СБУ дала рекомендации по защите от новой кибератаки

"На 27 июня этого года Украина пережила масштабной кибератаки с использованием вредоносного программного обеспечения выявлены, как компьютерный вирус, Петя. При анализе последствий и допущений этой атаки оказалось, что ей предшествовало сбор информации о предприятиях Украины (электронной почты, пароли к учетным записям, учетные данные для входа в систему командования и управления серверами и хэш данных учетных записей пользователей) и их последующего сокрытия в них и передаваться на командный сервер", — сообщает СБУ.

Специалисты СБУ считают, что эта информация была цель первой волны кибер-атак и может быть использован в качестве инициаторов для проведения киберразведки и в целях дальнейшего разрушительного действия.

Об этом свидетельствуют обнаруженные специалистами утилита Mimikatz (инструмента, в том числе реализует функциональность учетные данные Windows редактор и позволяет получить привилегированные учетные записи пользователя из системы в ясном), который использует архитектурные особенности службы kerberos в Microsoft Активный каталог для скрытого сохранения привилегированного доступа к ресурсам домена. Работа службы kerberos основана на обмене и проверки так называемых билета (tgt билета).

Таким образом, злоумышленники, которые в результате кибератаки Петя несанкционированного получил административных данных, есть возможность создания условных бессрочный билет tgt-билет, выдаваемый в удостоверение бортовой администратора компьютера (SID 500). Особенность упомянутых билет tgt, что в условиях отключения взломана учетная запись проверки подлинности через kerberos будет законным и будет восприниматься системой. Чтобы загрузить билет tgt в адресном пространстве операционной системы, права суперпользователя не нужны.

Учитывая вышеизложенное, СБУ рекомендует системным администраторам или другим уполномоченным лицам в кратчайшие сроки выполнить такие действия: осуществлять обязательное изменение пароля записи krbtgt доступ пользователей; осуществлять обязательная смена паролей для всех учетных записей контролируется ЦМТ доменной зоны; чтобы изменить пароль доступа к серверным оборудованием и программами, которые работают в кВт; по выявленным зараженным ПК для проведения обязательного изменения всех паролей, которые были сохранены в настройках браузеров; повторно изменить пароль пользователя записи krbtgt; перезапустите службу KDC.

СБУ рекомендует также, чтобы избежать дальнейшего сохранения в данных проверки подлинности шлюза в открытом виде и использовать для этих целей специализированное программное обеспечение.

Ранее сообщалось, что специальное структурное подразделение Национального центра киберзащиты и противодействия киберугрозам выступил с официальным заявлением о возможном нападении, приуроченная ко Дню Независимости Украины.

Категория: Техника