Использовали агента Kaspersky Network Agent для взлома системы.

[Vitor_Sokolov]

Добрый день, столкнулись с огромной проблемой с помощью агента администрирования был перенос вредоносного ПО.

[Goddeimos13]

  On 7/3/2024 at 7:55 AM, Vitor_Sokolov said:

Добрый день, столкнулись с огромной проблемой с помощью агента администрирования был перенос вредоносного ПО.

Expand  

Детали?

[Vitor_Sokolov]

Был перенесен файл шифровальщик LockBit3 на все устройства в сети через учетную записью Касперского и далее был запущен процесс шифрования данных.

[tyazhelnikov]

Можно подробнее? У Вас сломали KSC и с помощью его распространили ВПО?

Рекомендации из этой статьи выполнялись?

https://support.kaspersky.com/help/KSC/14.2/ru-RU/245736.htm

Edited July 3, 2024 by tyazhelnikov

[Vitor_Sokolov]

На всех зашифрованных машинах установился NetworkAgent и включилась служба klnagent

Так же во время взлома появилась папка "ProgramData\KasperskyLab\adminkit" 

  On 7/3/2024 at 8:32 AM, tyazhelnikov said:

Можно подробнее? У Вас сломали KSC и с помощью его распространили ВПО?

Рекомендации из этой статьи выполнялись?

https://support.kaspersky.com/help/KSC/14.2/ru-RU/245736.htm

Expand  

В большей степени рекомендаций были выполнены. 

[tyazhelnikov]

А Вы не разворачивали KSC и соответственно агентов? 

Сможете запустить на клиенте C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klcsngtgui.exe?

Он должен показать к какому серверу KSC подключен агент.

[Vitor_Sokolov]

Да сервер наш.


 

[tyazhelnikov]

В консоль KSC доступ есть?

Подозрительных инсталпакетов нет?

В событиях аудита подключения "Аудит (подключение к Серверу администрирования)" левых УЗ нет?

[Goddeimos13]

  On 7/3/2024 at 8:49 AM, Vitor_Sokolov said:

Да сервер наш.


 

Expand  

На KSC используется 2FA?

На машинах стоял только агент (без KES-а)?

По логам нашли кто/когда и как подключался и запускал задачи?

[Vitor_Sokolov]

  On 7/3/2024 at 8:55 AM, tyazhelnikov said:

В консоль KSC доступ есть?

Подозрительных инсталпакетов нет?

В событиях аудита подключения "Аудит (подключение к Серверу администрирования)" левых УЗ нет?

Expand  

Доступ к серверу отсутствует, устанавливалось на VM после выполнения всех действий vmdk был зашифрован

  On 7/3/2024 at 8:56 AM, Goddeimos13 said:

На KSC используется 2FA?

На машинах стоял только агент (без KES-а)?

По логам нашли кто/когда и как подключался и запускал задачи?

Expand  

1. 2FA стоял на KSC

2. На данной машине его не было и защита не устанавливалась.

3. Нет доступа к серверу.
 

[Vitor_Sokolov]

KSC это отдельный сервер.
На все сервера от него прилетало вирусное ПО, он служил распространителем , далее уже все шифровалось и блокировалось.

На скрине пример что сервер даже не был под управлением KSC и все равно установился агент и прилетел шифратор.

[Goddeimos13]

  On 7/3/2024 at 9:07 AM, Vitor_Sokolov said:

На скрине пример что сервер даже не был под управлением KSC и все равно установился агент и прилетел шифратор.

Expand  

Для этого нужны права локального администратора на серверах. Тут не только KSC, тут скорее всего ваш домен был скомпрометирован или УЗ администраторов. KSC тут скорее выступил как удобный способ распространить ВПО.

Кстати как называется Ваша контора? ?

Edited July 3, 2024 by Goddeimos13

[tyazhelnikov]

Получается кто-то подключился к KSC (успешно пройдя 2FA) подключился к вашему KSC с полными правами.

Далее пользуясь возможностями KSC распространил ВПО.

Сломали админскую УЗ, прошли 2FA....  Странно все это.... Вы админа на днях не увольняли?

[mike 1]

  On 7/3/2024 at 9:07 AM, Vitor_Sokolov said:

На скрине пример что сервер даже не был под управлением KSC и все равно установился агент и прилетел шифратор.

Expand  

Здравствуйте, а не поясните, почему последнее подключение к серверу администрирования датируется 7 января 2024? Хотя вы заявляете, что взлом был в июне-июле через агента администрирования. 

 

  On 7/3/2024 at 8:57 AM, Vitor_Sokolov said:

3. Нет доступа к серверу.

Expand  

Через виртуализацию тоже нет доступа к этому серверу?  

[tyazhelnikov]

  On 7/3/2024 at 9:14 AM, mike 1 said:

Здравствуйте, а не поясните, почему последнее подключение к серверу администрирования датируется 7 января 2024?

Expand  

Ну я думаю что это английский формат даты MM/DD/YYYY (ну если учесть на скрине AM)

[Vitor_Sokolov]

  On 7/3/2024 at 9:14 AM, mike 1 said:

Здравствуйте, а не поясните, почему последнее подключение к серверу администрирования датируется 7 января 2024? Хотя вы заявляете, что взлом был в июне-июле через агента администрирования. 

 

Через виртуализацию тоже нет доступа к этому серверу?  

Expand  

формат времени другой 1 день 7 месяц и год

[andrew75]

  On 7/3/2024 at 9:13 AM, tyazhelnikov said:

Сломали админскую УЗ, прошли 2FA

Expand  

поскольку сейчас у них доступа к серверу нет, то неизвестно, был ли там 2FA перед взломом.

[tyazhelnikov]

Если 2FA была на KSC включена для ВСЕХ пользователей, то не понимаю как они ее прошли, если же только для конкретных, тогда получив права админа, можно добавить себя в группу KLAdmins.

Ну а дальше пакостить через KSC.

  On 7/3/2024 at 9:12 AM, Goddeimos13 said:

KSC тут скорее выступил как удобный способ

Expand  

 

  On 7/3/2024 at 8:57 AM, Vitor_Sokolov said:

1. 2FA стоял на KSC

Expand  

Человек же пишет это. Я людям верю, особенно на этом форуме))))

[andrew75]

@Vitor_Sokolov, судя по описанию, некто получил доступ к аминской записи KSC, сформировал инсталляционный пакет с агентом администрирования и шифровальщиком и разослал его по сети.

Как у вас взломали сервер KSC, это вам нужно разбираться.

Собственно от нас вы какую помощь хотите получить?

[mike 1]

  On 7/3/2024 at 9:23 AM, tyazhelnikov said:

Если 2FA была на KSC включена для ВСЕХ пользователей, то не понимаю как они ее прошли

Expand  

Если создать нового локального администратора на сервере KSC, а потом зайти под этой учеткой на сервер и зайти в консоль, то KSC выдаст новый QR код для этого пользователя, дальше в целом можно этого пользователя добавить в KLAdmins и все. 

 

  On 7/3/2024 at 9:17 AM, Vitor_Sokolov said:

формат времени другой 1 день 7 месяц и год

Expand  

А у вас локальная сеть как-то сегментирована? Есть ли МСЭ, который регулирует подключения к KSC? Или у вас любой пользователь имеет доступ по RDP на сервер KSC? 

[Vitor_Sokolov]

  On 7/3/2024 at 9:34 AM, andrew75 said:

@Vitor_Sokolov, судя по описанию, некто получил доступ к аминской записи KSC, сформировал инсталляционный пакет с агентом администрирования и шифровальщиком и разослал его по сети.

Как у вас взломали сервер KSC, это вам нужно разбираться.

Собственно от нас вы какую помощь хотите получить?

Expand  

есть ли какие-то ресурсы с дешифраторами.

[mike 1]

  On 7/3/2024 at 9:38 AM, Vitor_Sokolov said:

есть ли какие-то ресурсы с дешифраторами.

Expand  

Лучше обратиться в саппорт через Kaspersky Company Account. 

[tyazhelnikov]

  On 7/3/2024 at 9:35 AM, mike 1 said:

Если создать нового локального администратора на сервере KSC, а потом зайти под этой учеткой на сервер и зайти в консоль, то KSC выдаст новый QR код для этого пользователя, дальше в целом можно этого пользователя добавить в KLAdmins и все. 

Expand  

По мне так странно как то... Я думал 2FA в KSC защита именно от того, чтобы даже с утекшей УЗ админа KSC нельзя было зайти. А так получается любой с правами локального админа спокойно получит доступ к KSC, просто создав новую УЗ локального админа....

 

  On 7/3/2024 at 9:38 AM, Vitor_Sokolov said:

есть ли какие-то ресурсы с дешифраторами.

Expand  

Обратитесь за помощью в ТП.

[andrew75]

А вообще, быстро такую атаку не придумаешь и не провернешь, как мне кажется.

Поэтому либо они уже давно получили доступ в вашу сеть, либо был инсайдер. Имхо.