Audit of Death – Active Directory

31 lipca 2015 at 09:16

Ostatnio w produkcyjnym środowisku Active Directory (Windowsy Server 2012 R2, FFL 2012 R2, DFL 2012 R2), które jest mocno audytowane przydarzyła się ciekawa przypadłość. Serwery zaczęły się restartować w bardzo krótkich interwałach czasu – od kilku do maksymalnie kilkunastu minut. Objawy w EventLogu: The process wininit.exe has initiated the restart of computer DC1 on behalf of user  for the following reason: No title for this reason could be found  Reason Code: 0x50006  Shutdown Type: restart  Comment: The system process ‚C:\Windows\system32\lsass.exe’ terminated unexpectedly with status code -1073740286.  The system will now shut down and restart. Natomiast przy sesji interaktywnej zalogowanemu użytkownikowi wyświetlał się komunikat z informacją o błędzie oraz o tym, że system zostanie zrestartowany w ciągu minuty: Jak naprawić ten problem? Należy pobrać i zainstalować hotfix’a rozwiązującego problem ze strony: https://support.microsoft.com/en-us/kb/2914387 W przypadku, gdy pojawi się informacja o tym, że Hotfix nie jest kompatybilny z wersją systemu – należy zastosować Workaround, który opisywałem już wcześniej. Jeśli powyższy hotfix nie zadziała, to jest również dostępna inna poprawka:  http://www.microsoft.com/pl-pl/download/details.aspx?id=42160 która naprawia samoczynne restarty systemu operacyjnego skutkujące tymi samymi błędami. Tak więc nie zawsze bezpieczne i audytowane środowisko idzie w parze z zachowaniem ciągłości działania… Nie mniej jednak z audytu AD nie należy! Są […]

CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Czym się bronić?

27 lipca 2015 at 11:50

Spis treści: 1. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Intro 2. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Skąd? 3. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Czym się bronić? 4. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Jak się bronić? Znamy już odpowiedzi na kilka zasadniczych pytań w kwestii ataków złośliwego oprogramowania szyfrującego nasze dane, zdefiniowaliśmy swoje słabe punkty, miejsca gdzie dochodziło do ataków, wykorzystywane w organizacji oprogramowanie oraz stan obowiązujących procedur. Pora zebrać to w logiczną całość i ułożyć plan skutecznej ochrony. Let’s do IT! Zbieramy najpierw systemy i oprogramowanie, którymi dysponujemy w chwili obecnej. Najczęściej sprowadza się to wylistowania: 1. Oprogramowania antywirusowego (na stacjach klienckich i serwerach) 2. Systemów ochrony sieci IDS, IPS, Firewalle tradycyjne, Firewalle aplikacyjne i warstwy 7 modelu OSI. 3. Systemów ochrony antyspamowej i antywirusowej poczty korporacyjnej 4. Systemów wykrywania włamań, podejrzanych akcji, śledzenia sesji, połączeń itd. + przetwarzania tych informacji = systemy typu SIEM Dużo? To zależy od punktu widzenia. Niby lista jest całkiem pokaźna, jednak dla zagrożeń typu Crypto* taka lista nie stanowi najmniejszego problemu – niestety… Chyba każdemu z głównych graczy na rynku antywirusów przytrafiły się wpadki związane z niewykrywaniem zagrożenia typu Crypto*. Część z nich wykrywała niby większość ataków, […]

CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Skąd?

24 lipca 2015 at 08:36

Spis treści: 1. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Intro 2. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Skąd? 3. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Czym się bronić? 4. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Jak się bronić? Zakładamy, że po wcześniejszej analizie udało się znaleźć odpowiedzi na większość zadanych pytań. Mamy już pewne przemyślenia, ale jednak nadal brakuje pełnego obrazu tego, co się wydarzyło. Musimy zadać sobie kolejną serię pytań – tym razem z grupy „Gdzie\Skąd?” Gdzie\skąd miał miejsce atak? Czy był wymierzony z internetu (złośliwa strona? Złośliwy link? Złośliwa reklama? Przekierowanie? Załącznik w mailu? Dziura we flash’u?… ) czy też jego epicentrum miało miejsce od środka (zainfekowany pendrive/cdrom/dysk wymienny? Zainfekowana stacja prywatna? Zainfekowana stacja korporacyjna? Zainfekowany serwer? Nieznane urządzenie w sieci wi-fi…). Odpowiedź na to pytanie czasami nie jest trywialna i jej znalezienia zależy od ilości i jakości logów, które zbieramy. Często pewnie nie uda się udzielić jednoznacznej odpowiedzi na zadane pytanie – a wtedy pozostanie głęboka analiza zachowania danego złośliwego oprogramowania i mechanizmów, które ono wykorzystuje do infekowania hostów. Kolejne bardzo istotne pytanie związane z pytaniem z wcześniejszej części (co możemy poświęcić, a co jest krytyczne?) Gdzie znajdowały się zaszyfrowane obecnie dane? Czy […]

CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Intro

22 lipca 2015 at 15:54

Spis treści: 1. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Intro 2. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Skąd? 3. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Czym się bronić? 4. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Jak się bronić? Ostatnimi czasy obserwuje się natężenie ataków złośliwego oprogramowania typu CryptoLocker czyli programów, które szyfrują dane dostępne dla użytkownika i oczekują zapłaty za ich rozszyfrowanie. Temat dosyć przykry, bo praktycznie zawsze powoduje utratę danych (czasami jest to strata liczona w minutach pracy, czasami w godzinach, dniach czy nawet miesiącach…). Po każdej takiej infekcji i negatywnym wpływie udanego ataku na organizację rodzi się pytanie – czy ataku można było uniknąć? Czy skutki mogły być mniejsze, mniej dotkliwe? Co zrobić aby w przyszłości sytuacja się nie powtórzyła? Temat jest bardzo złożony i wieloaspektowy. Jeśli ktoś spłyca go do aktualnego antywirusa na stacji roboczej + backupów to gratuluję… Można żyć i w takim przeświadczeniu aż przyjdzie przysłowiowy 0-day i „pozamiata”. Cały problem zasadniczo sprowadzić można do zadania 4 podstawowych pytań (z 4 kategorii): 1. Zdarzenia – „Co?” (Co nas zaatakowało? Co nam „uszkodziło”? Co zrobiliśmy żeby uniknąć ataku? Co zawiodło? Co się działo podczas infekcji?) 2. Miejsca – „Gdzie?/Skąd?” (Gdzie/Skąd nas zaatakowało? […]

Weryfikacja, czy plik jest używany lub zablokowany przez inny proces/użytkownika

14 lipca 2015 at 12:00

W przypadku, gdy zachodzi potrzeba sprawdzenia czy dany plik jest wykorzystywany przez jakiś proces lub innego użytkownika można do tego celu wykorzystać następująca funkcję:

Opublikowaną swego czasu przez Davida Brabanta Całe testowanie prowadza się do wykonania polecenia:

które zwraca odpowiedzi na zasadzie prawda/fałsz – proste szybkie i skuteczne. Ku pamięci – żeby nie musieć w przyszłości jeszcze raz „odkrywać Ameryki na nowo”…

© Marcin Krzanowicz