Vitor_Sokolov Posted July 3 Share Posted July 3 Добрый день, столкнулись с огромной проблемой с помощью агента администрирования был перенос вредоносного ПО. Link to comment Share on other sites More sharing options...
Goddeimos13 Posted July 3 Share Posted July 3 3 минуты назад, Vitor_Sokolov сказал: Добрый день, столкнулись с огромной проблемой с помощью агента администрирования был перенос вредоносного ПО. Детали? Link to comment Share on other sites More sharing options...
Vitor_Sokolov Posted July 3 Author Share Posted July 3 Был перенесен файл шифровальщик LockBit3 на все устройства в сети через учетную записью Касперского и далее был запущен процесс шифрования данных. Link to comment Share on other sites More sharing options...
tyazhelnikov Posted July 3 Share Posted July 3 (edited) Можно подробнее? У Вас сломали KSC и с помощью его распространили ВПО? Рекомендации из этой статьи выполнялись? https://support.kaspersky.com/help/KSC/14.2/ru-RU/245736.htm Edited July 3 by tyazhelnikov Link to comment Share on other sites More sharing options...
Vitor_Sokolov Posted July 3 Author Share Posted July 3 На всех зашифрованных машинах установился NetworkAgent и включилась служба klnagent Так же во время взлома появилась папка "ProgramData\KasperskyLab\adminkit" 12 минут назад, tyazhelnikov сказал: Можно подробнее? У Вас сломали KSC и с помощью его распространили ВПО? Рекомендации из этой статьи выполнялись? https://support.kaspersky.com/help/KSC/14.2/ru-RU/245736.htm В большей степени рекомендаций были выполнены. Link to comment Share on other sites More sharing options...
tyazhelnikov Posted July 3 Share Posted July 3 А Вы не разворачивали KSC и соответственно агентов? Сможете запустить на клиенте C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klcsngtgui.exe? Он должен показать к какому серверу KSC подключен агент. Link to comment Share on other sites More sharing options...
Vitor_Sokolov Posted July 3 Author Share Posted July 3 Да сервер наш. Link to comment Share on other sites More sharing options...
tyazhelnikov Posted July 3 Share Posted July 3 В консоль KSC доступ есть? Подозрительных инсталпакетов нет? В событиях аудита подключения "Аудит (подключение к Серверу администрирования)" левых УЗ нет? Link to comment Share on other sites More sharing options...
Goddeimos13 Posted July 3 Share Posted July 3 4 минуты назад, Vitor_Sokolov сказал: Да сервер наш. На KSC используется 2FA? На машинах стоял только агент (без KES-а)? По логам нашли кто/когда и как подключался и запускал задачи? Link to comment Share on other sites More sharing options...
Vitor_Sokolov Posted July 3 Author Share Posted July 3 Только что, tyazhelnikov сказал: В консоль KSC доступ есть? Подозрительных инсталпакетов нет? В событиях аудита подключения "Аудит (подключение к Серверу администрирования)" левых УЗ нет? Доступ к серверу отсутствует, устанавливалось на VM после выполнения всех действий vmdk был зашифрован 1 минуту назад, Goddeimos13 сказал: На KSC используется 2FA? На машинах стоял только агент (без KES-а)? По логам нашли кто/когда и как подключался и запускал задачи? 1. 2FA стоял на KSC 2. На данной машине его не было и защита не устанавливалась. 3. Нет доступа к серверу. Link to comment Share on other sites More sharing options...
Vitor_Sokolov Posted July 3 Author Share Posted July 3 KSC это отдельный сервер. На все сервера от него прилетало вирусное ПО, он служил распространителем , далее уже все шифровалось и блокировалось. На скрине пример что сервер даже не был под управлением KSC и все равно установился агент и прилетел шифратор. Link to comment Share on other sites More sharing options...
Goddeimos13 Posted July 3 Share Posted July 3 (edited) 5 минут назад, Vitor_Sokolov сказал: На скрине пример что сервер даже не был под управлением KSC и все равно установился агент и прилетел шифратор. Для этого нужны права локального администратора на серверах. Тут не только KSC, тут скорее всего ваш домен был скомпрометирован или УЗ администраторов. KSC тут скорее выступил как удобный способ распространить ВПО. Кстати как называется Ваша контора? 😁 Edited July 3 by Goddeimos13 Link to comment Share on other sites More sharing options...
tyazhelnikov Posted July 3 Share Posted July 3 Получается кто-то подключился к KSC (успешно пройдя 2FA) подключился к вашему KSC с полными правами. Далее пользуясь возможностями KSC распространил ВПО. Сломали админскую УЗ, прошли 2FA.... Странно все это.... Вы админа на днях не увольняли? 1 Link to comment Share on other sites More sharing options...
mike 1 Posted July 3 Share Posted July 3 4 минуты назад, Vitor_Sokolov сказал: На скрине пример что сервер даже не был под управлением KSC и все равно установился агент и прилетел шифратор. Здравствуйте, а не поясните, почему последнее подключение к серверу администрирования датируется 7 января 2024? Хотя вы заявляете, что взлом был в июне-июле через агента администрирования. 17 минут назад, Vitor_Sokolov сказал: 3. Нет доступа к серверу. Через виртуализацию тоже нет доступа к этому серверу? Link to comment Share on other sites More sharing options...
tyazhelnikov Posted July 3 Share Posted July 3 Только что, mike 1 сказал: Здравствуйте, а не поясните, почему последнее подключение к серверу администрирования датируется 7 января 2024? Ну я думаю что это английский формат даты MM/DD/YYYY (ну если учесть на скрине AM) 1 Link to comment Share on other sites More sharing options...
Vitor_Sokolov Posted July 3 Author Share Posted July 3 1 минуту назад, mike 1 сказал: Здравствуйте, а не поясните, почему последнее подключение к серверу администрирования датируется 7 января 2024? Хотя вы заявляете, что взлом был в июне-июле через агента администрирования. Через виртуализацию тоже нет доступа к этому серверу? формат времени другой 1 день 7 месяц и год Link to comment Share on other sites More sharing options...
andrew75 Posted July 3 Share Posted July 3 9 минут назад, tyazhelnikov сказал: Сломали админскую УЗ, прошли 2FA поскольку сейчас у них доступа к серверу нет, то неизвестно, был ли там 2FA перед взломом. Link to comment Share on other sites More sharing options...
tyazhelnikov Posted July 3 Share Posted July 3 Если 2FA была на KSC включена для ВСЕХ пользователей, то не понимаю как они ее прошли, если же только для конкретных, тогда получив права админа, можно добавить себя в группу KLAdmins. Ну а дальше пакостить через KSC. 10 минут назад, Goddeimos13 сказал: KSC тут скорее выступил как удобный способ 27 минут назад, Vitor_Sokolov сказал: 1. 2FA стоял на KSC Человек же пишет это. Я людям верю, особенно на этом форуме)))) Link to comment Share on other sites More sharing options...
andrew75 Posted July 3 Share Posted July 3 @Vitor_Sokolov, судя по описанию, некто получил доступ к аминской записи KSC, сформировал инсталляционный пакет с агентом администрирования и шифровальщиком и разослал его по сети. Как у вас взломали сервер KSC, это вам нужно разбираться. Собственно от нас вы какую помощь хотите получить? Link to comment Share on other sites More sharing options...
mike 1 Posted July 3 Share Posted July 3 9 минут назад, tyazhelnikov сказал: Если 2FA была на KSC включена для ВСЕХ пользователей, то не понимаю как они ее прошли Если создать нового локального администратора на сервере KSC, а потом зайти под этой учеткой на сервер и зайти в консоль, то KSC выдаст новый QR код для этого пользователя, дальше в целом можно этого пользователя добавить в KLAdmins и все. 17 минут назад, Vitor_Sokolov сказал: формат времени другой 1 день 7 месяц и год А у вас локальная сеть как-то сегментирована? Есть ли МСЭ, который регулирует подключения к KSC? Или у вас любой пользователь имеет доступ по RDP на сервер KSC? Link to comment Share on other sites More sharing options...
Vitor_Sokolov Posted July 3 Author Share Posted July 3 3 минуты назад, andrew75 сказал: @Vitor_Sokolov, судя по описанию, некто получил доступ к аминской записи KSC, сформировал инсталляционный пакет с агентом администрирования и шифровальщиком и разослал его по сети. Как у вас взломали сервер KSC, это вам нужно разбираться. Собственно от нас вы какую помощь хотите получить? есть ли какие-то ресурсы с дешифраторами. Link to comment Share on other sites More sharing options...
Solution mike 1 Posted July 3 Solution Share Posted July 3 3 минуты назад, Vitor_Sokolov сказал: есть ли какие-то ресурсы с дешифраторами. Лучше обратиться в саппорт через Kaspersky Company Account. Link to comment Share on other sites More sharing options...
tyazhelnikov Posted July 3 Share Posted July 3 1 минуту назад, mike 1 сказал: Если создать нового локального администратора на сервере KSC, а потом зайти под этой учеткой на сервер и зайти в консоль, то KSC выдаст новый QR код для этого пользователя, дальше в целом можно этого пользователя добавить в KLAdmins и все. По мне так странно как то... Я думал 2FA в KSC защита именно от того, чтобы даже с утекшей УЗ админа KSC нельзя было зайти. А так получается любой с правами локального админа спокойно получит доступ к KSC, просто создав новую УЗ локального админа.... 2 минуты назад, Vitor_Sokolov сказал: есть ли какие-то ресурсы с дешифраторами. Обратитесь за помощью в ТП. Link to comment Share on other sites More sharing options...
andrew75 Posted July 3 Share Posted July 3 А вообще, быстро такую атаку не придумаешь и не провернешь, как мне кажется. Поэтому либо они уже давно получили доступ в вашу сеть, либо был инсайдер. Имхо. Link to comment Share on other sites More sharing options...
Recommended Posts
Please sign in to comment
You will be able to leave a comment after signing in
Sign In Now