"Kibertámadás érte az Egis Gyógyszergyárat"

HUP cikkturkáló

Kollégáink dolgoznak az elhárításon, közben folyamatosan zajlik a gyógyszergyártás és helyreállt az árukiszállítás is. A károk felbecsülése a folyamat lezárása után várható

Részletek itt.

  • 1346 megtekintés

( tigrincs | 2020. 02. 28., p – 20:23 )

#StopClickBait

Tehat nem kibertamadas csak mancika vagy bela beszivott egy cryptolockert.

( istii | 2020. 02. 29., szo – 00:54 )

A támadás a windowsokat érintette, tehát nem csak egy sima beszívott cryptolocker. Persze lehet, hogy "mancika" éppen domain admin volt. De ha mégis egy sima beszívott locker volt ami letitkosította a full windows infrastruktúrát, azt is nevezhetjük kibertámadásnak, mert pont az.

Nyugodtan össze lehet hasonlitani, mindegyikben voltak már durva hibák, de olyan még nem volt, hogy egy patchelt, NLA-s RDP-n csak úgy ki-be lehetett volna menni. Ne kezdjük el újra, elég csak az ÖSSZES win-es VM-et megnézni azure-ban, aws-ben, gcp-ben, nyitott rdp-vel, valahogy nem titeket igazol.

Simán elképzelem, hogy a jelszó valami ilyesmi volt RDP-hez: 123456 :)

Voltam hasonló nagy cégnél, kéri a jelszót, adnám át rendszergazdának, hogy üsse be, erre elmondja mit kell beírni. Mondom komolyan? Ez a jelszó? Nem mondta még senki, hogy ez esetleg nem biztonságos? (de főleg, hogy nem kellene terjeszteni)

De simán lehet az is, hogy ugyanazt a jelszót használták más oldalon, ami szivárogtatás áldozata lett.

  • Az RDP kiszolgáló beállítása, hogy publikus IP címekről tiltva legyen a TCP3389 port elérése.
  • Amennyiben szükséges RDP elérés, a hozzáférés korlátozása megadott IP címekre.
  • RDP hozzáférés és hozzáférési kísérletek naplózásának beállítása.

Tényleg ez utolsót már sikerült az MS-nek normálisan megcsinálni?

A létező felhasználó kíván belépni RDP-n rossz jelszóval hol található az eseménynaplóban ? (mert amikor legutóbb volt szerencsém egy "megoldás"szállító RDP-s "kérdéséhez" nemigazán sikerült megtalálni (a 2012R2 csak azt loggolta, ha nem létező felhasználó akart sikertelenül belépni :)). Termésetesen  ha egy ilyen szemétrakást el kell írni kivülről mindenkinek csupaszon és rászál egy-két bot ami szintén próbál belépni  az se tud belépni akinek amúgy joga van rá mert kap egy szép hibaüzenetet "the number of connections to this computer is limited and in use right now. Try connecting later ...". 

( apostroph3 | 2020. 02. 29., szo – 10:52 )

nagyon kellett már egy olyan program ami teljes körűen kihasználja a window$ kivételes képességeit :Đ

( answ | 2020. 02. 29., szo – 13:31 )

Szerkesztve: 2020. 02. 29., szo – 13:32

Oh hány helyen volt ilyen. Tudok olyan laborról, ahol admin jogot kellett adni 1-2 nem IT-s embernek, mert "szüksége volt hozzá a munkavégzéshez". Aztán egy nap minden titkosítva lett, mert leszedett valamit, ráadásul olyan gépen, ami egy rakás hálózati meghajtót is elért (és így titkosított). A rendszergazda nem volt boldog, jó időbe telt mentésekből visszaállítani. Azóta nem tudom kapnak-e admin jogot dilettáns személyek.

Jobb helyeken a kutyát nem érdekli, hogy a saját gépét kicsinálja valami szutyokkal. Ott nem tárolhat semmi fontosat. Image visszahúz és kész.

Az meg, hogy letitkositja a hálózati meghajtókat, teljesen független attól, hogy admin joga van-e, sima user accounttal is letitkosit mindent amihez csak hozzáfér.

>> lehetőséged biztosíthat, hogy privilegizált account-ot szerezzen

adminról beszélünk, igen

 

>> az IT központi security beállításait

általában több kárt okoznak, mint 6millió vírus

 

>> jobb helyeken

ott, jah, ismerjük ezeket a jobb helyeket