Jump to content

Recommended Posts

Vitor_Sokolov
Posted

Добрый день, столкнулись с огромной проблемой с помощью агента администрирования был перенос вредоносного ПО.

Goddeimos13
Posted
  On 7/3/2024 at 7:55 AM, Vitor_Sokolov said:

Добрый день, столкнулись с огромной проблемой с помощью агента администрирования был перенос вредоносного ПО.

Expand  

Детали?

Vitor_Sokolov
Posted

Был перенесен файл шифровальщик LockBit3 на все устройства в сети через учетную записью Касперского и далее был запущен процесс шифрования данных.

tyazhelnikov
Posted (edited)

Можно подробнее? У Вас сломали KSC и с помощью его распространили ВПО?

Рекомендации из этой статьи выполнялись?

https://support.kaspersky.com/help/KSC/14.2/ru-RU/245736.htm

Edited by tyazhelnikov
Vitor_Sokolov
Posted

На всех зашифрованных машинах установился NetworkAgent и включилась служба klnagent

image.png.d2b475ffc7362919b90fbecc40538885.png

Так же во время взлома появилась папка "ProgramData\KasperskyLab\adminkit" 

  On 7/3/2024 at 8:32 AM, tyazhelnikov said:

Можно подробнее? У Вас сломали KSC и с помощью его распространили ВПО?

Рекомендации из этой статьи выполнялись?

https://support.kaspersky.com/help/KSC/14.2/ru-RU/245736.htm

Expand  

В большей степени рекомендаций были выполнены. 

tyazhelnikov
Posted

А Вы не разворачивали KSC и соответственно агентов? 

Сможете запустить на клиенте C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klcsngtgui.exe?

Он должен показать к какому серверу KSC подключен агент.

image.thumb.png.002da30379d57446237fca0e6d83ea39.png

Vitor_Sokolov
Posted

Да сервер наш.

image.thumb.png.27de0b3c2c0c305ae9ec708564817b76.png
 

tyazhelnikov
Posted

В консоль KSC доступ есть?

Подозрительных инсталпакетов нет?

В событиях аудита подключения "Аудит (подключение к Серверу администрирования)" левых УЗ нет?

Goddeimos13
Posted
  On 7/3/2024 at 8:49 AM, Vitor_Sokolov said:

Да сервер наш.

image.thumb.png.27de0b3c2c0c305ae9ec708564817b76.png
 

Expand  

На KSC используется 2FA?

На машинах стоял только агент (без KES-а)?

По логам нашли кто/когда и как подключался и запускал задачи?

Vitor_Sokolov
Posted
  On 7/3/2024 at 8:55 AM, tyazhelnikov said:

В консоль KSC доступ есть?

Подозрительных инсталпакетов нет?

В событиях аудита подключения "Аудит (подключение к Серверу администрирования)" левых УЗ нет?

Expand  

Доступ к серверу отсутствует, устанавливалось на VM после выполнения всех действий vmdk был зашифрован

  On 7/3/2024 at 8:56 AM, Goddeimos13 said:

На KSC используется 2FA?

На машинах стоял только агент (без KES-а)?

По логам нашли кто/когда и как подключался и запускал задачи?

Expand  

1. 2FA стоял на KSC

2. На данной машине его не было и защита не устанавливалась.

3. Нет доступа к серверу.
 

Vitor_Sokolov
Posted

KSC это отдельный сервер.
На все сервера от него прилетало вирусное ПО, он служил распространителем , далее уже все шифровалось и блокировалось.

На скрине пример что сервер даже не был под управлением KSC и все равно установился агент и прилетел шифратор.

Goddeimos13
Posted (edited)
  On 7/3/2024 at 9:07 AM, Vitor_Sokolov said:

На скрине пример что сервер даже не был под управлением KSC и все равно установился агент и прилетел шифратор.

Expand  

Для этого нужны права локального администратора на серверах. Тут не только KSC, тут скорее всего ваш домен был скомпрометирован или УЗ администраторов. KSC тут скорее выступил как удобный способ распространить ВПО.

Кстати как называется Ваша контора? ?

Edited by Goddeimos13
tyazhelnikov
Posted

Получается кто-то подключился к KSC (успешно пройдя 2FA) подключился к вашему KSC с полными правами.

Далее пользуясь возможностями KSC распространил ВПО.

Сломали админскую УЗ, прошли 2FA....  Странно все это.... Вы админа на днях не увольняли?

  • Haha 1
Posted
  On 7/3/2024 at 9:07 AM, Vitor_Sokolov said:

На скрине пример что сервер даже не был под управлением KSC и все равно установился агент и прилетел шифратор.

Expand  

Здравствуйте, а не поясните, почему последнее подключение к серверу администрирования датируется 7 января 2024? Хотя вы заявляете, что взлом был в июне-июле через агента администрирования. 

 

  On 7/3/2024 at 8:57 AM, Vitor_Sokolov said:

3. Нет доступа к серверу.

Expand  

Через виртуализацию тоже нет доступа к этому серверу?  

tyazhelnikov
Posted
  On 7/3/2024 at 9:14 AM, mike 1 said:

Здравствуйте, а не поясните, почему последнее подключение к серверу администрирования датируется 7 января 2024?

Expand  

Ну я думаю что это английский формат даты MM/DD/YYYY (ну если учесть на скрине AM)

  • Like 1
Vitor_Sokolov
Posted
  On 7/3/2024 at 9:14 AM, mike 1 said:

Здравствуйте, а не поясните, почему последнее подключение к серверу администрирования датируется 7 января 2024? Хотя вы заявляете, что взлом был в июне-июле через агента администрирования. 

 

Через виртуализацию тоже нет доступа к этому серверу?  

Expand  

формат времени другой 1 день 7 месяц и год

Posted
  On 7/3/2024 at 9:13 AM, tyazhelnikov said:

Сломали админскую УЗ, прошли 2FA

Expand  

поскольку сейчас у них доступа к серверу нет, то неизвестно, был ли там 2FA перед взломом.

tyazhelnikov
Posted

Если 2FA была на KSC включена для ВСЕХ пользователей, то не понимаю как они ее прошли, если же только для конкретных, тогда получив права админа, можно добавить себя в группу KLAdmins.

Ну а дальше пакостить через KSC.

  On 7/3/2024 at 9:12 AM, Goddeimos13 said:

KSC тут скорее выступил как удобный способ

Expand  

 

  On 7/3/2024 at 8:57 AM, Vitor_Sokolov said:

1. 2FA стоял на KSC

Expand  

Человек же пишет это. Я людям верю, особенно на этом форуме))))

Posted

@Vitor_Sokolov, судя по описанию, некто получил доступ к аминской записи KSC, сформировал инсталляционный пакет с агентом администрирования и шифровальщиком и разослал его по сети.

Как у вас взломали сервер KSC, это вам нужно разбираться.

Собственно от нас вы какую помощь хотите получить?

Posted
  On 7/3/2024 at 9:23 AM, tyazhelnikov said:

Если 2FA была на KSC включена для ВСЕХ пользователей, то не понимаю как они ее прошли

Expand  

Если создать нового локального администратора на сервере KSC, а потом зайти под этой учеткой на сервер и зайти в консоль, то KSC выдаст новый QR код для этого пользователя, дальше в целом можно этого пользователя добавить в KLAdmins и все. 

 

  On 7/3/2024 at 9:17 AM, Vitor_Sokolov said:

формат времени другой 1 день 7 месяц и год

Expand  

А у вас локальная сеть как-то сегментирована? Есть ли МСЭ, который регулирует подключения к KSC? Или у вас любой пользователь имеет доступ по RDP на сервер KSC? 

Vitor_Sokolov
Posted
  On 7/3/2024 at 9:34 AM, andrew75 said:

@Vitor_Sokolov, судя по описанию, некто получил доступ к аминской записи KSC, сформировал инсталляционный пакет с агентом администрирования и шифровальщиком и разослал его по сети.

Как у вас взломали сервер KSC, это вам нужно разбираться.

Собственно от нас вы какую помощь хотите получить?

Expand  

есть ли какие-то ресурсы с дешифраторами.

  • Solution
Posted
  On 7/3/2024 at 9:38 AM, Vitor_Sokolov said:

есть ли какие-то ресурсы с дешифраторами.

Expand  

Лучше обратиться в саппорт через Kaspersky Company Account. 

tyazhelnikov
Posted
  On 7/3/2024 at 9:35 AM, mike 1 said:

Если создать нового локального администратора на сервере KSC, а потом зайти под этой учеткой на сервер и зайти в консоль, то KSC выдаст новый QR код для этого пользователя, дальше в целом можно этого пользователя добавить в KLAdmins и все. 

Expand  

По мне так странно как то... Я думал 2FA в KSC защита именно от того, чтобы даже с утекшей УЗ админа KSC нельзя было зайти. А так получается любой с правами локального админа спокойно получит доступ к KSC, просто создав новую УЗ локального админа....

 

  On 7/3/2024 at 9:38 AM, Vitor_Sokolov said:

есть ли какие-то ресурсы с дешифраторами.

Expand  

Обратитесь за помощью в ТП.

Posted

А вообще, быстро такую атаку не придумаешь и не провернешь, как мне кажется.

Поэтому либо они уже давно получили доступ в вашу сеть, либо был инсайдер. Имхо.

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...