Hirdetés

Keresés

Hozzászólok Aktív témák

  • Gargouille

    senior tag

    válasz Victorio #14 üzenetére

    De azt most akkor lehet tudni (vagy te tudod), hogy ez egy mezei zsarolóvírus volt?

  • Gargouille

    senior tag

    válasz cog777 #26 üzenetére

    Nagyon régóta már ilyen a Windows, de ahogyan Kraftxld kolléga is írja, az ellen nem véd, ha a szerverhez magához is hozzáfér a támadó. Ha már pillanatkép, akkor már jobb stratégia, ha virtuális gépként fut a szerver és a hypervisort elrakod egy szeparált alhálóban és a VM-ről csinálsz snapshot-okat. Persze a biztonsági mentést ez nem helyettesíti.

  • Gargouille

    senior tag

    válasz cog777 #30 üzenetére

    Nagyon sokaktól olvasom ezt, amit most tőled is, hogy a titkárnő ne nyissa meg a ppt.exe-t. Ezzel kapcsolatban (csak az informálódás végett) picit oszlatnám a "tévhitet" vagy árnyalnám a képet.

    Munkámból fakadóan volt szerencsém lehetőségem az elmúlt kb 1 évben részt venni különböző vállalatoknál néhány ransomware támadás utáni felderítésben, helyreállításban, kármentésben. Amit láttam, az egészen megdöbbentő volt, ugyanis az utóbbi időben rendre célzott támadások történtek (főleg középvállalatokról beszélünk, de volt 20 fős kisebb cég is).

    Egyáltalán nem arról volt szó, hogy rákattintott valaki egy csatolmányra vagy böngészett valami warez oldalt. Ez még pár éve volt sláger. Most sok esetben VPN sebezhetőségen, RDP sebezhetőségen, felhős managment sessionon keresztül vagy internet kapcsolattal rendelkező eszközön vagy egyéb résen érkezett a támadó (tehát személyesen egy ember vagy csapat). Több esetben hetek óta bent voltak és figyelték a hálózatot, feltérképezték, megnézték mi az ami hozzáférhető, hogy zajlik a mentés, mikor van munkaidő stb. És ez után a kellő pillanatban és ismeretek birtokában engedték ki a szellemet a palackból.

    Volt olyan cég köztük, akiről biztosan te is olvastál a hírekben és igazából profi IT csapatuk volt, jó volt a rendszer is, de egy eszközön (és azon belül egy 0day-en) keresztül mókolták meg őket.

    Az ilyen jellegű célzott támadások régen ritkák voltak, inkább csak a nagyon kiemelt célpontokra, igazán nagy cégekre mentek rá így. De ez megváltozott, most már széles körben és egyre bátrabban támadják ilyen módon a kisebb cégeket is.

    Mindezt csak azért szerettem volna hozzáfűzni a kommentedhez, mert lehet, hogy sokan azt hiszik, hogy csak Marikát kell eltiltani a csatolmánytól és védve is vagyunk, de sajnos ez nagyon nem így van ma már. Ez hamis biztonság tudat. Most már nem csak így kapja az ember a zsaroló vírust, hanem "személyesen címezve", jóformán "letolt gatyával" találja meg azt is akinél jól felépített hálózat és rendszer van.

    Persze ha valóban jó a rendszer akkor igazából adatvesztés nincs, mert helyreállítható, viszont adatszivárgás, adatlopás megvalósul ami szintén egy nagyon komoly probléma és ugyanúgy zsaroló potenciál a támadó kezében. És az ellen a legjobb mentés sem véd.

  • Gargouille

    senior tag

    válasz cog777 #30 üzenetére

    Kiegészítésként még annyit, hogy a snapshot-olásnak igazából akkor van értelme (ilyen esetekben), ha azok elkülönülnek attól a rendszertől, amiről a pillanatkép készül. Egy sima WIndows snapshot nem ilyen, az tényleg csak az ellen véd ha véletlenül kitörölsz vagy felülírsz valamit. A VM-ek snapshot-olása kicsit más és az remekül működik, csak ugye ott is alapvető kell legyen, hogy elkülönüljön a produktív környezettől. Amúgy automatizálni simán lehet, powershellből például remekül kezelhető, scriptelhető, időzíthető.

Hozzászólok Aktív témák