сайта в зависимости от региона). View the full article
×
×
  • Создать...