Использовали агента Kaspersky Network Agent для взлома системы.

[Vitor_Sokolov]

Добрый день, столкнулись с огромной проблемой с помощью агента администрирования был перенос вредоносного ПО.

[Goddeimos13]

3 минуты назад, Vitor_Sokolov сказал:

Добрый день, столкнулись с огромной проблемой с помощью агента администрирования был перенос вредоносного ПО.

Детали?

[Vitor_Sokolov]

Был перенесен файл шифровальщик LockBit3 на все устройства в сети через учетную записью Касперского и далее был запущен процесс шифрования данных.

[tyazhelnikov]

Можно подробнее? У Вас сломали KSC и с помощью его распространили ВПО?

Рекомендации из этой статьи выполнялись?

https://support.kaspersky.com/help/KSC/14.2/ru-RU/245736.htm

Edited July 3 by tyazhelnikov

[Vitor_Sokolov]

На всех зашифрованных машинах установился NetworkAgent и включилась служба klnagent

Так же во время взлома появилась папка "ProgramData\KasperskyLab\adminkit" 

12 минут назад, tyazhelnikov сказал:

Можно подробнее? У Вас сломали KSC и с помощью его распространили ВПО?

Рекомендации из этой статьи выполнялись?

https://support.kaspersky.com/help/KSC/14.2/ru-RU/245736.htm

В большей степени рекомендаций были выполнены. 

[tyazhelnikov]

А Вы не разворачивали KSC и соответственно агентов? 

Сможете запустить на клиенте C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klcsngtgui.exe?

Он должен показать к какому серверу KSC подключен агент.

[Vitor_Sokolov]

Да сервер наш.


 

[tyazhelnikov]

В консоль KSC доступ есть?

Подозрительных инсталпакетов нет?

В событиях аудита подключения "Аудит (подключение к Серверу администрирования)" левых УЗ нет?

[Goddeimos13]

4 минуты назад, Vitor_Sokolov сказал:

Да сервер наш.


 

На KSC используется 2FA?

На машинах стоял только агент (без KES-а)?

По логам нашли кто/когда и как подключался и запускал задачи?

[Vitor_Sokolov]

Только что, tyazhelnikov сказал:

В консоль KSC доступ есть?

Подозрительных инсталпакетов нет?

В событиях аудита подключения "Аудит (подключение к Серверу администрирования)" левых УЗ нет?

Доступ к серверу отсутствует, устанавливалось на VM после выполнения всех действий vmdk был зашифрован

1 минуту назад, Goddeimos13 сказал:

На KSC используется 2FA?

На машинах стоял только агент (без KES-а)?

По логам нашли кто/когда и как подключался и запускал задачи?

1. 2FA стоял на KSC

2. На данной машине его не было и защита не устанавливалась.

3. Нет доступа к серверу.
 

[Vitor_Sokolov]

KSC это отдельный сервер.
На все сервера от него прилетало вирусное ПО, он служил распространителем , далее уже все шифровалось и блокировалось.

На скрине пример что сервер даже не был под управлением KSC и все равно установился агент и прилетел шифратор.

[Goddeimos13]

5 минут назад, Vitor_Sokolov сказал:

На скрине пример что сервер даже не был под управлением KSC и все равно установился агент и прилетел шифратор.

Для этого нужны права локального администратора на серверах. Тут не только KSC, тут скорее всего ваш домен был скомпрометирован или УЗ администраторов. KSC тут скорее выступил как удобный способ распространить ВПО.

Кстати как называется Ваша контора? 😁

Edited July 3 by Goddeimos13

[tyazhelnikov]

Получается кто-то подключился к KSC (успешно пройдя 2FA) подключился к вашему KSC с полными правами.

Далее пользуясь возможностями KSC распространил ВПО.

Сломали админскую УЗ, прошли 2FA....  Странно все это.... Вы админа на днях не увольняли?

[mike 1]

4 минуты назад, Vitor_Sokolov сказал:

На скрине пример что сервер даже не был под управлением KSC и все равно установился агент и прилетел шифратор.

Здравствуйте, а не поясните, почему последнее подключение к серверу администрирования датируется 7 января 2024? Хотя вы заявляете, что взлом был в июне-июле через агента администрирования. 

 

17 минут назад, Vitor_Sokolov сказал:

3. Нет доступа к серверу.

Через виртуализацию тоже нет доступа к этому серверу?  

[tyazhelnikov]

Только что, mike 1 сказал:

Здравствуйте, а не поясните, почему последнее подключение к серверу администрирования датируется 7 января 2024?

Ну я думаю что это английский формат даты MM/DD/YYYY (ну если учесть на скрине AM)

[Vitor_Sokolov]

1 минуту назад, mike 1 сказал:

Здравствуйте, а не поясните, почему последнее подключение к серверу администрирования датируется 7 января 2024? Хотя вы заявляете, что взлом был в июне-июле через агента администрирования. 

 

Через виртуализацию тоже нет доступа к этому серверу?  

формат времени другой 1 день 7 месяц и год

[andrew75]

9 минут назад, tyazhelnikov сказал:

Сломали админскую УЗ, прошли 2FA

поскольку сейчас у них доступа к серверу нет, то неизвестно, был ли там 2FA перед взломом.

[tyazhelnikov]

Если 2FA была на KSC включена для ВСЕХ пользователей, то не понимаю как они ее прошли, если же только для конкретных, тогда получив права админа, можно добавить себя в группу KLAdmins.

Ну а дальше пакостить через KSC.

10 минут назад, Goddeimos13 сказал:

KSC тут скорее выступил как удобный способ

 

27 минут назад, Vitor_Sokolov сказал:

1. 2FA стоял на KSC

Человек же пишет это. Я людям верю, особенно на этом форуме))))

[andrew75]

@Vitor_Sokolov, судя по описанию, некто получил доступ к аминской записи KSC, сформировал инсталляционный пакет с агентом администрирования и шифровальщиком и разослал его по сети.

Как у вас взломали сервер KSC, это вам нужно разбираться.

Собственно от нас вы какую помощь хотите получить?

[mike 1]

9 минут назад, tyazhelnikov сказал:

Если 2FA была на KSC включена для ВСЕХ пользователей, то не понимаю как они ее прошли

Если создать нового локального администратора на сервере KSC, а потом зайти под этой учеткой на сервер и зайти в консоль, то KSC выдаст новый QR код для этого пользователя, дальше в целом можно этого пользователя добавить в KLAdmins и все. 

 

17 минут назад, Vitor_Sokolov сказал:

формат времени другой 1 день 7 месяц и год

А у вас локальная сеть как-то сегментирована? Есть ли МСЭ, который регулирует подключения к KSC? Или у вас любой пользователь имеет доступ по RDP на сервер KSC? 

[Vitor_Sokolov]

3 минуты назад, andrew75 сказал:

@Vitor_Sokolov, судя по описанию, некто получил доступ к аминской записи KSC, сформировал инсталляционный пакет с агентом администрирования и шифровальщиком и разослал его по сети.

Как у вас взломали сервер KSC, это вам нужно разбираться.

Собственно от нас вы какую помощь хотите получить?

есть ли какие-то ресурсы с дешифраторами.

[mike 1]

3 минуты назад, Vitor_Sokolov сказал:

есть ли какие-то ресурсы с дешифраторами.

Лучше обратиться в саппорт через Kaspersky Company Account. 

[tyazhelnikov]

1 минуту назад, mike 1 сказал:

Если создать нового локального администратора на сервере KSC, а потом зайти под этой учеткой на сервер и зайти в консоль, то KSC выдаст новый QR код для этого пользователя, дальше в целом можно этого пользователя добавить в KLAdmins и все. 

По мне так странно как то... Я думал 2FA в KSC защита именно от того, чтобы даже с утекшей УЗ админа KSC нельзя было зайти. А так получается любой с правами локального админа спокойно получит доступ к KSC, просто создав новую УЗ локального админа....

 

2 минуты назад, Vitor_Sokolov сказал:

есть ли какие-то ресурсы с дешифраторами.

Обратитесь за помощью в ТП.

[andrew75]

А вообще, быстро такую атаку не придумаешь и не провернешь, как мне кажется.

Поэтому либо они уже давно получили доступ в вашу сеть, либо был инсайдер. Имхо.