ЧитаютКомментируютВся лента
Это читают
Это комментируют

СБУ попередила про можливу нову кібератаку вірусу Petya

    20 вересня 2020 неділя
    Petya атакує знову: СБУ проінструктувала українців

    Служба безпеки України попередила про можливу нову кібератаку на мережі українських установ і підприємств. СБУ розробила спеціальні рекомендації та попросила системних адміністраторів їх дотримуватися.


    Відповідне повідомлення опублікувала прес-служба відомства. Фахівці СБУ припускають, що метою кібератаки 27 червня з використанням вірусу Petya був збір даних про українські підприємства, які можуть бути використані як для проведення кіберрозвідки, так і з метою подальших деструктивних акцій.


    "Про це свідчить виявлений ​​фахівцями в ході дослідження кібератаки "Petya" утиліт Mimikatz (інструмент, в т.ч. реалізує функціонал Windows Credentials Editor і дозволяє отримати високопривілейовані аутентифікаційні дані з системи у відкритому вигляді), яка використовує архітектурні особливості служби Kerberos в Microsoft Active Directory з метою прихованого збереження привілейованого доступу над ресурсами домену. Робота служби Kerberos базується на обміні і верифікації так званих квитків доступу (TGT-квитків) ", - сказано в повідомленні.


    Як пояснили в СБУ, в регламентах з інформаційної безпеки більшості закладів і організацій зміна пароля користувача krbtgt не передбачена.


    "Таким чином, у зловмисників, які в результаті проведеної кібератаки "Petya" несанкціоновано отримали адміністративні відомості, з'явилася можливість генерації умовно безстрокового TGT-квитка, виписаного на ідентифікатор вбудованого адміністратора (SID 500). Особливістю згаданого TGT-квитка є те, що в умовах відключення скомпрометованого врахованого запису, аутентифікація по Kerberos буде легітимною і буде сприйматися системою. Для підгрузки TGT-квитка в адресний простір операційної системи root-повноваження не потрібні ", - додали в спецслужбі.


    Виходячи з цього СБУ рекомендує сисадмінам та уповноваженим особам з інформаційної безпеки підприємств, які потрапили під атаку систем, в найкоротші терміни провести такі дії:


    - здійснити обов'язкову зміну пароля доступу користувача krbtgt


    - здійснити обов'язкову зміну паролів доступу до всіх без винятку облікових записів в підконтрольній доменній зоні ІТС


    - здійснити зміну паролів доступу до серверного обладнання та програм, які функціонують в ІТС


    - на виявлених скомпрометованих ПЕОМ здійснити обов'язкову зміну всіх паролів, які зберігалися в настройках браузерів


    - повторно здійснити зміну пароля доступу користувача krbtgt


    - перезавантажити служби KDC.

    Нас уже 25000 в Facebook! Присоединяйтесь!
    Рейтинг: 

    Пунктів: -1

    Интернет-издание
    UA-Reporter.com
    Письмо редактору