Új hozzászólás Aktív témák
-
#16
Gargouille
őstag
MasterDeeJay
#13
Gargouille
őstag
válasz
MasterDeeJay
#13
üzenetére
Jól mondja HCL kolléga, jumpszerver a célszerű ha már mindenképp kell. Bár telefonról én egészen biztosan semmilyen módon nem tennék elérhetővé szervert.
-
#14
hcl
titán
MasterDeeJay
#13
válasz
MasterDeeJay
#13
üzenetére
Ilyenkor akkor már érdemesebb egy jumpserver. Nekem a home szerveren van már csak SSH (nem standard porton), azon keresztül bejutok, onnantól kezdve van VNC is.
Meg ha már valamit be kell engedni, akkor azt nem standard portra. Sokkal kevesebb úgy a bepróbálkozás.
-
#13
MasterDeeJay
veterán
hcl
#12
-
Semmit nem látnál egy zsaroló által megtámadott gépen, mert annak a lényege, hogy letitkosítja a file-okat. Ha olyat szívsz be, amire van visszaállító cucc, akkor azt lehet használni, de ez nem életbiztosítás.
@MasterDeeJay : Az a baj, hogy ha valahogyan el lehet érni a te géped, arról simán megszerezheti valaki a jogaidat. Onnantól úgy megy be a szerverre, mint te.
Ez a separation of duties elve, miszerint az ilyen, kintről elérhető gépek csak egyféle dolgot csinálnak, illetve nem zsúfolunk indokolatlanul sok feladatkört egy gépre.
Az sem érdekes, hogy ott ülsz-e. Egy ügyes támadót nem veszel észre a gép fizikai konzoljáról.@Gargouille : Az Exchange sem véletlenül most pattant ki.
-
#11
Gargouille
őstag
MasterDeeJay
#10
Gargouille
őstag
válasz
MasterDeeJay
#10
üzenetére
A cég - ahol ez történt - kb 20 fő. Sajnos nem a mérettől függ, a lehetőség számít. Tudod, mint a besurranó tolvaj, nem nézi, hogy kinek a lakása, ha nyitva az ajtó akkor már bent is van és viszi ami mozdítható. Érdemes a legmeredekebb forgatókönyvekre készülni, bármilyen túlzásnak is hangzik.
Van egy gyanúm - de tényleg csak gyanú - amúgy, hogy a SolarWinds ügyből kifolyólag (az érintettektől) rossz kezekbe kerülhettek bizonyos 0day sebezhetőségek és/vagy olyan sérülékenységek, amiket most aktívan elkezdtek kihasználni (nem a Red Team Tools-ra gondolok). Kb tavaly év vége óta egyre több olyan esetet látok-hallok, amiket korábban nem nagyon.
-
#10
MasterDeeJay
veterán
Gargouille
#9
válasz
Gargouille
#9
üzenetére
Durván hangzik. Bár tűzfalon csak adott ip-kre engedek be pár külsőst az a gyenge pont. Usereknek gépéről kivéve az enyémet meg nem lehet szerverre bemenni.
Gyakoribb szerintem az user error, az ellen jól állok. Direkt támadás ellen lenne mit javítani. Bár ez kis haló 50 gép 4 szerver fele hyperv. Nem nagy célpont. -
#9
Gargouille
őstag
Gargouille
őstag
Cégnél ahol vagyok most minden gépről időnként van teljes lemezkép mentés egy külön szerverre melynek megosztását csak az adott program látja (veeam) és teljesen más userrel fut mint a többi szerver. A szerverek is veamra mentenek erre a szerverre valamint külső hdd-re winsrv saját backupjával amely nincs megosztva és betűjel sincs hozzárendelve. Illetve eleve virtuális szerverek is futnak amelyek alapból visszaállíthatóak árnyékmásolatból. De ez a worst case, mert alapból elég szokott lenni csak az árnyékmásolat ha valami gáz van.
Na pont egy hasonló felépítésű rendszernél vettem részt pár hete a felderítésben és a helyreállításban. Csak a tanulság kedvéért és nagy vonalakban:
A támadó bejutott a szerverekre (AD környezet, az összes szerverük kompromittálódott), Veeam agent volt a mentés külön nem domain userrel egy NAS-ra, csak a mentéseknek (ahogy nálatok), Windowsba el sem volt mentve a user. Miután legyakta az összes shadow copy-t és a fájlrendszert, kinézte a Veeam agentből a jelszót és a mentést is bedarálta.
Sajnos tehát az sem garancia, hogy nincs betűjel rendelve hozzá vagy külön usered van. Az árnyékmásolat az meg az első dolog, amit azonnal törölnek (ha nem barmolnak bele fizikailag a fájlrendszerbe, akkor persze még manuálisan van esély ezt visszacsinálni, de pokoli meló). Ha bejutottak a szerverre vagy a gépre, onnan bukta van mindennek amit el lehet érni. Ami védelmet ad, az például az elszeparált hálózat, ha a hypervisor meg a mentések (tehát az alap infrastruktúra) egy olyan másik védett hálózatban van ami semmilyen módon nem elérhetők a produktív környezetből. A mentést meg ebből a védett hálózatból érdemes csinálni akár Veeam Backup & Replication-el, meg snapshot-olni a VM-eket stb. Így akármi történik a produktív hálózatban (mert ott minden is megtörténhet), a mentés érintetlen tud maradni. Meg persze off-line mentés és verziózás. Egy külső USB HDD például teljesen jó, bármilyen primitív megoldás is.
Sajnos már rég túl vagyunk azokon az időkön, amikor csak egy sima encryptáló exe futott a memóriában és ennyi volt a támadás, ha kilőtted akkor vége is, a mostani módszerek sokkal szofisztikáltabbak.
-
#8
MasterDeeJay
veterán
Pár ilyen zsarolóvírusos titkosítással már találkoztam.
Pl régebben azaz talán a kezdetekkor volt egy olyan amely a fileokat titkosította majd locky kiterjesztést adott hozzá és egy txt filet az adott könyvtárba hogy ide fizess ha meg akarod kapni a vissza kódoló kulcsot. Maga a kód addig futott amíg a gép ment de nem terjedt át más gépre szerencsére csak egy adott gép titkosítgatta a hálózati megosztásokon a fileokat.Szervereknél fileszűrés és figyelést szoktak beállítani. Ha egy felhasználó valamiért létrehoz egy ilyen figyelt kiterjesztést azt egyből ledobja a megosztásról, vagy ha egyszerre túl sok adatot akar mozgatni arról is figyelmeztetés érkezik a rendszermókusnak.
Szerencsére ha ezek a vírusok ha nem a szerverről indulnak akkor könnyedén visszaállíthatóak minimális vagy 0 veszteséggel a fileelőzményekből.
A legnagyobb gond akkor van ha valami luk van a rendszerben, azaz nem egy program indít támadást egy user gépéről hanem közvetlenül a szervert érik el (pl: bejönnek RDP-vel) vagy admin szinten futnak, na ilyenkor van bukó és lehet hozzányúlni a nagyobb mentésekhez és ez bizony már járhat leállásokkal.Home usernek egyszerűbb ha csinál egy külső vincsire rendszeresen mentést. Illetve több tárhelyet használ egyszerre. Nálam pl a telefonokról megy fel google felhőbe, és otthoni nas-ra is minden kép/video és ezekről havonta csinálok egy mentést külső vincsire.
Cégnél ahol vagyok most minden gépről időnként van teljes lemezkép mentés egy külön szerverre melynek megosztását csak az adott program látja (veeam) és teljesen más userrel fut mint a többi szerver. A szerverek is veamra mentenek erre a szerverre valamint külső hdd-re winsrv saját backupjával amely nincs megosztva és betűjel sincs hozzárendelve. Illetve eleve virtuális szerverek is futnak amelyek alapból visszaállíthatóak árnyékmásolatból. De ez a worst case, mert alapból elég szokott lenni csak az árnyékmásolat ha valami gáz van.
-
Egon
nagyúr
-
#6
Gargouille
őstag
Dilikutya
#4
Gargouille
őstag
Nem csak emailben lehet "benyelni", az ellen könnyen lehet védekezni viszonylag. Ez még pár éve volt a fő tendencia. Mostanra már aktívan kihasznált sebezhetőségeken keresztül és célzott támadással is bőségesen jönnek. Például a legutóbbi Exchange sebezhetőségről bizonyára hallottál, de ugyanígy aktívan keresik a kint hagyott RDP-n elérhető gépeket, a már nem supportált (pl. Win XP, Win7 stb.) oprendszereket, régi SAP rendszereket, Teamviewer elérésket (de láttam már Chrome Remote Desktopon is), és így tovább. És persze az adathalászatok során összegyűjtött info-kat is felhasználják, hogy személyre szabottan küldjenek levelet, amik már nem olyan béna spam-ek, amiket fél kilométerről felismersz csukott szemmel, hanem akár olyan emailek, amiben előzményként ott van mondjuk egy korábbi valós levelezésed valakivel...
Nyilván ha odafigyel az ember (főképp otthoni környezetben), akkor ezek jól védhetők, de egy vállalat például sokkal nehezebb helyzetben van ilyen szempontból. Több az ember, bonyolultabb a rendszer, sok a szolgáltatás, sok a külső elérés, több a hibalehetőség.
Tény, hogy kell hozzá az is, hogy valahol hibázzon az ember vagy legyen rés a rendszerben, de ez azért a legtöbb esetben adott.
-
#5
moongoose
őstag
Gargouille
#3
válasz
Gargouille
#3
üzenetére
Részedről kaptam a legpontosabb megfogalmazást.
Erre lettem volna kíváncsi. -
Dilikutya
félisten
Én csak azt nem értem, hogy lehet zsarolóvírust, vagy bármi ilyet benyelni.
Ismeretlen feladó zavaros levele: kuka
Telefonszolgáltató számlája, amihez semmi közöm: kuka
Tört magyarságú nigériai fivérem szomorú sorsa: kukaStb, stb.
A mostanában futó csomagküldős SMS is jól példázza, az emberek a saját dolgaikról sincsenek képben.
Lövésem sincs, hol lehet zsarolóvírushoz jutni. Gyanús mellékletek is csak az ezeréves freemail címem spam mappájában landolnak, de a freemail-ről tudjuk, hogy a T-Online/Telekom elég trehány ilyen téren, egy időben a szolgáltatós címemre is jött szemét, pedig semmire se használtam. Értelmesen használt Gmail-en viszont már semmi, a spam is üres.
-
#3
Gargouille
őstag
Gargouille
őstag
Elég zavarosan fogalmaztad meg, de ha jól értelmezem, azt szeretted volna megkérdezni, hogy ha egy zsarolóvírus letitkosítja a merevlemezed tartalmát és ezután kiveszed a merevlemezt a gépből és átrakod mondjuk egy másikba, akkor ott mit látnál?
Ha ez a kérdés, akkor pontosan az a válasz amit írtak a többiek is, ugyanúgy a letitkosított fájlokat látnád. A zsarolóvírusok (magától a fertőzés mechanizmusától eltekintve) lényegében végigmennek a fájlrendszeren és minden egyes fájlt (vagy csak bizonyos fájltípusokat) fognak és letitkosítanak, ami prosztón megfogalmazva annyit tesz, hogy "krikszkrakszokra" cserélik a tartalmát, a változást pedig vissza is írják a lemezre. Ha ez megtörtént, akkor már akármivel nézegetheted, vagy rakhatod másik gépbe, ugyanazt fogod látni.
Sok ransomware-hez viszont készítettek dekódert, vagyis ha szerencséd van és olyan zsarolóvírust nyaltál be, amihez készítettek dekódert, akkor vissza tudod fejteni a titkosítást és ezáltal az adataidat.
A No More Ransom Projekt oldalán megtalálod ezeket a visszafejtő eszközöket.
Az egyetlen biztos megoldás, ha mentésed van, mégpedig off-line mentésed is az adatokról.
A fájlokat fizikailag kódolják, ergo másik gépbe rakva is pontosan ugyanazt fogod látni. Nem véletlenül állt az egész UNIX is napokig.
Új hozzászólás Aktív témák
- Elektromos rásegítésű kerékpárok
- Luck Dragon: Asszociációs játék. :)
- Székesfehérvár és környéke adok-veszek-beszélgetek
- Fortnite - Battle Royale & Save the World (PC, XO, PS4, Switch, Mobil)
- Milyen billentyűzetet vegyek?
- SSD kibeszélő
- NVIDIA GeForce RTX 5070 / 5070 Ti (GB205 / 203)
- Gyúrósok ide!
- Autós topik
- Formula-1
- További aktív témák...
- Precision 5570 15.6" FHD+ IPS i7-12700H RTX A1000 32GB 512GB NVMe magyar vbill ujjlolv IR kam gar
- ÚJ Bontatlan Apple Watch 10 46mm Cellular Rose Gold !! aktiválástól 1Év nemzetközi APPLE GaranciA
- AMD félkonfig - egyben, vagy külön-külön! Ryzen 5 5600, RX 5600 XT, stb
- Dell Latitude 5490, 14" HD , I5-8250U CPU, 16GB DDR4, 256GB SSD, W11, 27% áfás számla, 1 év garancia
- Keresek ROG Ally X-et.
- 125 - Lenovo Legion Pro 5 (16ARX8) - AMD Ryzen 9 7945HX, RTX 4070
- LG 38GL950G-B - Ívelt Nano IPS / 3840x1600 / 175hz 1ms / G-Sync Modul / FreeSync / HDR 400
- AKCIÓ! MSI B450M R5 5600X 32GB DDR4 512GB SSD RTX 3060 12GB Rampage SHIVA Zalman 600W
- SEAGATE ST6000NM0034 6TB 7.2k SAS HDD, nettó 15747Ft + ÁFA, 1 év garancia
- AKCIÓ! AMD Ryzen 9 3900X 12 mag 24 szál processzor garanciával hibátlan működéssel
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: Liszt Ferenc Zeneművészeti Egyetem
Város: Budapest