Эксперимент: Window Server 2008 в сети интернет. Угрозы и их последствия.
01 мая 2017

Взлом сервера

Здравствуйте, уважаемые читатели моего блога.

Сегодня хочу рассказать вам о необычном эксперименте, который мы сегодня завершили.

Я думаю все, кто хоть как-то следит за новостями вITтехнологиях, не раз слышали про какие-то утекшие в сеть инструменты ЦРУ и АНБ. Я немного введу в контекст тех, кто не знаком с этим.
Эта история берет свое начало примерно за 14 лет до настоящих событий. Не является секретом то, что в любом программном обеспечении имеются допущенные программистами ошибки, какие-то пропущенные проверки, которые казались сами собой разумеющиеся. К примеру перемножение двух букв вместо чисел. Каков будет результат такого перемножения? А если от этого зависит скажем количество оборотов двигателя самолета? Или мощность излучения рентгеновского аппарата в больнице?

Отличить специально допущенную ошибку от непреднамеренной, практически невозможно. И чем сложнее программный комплекс, тем больше в нем может содержаться таких ошибок. Именно этим, а именно поиском и использованием таких ошибок и занималасьEquation Groupназванная так, с легкой руки экспертов Лаборатории Касперского.Shadow Brokers,еще одна хакерская группа, которая смогла выкрасть уEquation Groupполный набор инструментов по автоматизации взломов. Согласно мнению экспертов, ряд этих инструментов использовался в известной атаке на Иранскую ядерную программу. ПомнитеStuxNet,который вывел из строя Иранские центрифуги? Предполагается, что это их рук дело.

В этом наборе инструментов, разумеется, не была обойдена вниманием иOSWindows.Над поиском и использованием ошибок в своих и не только интересах, по оценкам Лаборатории Касперского, группа работала на протяжении более 10 лет, успешно заражая компьютеры в ключевых участках социальной инфраструктуры в 42 странах мира.[1]Такой масштаб деятельности проходил под крылом двух ключевых ведомств Соединенных Штатов Америки ЦРУ и АНБ. Последняя давно и плодотворно «сотрудничает» совсеми лидерами в разработке программного и аппаратного обеспечения.

На этом фоне, мы и решили произвести свой эксперимент.

Суть его заключалась в том, чтобы подключить серверWindows 2008 R2 SP1с последними обновлениями напрямую к сети интернет и посмотреть, как быстро его взломают.

Сервер вышел в свет 15 января 2017 года.
Мы создали там несколько пользователей, пару виртуальных машин, чтобы создать видимость, что сервер обитаемый и рабочий. Единственное, что мы не стали делать — это активировать встроенный файрволл. Сервер должен был держать удар только за счет безошибочности своего программного обеспечения.
Разумеется на нем были установлены все последние обновления.

20 января мы начали регистрировать первые попытки авторизоваться под стандартными учетными записями по протоколамRDP (это терминальное соединение)и протоколуSMB(это душа всего сетевого обменаWindowsоперационных систем). Но они были вялыми и видно было, что активность не высокая. Сравнивая с атакой, которую мы отбивали 2 года назад, там подбор шел по 10-15 соединений в секунду. Сервис больше суток в таком режиме не выдерживал и повреждался.

Так прошел весь январь, февраль, март и почти апрель. Мы уже начали сомневаться, но в начале апреля произошло два важных события:Shadow Brockers,группа выкравшая инструменты уEquation Group, выложила в открытый доступ их инструментарий по автоматизации взломов с использованием ранее неизвестных уязвимостей. Это случилось 8 числа. 14 числа была выложена вторая его часть. И согласноWiki[2],в течении следующих двух недель с его помощью было заражено более 200 000 компьютеров.

Наша история началась 27 апреля.
В 19:
07сервис отвечающий за обработку, в том числе протоколаSMB,а по сути являющимся сервисом «одного окна» ко всем основным возможностямWidows,решил вдруг переавторизоваться в системе.
Следующие 10 минут на сервер аккуратно вкачивалось программное обеспечение и раскладывалось по папкам. В нашем случае в «коробку поставки» входил довольно развитый шифровальщик и биткоин майнер. Оба весьма успешно мимикрировали под стандартные сервисы
windows.
В 19:17были активированы сервисы шифровщика и майнера. За 5 минут шифровщик управился со всеми пользовательскими данными и завершив свою работу отправил его на выключение. Вы тоже заметили, что две задачи между собой не вяжутся?
Майнер должен не привлекать внимание, а шифровщик должен, как раз наоборот дать возможность быстро обозначить жертве путь к спасению. Мы предполагаем, что в панели управления, когда «планировалась поставка», была поставлена лишняя галочка. И нам вкатили два продукта «по цене одного».

Спустя 2 дня, 29 апреля, происходит второй взлом.
На сервер загружается еще один биткоин майнер. Что хочется отметить — это был очень корректно написанный софт, который следил за тем, чтобы не создавать трафик и быть незаметным по нагрузке на
CPUи по работе с сетью.А но вот механизм проникновения подкачал и сервер два раза падал в синий экран с совершенно невообразимой ошибкой «Machine Check Exception», при этом даже дамп не сохранялся.
В общем, 29 числа, сервер был почищен и наблюдение продолжилось.
Однако, уже 30 апреля в середине утра, он был вновь взломан и вновь был установлен уже знакомый майнер, более того, днем он ещё и обновился до последней версии.
Что-ж, стало понятно, что сервер включен в глобальную сеть ботов. Его добавили в систему мониторинга, а значит взломы будут продолжаться до устранения уязвимости.

На этом цель нашего эксперимента была достигнута и 1 мая сервер был отключен.

Итоги, самые ожидаемые:

  1. Мы подтвердили мнение, чтоWindowsв интернет без механизмов защиты, лучше не выставлять. Он будет взломан и это неизбежно.
     
  2. На то, чтобы сервер был захвачен, в нашем случае потребовалось 96 дней. Понятно, что это дело вероятности имотивации, это могло случиться и быстрее. Тем не менее, в нашем случае это заняло 3 месяца.
     
  3. Если вас «заказали», то ситуация много хуже. Беспечность в этом вопросе — может обернуться жуткой катастрофой.
    Поэтому, если Ваша компания ведет агрессивную игру на рынке, ваши системные администраторы должны быть готовы принять удар.

     
  4. Для предотвращения подобных случаев, старайтесь не работать по стандартным шаблонным методам, изменяйте значения по умолчанию, избегайте прямых соединений и используйтеVPNканалы, где это возможно, пакетные и проактивные фильтры в обязательном порядке. Не пренебрегайте системностью подхода.
    Лучше несколько часов подумать, чем рвать на себе волосы, материться и бороться с чувством безысходности десятки часов к ряду.
    Делайте бекапы, любыми доступными средствами и всегда исходите из того, что зловред может подключиться к сетевому диску.

     

Данный эксперимент важен для нас, как компании предоставляющейITуслуги,с точки зрения знакомства с современными методами проникновения. Используя эти знания, мы можем улучшить наши методы противодействия и конечно, навыки ручной борьбы с подобными угрозами. Это особенно важно в случаях, когда антивирус ещё не обнаруживает зловреда, но заражение уже произошло и есть насущная необходимость вылечить компьютер. Фактор времени здесь сложно переоценить.
В задачу любого профессионала входит не допустить подобного развития ситуации, но для этого он должен иметь возможность увидеть, пощупать и изучить, как происходит заражение. Именно это и было нашей конечной целью. По итогам эксперимента будет выпущен учебный материал:
«Исследование методов заражения сервера, подключенного к сети интернет, без средств защиты», который ляжет в основу нашего нового внутреннего курса.Знания и опыт самый дорогой актив не только вIT.

Удачи Вам и успехов!

Работайте с профессионалами — это выгодно.

Всего Вам доброго!

---
[1] https://arstechnica.com/security/2015/02/how-omnipotent-hackers-tied-to-the-nsa-hid-for-14-years-and-were-found-at-last/
[2] https://en.wikipedia.org/wiki/The_Shadow_Brokers

12>