СБУ дала рекомендации по защите от новой кибератаки

"27 июня этого года, в Украине было кибератаке на больших масштабах с использованием вредоносного программного обеспечения, определили, как компьютерный вирус, Петя. Анализ последствий и предпосылок этого нападения было установлено, что он предшествует сбор данных по предприятиям Украины (e-mail, пароли на учетные записи, данные доступа к командно-контрольный сервер и хэш данных учетной записи пользователя) и их последующего сокрытия файлов cookie и отправить его на сервер команду", — сообщает СБУ.

Эксперты СБУ предполагают, что именно эта информация и цель была первая волна кибер-атак и может быть использован промоутеров для реализации киберразведки, и для того, чтобы дальнейшие разрушительные действия.

Это свидетельство, обнаруженная специалистами утилита Mimikatz (инструмента, вкл. реализует функции Windows Credentials Editor и позволяет получить любимые учетные данные для проверки подлинности открытая система), которая использует архитектурные особенности службы Kerberos в Microsoft Active Directory, с целью скрытой сохранить привилегированный доступ к ресурсам домена. Служба Kerberos основан на обмене и проверки так называемых доступ билетов (TGT-билеты).

Таким образом, преступники, которые в результате кибератаки Петя третьих лиц получили административные информацию, возможность создания условно бесконечно TGT-билет на имя идентификатор встроенного администратора (SID 500). Особенность, которой TGT-билет, что в условиях отключения системы регистрации записи проверки подлинности Kerberos является законным и будет восприниматься системой. Для того, чтобы загрузить TGT-билет в адресном пространстве операционной системы, права суперпользователя не нужны.

Учитывая изложенное, служба безопасности рекомендует системным администраторам или иные лица, уполномоченные в кратчайшие сроки, чтобы выполнить следующие действия: осуществить обязательное изменение пароля доступа пользователя krbtgt; реализовать обязательная смена паролей доступа ко всем без исключения учетных записей в контролируемую зону домена ИТЦ; смена пароля доступа к серверу аппаратного обеспечения и программы, которые работают в ИТЦ; на обнаруженных ПК компромиссы, осуществить обязательный заменить все пароли, которые были сохранены в настройках браузера; re-смена пароля пользователя krbtgt; перезапустите службу KDC.

СБУ рекомендует, кроме того, в будущем, избежать сохранить ЦМТ подлинности данных в открытом виде и использовать для целей специализированного программного обеспечения.

Ранее сообщалось, что специализированное структурное подразделение национального центра киберзащиты и противодействия киберугрозам распространило сообщение о возможной кибератаке, дата и День независимости Украины.

Категория: Новости Науки