Хочу поделится одной интересной историей о проникновении вируса в нашу локальную сеть (~900 хостов).
Все началось одним не добрым утром, конкретно 1го января в 8.00, когда пришел на работу, с похмелья еле заварил кофе и включил рабочий пк.
С трудом открыв глаза увидел оповещение от NOD32 (что-то он нашел на сервере обновлений и удалил). Особого значения не придал и отложил на потом.
С 8.30, когда все пришли на рабочие места, начался АД. Телефонные звонки в отдел поступали каждые 5 секунд (не смотря на то что это 1 января) и так до 11.00 (потом телефоны просто выключил). Дело попахивало говном когда работаешь в такой день один.
Сразу принялся проверять основные сервера, т.к. доменные групповые политики были настроены на ура и у обычных пользователей просто не хватало привилегий распространить данные в сети. Не чего не обнаружив решил провести анализ трафика и определить каким образом данный вирус попадает на мой рабочий ПК. Выручил старый добрый Wireshark. Обнаружив место распространения решил провести анализ ещё на парочке зараженных станций. Все говно поступало с одного хоста. Пришлось за ним сходить и в последствии изъять. Оказался обычный ПК и обычный непривилегированный глупый пользователь.
Используя межсетевой экран, систему контроля ESET и базовые утилиты стало понятно, что некий Иванов Иван Иванович принял на свою почту 2 изображения. Одно из них было действительно приятным поздравлением с новым годом, а второе было под названием PHOTO.EXE и подписью ("Если картинка не отображается в письме, то запусти на ПК, рисовала для тебя"). Мур-мур бл**ь.
И тут начинается самое интересное, инфицирование в сети прекратилось после изъятия. В "котле" возник вопрос: "Каким образом данный вирус распространился по сети ?" Найдя топик на одном из форумов наткнулся на идентичную (не решенную) проблему в которой тоже, как оказалось, ни кто понятия не имеет каким образом распространяется вирус обходя все настройки фаервола. Оказалось что эта дрянь обычный криптомайнер. Запуская процесс на инфицированном компьютере (забирая все ресурсы ПК) он передавал данные на определенные сервера за что получал доход на несколько кошельков. Но за счет чего он распространялся по сети мне так и не понятно.
И это не конец, через неделю вирус опять появился, но уже на 3 разных хостах! Решать нужно было как можно скорее т.к. ЦП на инфицированных ПК был нагружен на 100% и людям работать было не выносимо. А обнаружить зараженный хост в 3 больших помещениях очень сложно.
Благодаря Wireshark выяснил куда отправляет пакеты инфицированный пк. Вычислил 13 серверов:
TCP: mine.moneropool.com:8080
TCP: mine.moneropool.com:3336
TCP: xmr.hashinvest.net:443
TCP: xmr.hashinvest.net:5555
TCP: monero.crypto-pool.fr:3333
TCP: monerohash.com:5555
TCP: mine.xmr.unipool.pro:3333
TCP: xmr.prohash.net:5555
TCP: xmr.miner.center:2777
TCP: mine.xmr.unipool.pro:80
TCP: pool.minexmr.com:7777
TCP: cryptonotepool.org.uk:7777
TCP: mro.poolto.be:3000
Заблокировали хосты. Данные отдавать инфицированным ПК было не куда и работа нормализовалась. Заранее до этого всего передали инфицированный файл PHOTO.EXE в ESET на анализ. В последствии чего следующее их обновления избавило нас от этой дряни.
На компьютерах где не был установлен антивирус (~80 хостов) решение немножко сложнее. Т.к. данный вирус прописывался в планировщике и копировал сам себя в несколько директорий решением стало применение доменных политик на исполнение обычного бат файла который останавливает запущенные вредоносные процессы и удаляет вирус с пк.
Все началось одним не добрым утром, конкретно 1го января в 8.00, когда пришел на работу, с похмелья еле заварил кофе и включил рабочий пк.
С трудом открыв глаза увидел оповещение от NOD32 (что-то он нашел на сервере обновлений и удалил). Особого значения не придал и отложил на потом.
С 8.30, когда все пришли на рабочие места, начался АД. Телефонные звонки в отдел поступали каждые 5 секунд (не смотря на то что это 1 января) и так до 11.00 (потом телефоны просто выключил). Дело попахивало говном когда работаешь в такой день один.
Сразу принялся проверять основные сервера, т.к. доменные групповые политики были настроены на ура и у обычных пользователей просто не хватало привилегий распространить данные в сети. Не чего не обнаружив решил провести анализ трафика и определить каким образом данный вирус попадает на мой рабочий ПК. Выручил старый добрый Wireshark. Обнаружив место распространения решил провести анализ ещё на парочке зараженных станций. Все говно поступало с одного хоста. Пришлось за ним сходить и в последствии изъять. Оказался обычный ПК и обычный непривилегированный глупый пользователь.
Используя межсетевой экран, систему контроля ESET и базовые утилиты стало понятно, что некий Иванов Иван Иванович принял на свою почту 2 изображения. Одно из них было действительно приятным поздравлением с новым годом, а второе было под названием PHOTO.EXE и подписью ("Если картинка не отображается в письме, то запусти на ПК, рисовала для тебя"). Мур-мур бл**ь.
И тут начинается самое интересное, инфицирование в сети прекратилось после изъятия. В "котле" возник вопрос: "Каким образом данный вирус распространился по сети ?" Найдя топик на одном из форумов наткнулся на идентичную (не решенную) проблему в которой тоже, как оказалось, ни кто понятия не имеет каким образом распространяется вирус обходя все настройки фаервола. Оказалось что эта дрянь обычный криптомайнер. Запуская процесс на инфицированном компьютере (забирая все ресурсы ПК) он передавал данные на определенные сервера за что получал доход на несколько кошельков. Но за счет чего он распространялся по сети мне так и не понятно.
И это не конец, через неделю вирус опять появился, но уже на 3 разных хостах! Решать нужно было как можно скорее т.к. ЦП на инфицированных ПК был нагружен на 100% и людям работать было не выносимо. А обнаружить зараженный хост в 3 больших помещениях очень сложно.
Благодаря Wireshark выяснил куда отправляет пакеты инфицированный пк. Вычислил 13 серверов:
TCP: mine.moneropool.com:8080
TCP: mine.moneropool.com:3336
TCP: xmr.hashinvest.net:443
TCP: xmr.hashinvest.net:5555
TCP: monero.crypto-pool.fr:3333
TCP: monerohash.com:5555
TCP: mine.xmr.unipool.pro:3333
TCP: xmr.prohash.net:5555
TCP: xmr.miner.center:2777
TCP: mine.xmr.unipool.pro:80
TCP: pool.minexmr.com:7777
TCP: cryptonotepool.org.uk:7777
TCP: mro.poolto.be:3000
Заблокировали хосты. Данные отдавать инфицированным ПК было не куда и работа нормализовалась. Заранее до этого всего передали инфицированный файл PHOTO.EXE в ESET на анализ. В последствии чего следующее их обновления избавило нас от этой дряни.
На компьютерах где не был установлен антивирус (~80 хостов) решение немножко сложнее. Т.к. данный вирус прописывался в планировщике и копировал сам себя в несколько директорий решением стало применение доменных политик на исполнение обычного бат файла который останавливает запущенные вредоносные процессы и удаляет вирус с пк.
. Чеврячёк Майнер есть разных модификаций и видов поражений, есть как легкодоступный в инете так и платный.
