Август, 17, 2015
(в продолжение беседы за антивирусы)
Давным-давно, в однойвесьма пластилиновой местности фирмочке, занимавшейся массовым написанием онлайн-игрушек (про неё в сём журнале уже было писано, но ссылок не дам ещё 3 года, ЕВПоЧЯ), случилась беда.
А именно - злобный хитрый вирус проник в святая святых - в зону разработки, на тамошние сервера, занимающиеся конечной компиляцией бинарников для конечных пользователей.
Впрочем, если быть до конца честным, то после того, как начали выяснять причины и пути проникновения, то у всех самый главный вопрос был "почему этого не произошло годы назад ?". Потому что никакой защиты, сегментирования сети и всего такого прочего там не было вовсе. А ещё точнее - вирусы там бегали пачками.
Но этот отличился - он сумел пролезть не просто на сервер - а (через компилятор) в дистрибутив какой-то игрушки. Но даже и это не было чем-то удивительным (какой сюрприз для польвателей, да ?).
Но была всё же причина, вызвавшее столь пристальное внимание к данному факту. Дело в том, что в этой конторе как раза заятеяли глобальный переход с Windows Server 2003 на 2008R2, который был строго 64-битным. Начали, конечно, в ожидании разнообразных факапов, с самых непопулярных игр.
И вот этот вирус как раз и сотворил тот самый факап, который невозможно было предусмотреть. Дело в том, что распрастранялся он через одну системную библиотечку, отвечавшую за вывод всей графики в ОС. А т.к. на сервере первичного заражения стояла 64-бит ОС, то дальше библиотечка тупо копировалась в дистрибутив именно от 64-бит сервера.
А у клиентов в то время стояла в основном, 32-битная WinXP. Которая после замены своей родной библиотечки на библиотеку для 64-битной ОС, просто падала наглухо с мутной ошибкой без возможности восстановления.
Собственно, отсюда-то и начали спешно разматывать клубок - от воплей пользователей "после установки обновления на игры винда падает наглухо". А уж когда выяснилось, что это не программисты криворукие, а у одминов в сети вирусы резвятся, всё причастные чёрные от стыда бегали, с задницей скипидаром намазанные.
Ну а пользователям привычно наплели, что это у них винда нелицензионная была, благо что пострадавших было немного - несколько десятков, чтоли. Впрочем, инфа о странном поведении игры уже начала расползаться в паблик (и даже в англоязычный, я видел в своё время эти ссылки и обсуждения на форумах), и чего стоило отделу маркетинга погасить эту начинавшуюся волну - могу только догадывать. Но погасили. Так что каждый раз, как я подобные отмазы читаю, сразу эту вот историю вспоминаю и мне делается очень смешно, ага.
Ну о потом было самое интересное. Спешно начали поднимать безопасность, делать VLANы (их до того случая не было, ага !), и всё такое прочее. И после того, как основные дыры закрыли и зоопарк повывели, стали выявляться просто удивительные вещи.
После этого случая любые подозрительные вещи однозначно трактовались как вирусы, и удалось обнаружить очень хитрого трояна - который гулял у них в сети ну просто как у себя дома. И никакой антивирус его не видел. Когда они прикрыли ту дыру, через которую он работал, буквально на следующий же день он опять ожил, уже через другую дыру.
И вот только после этого за ИТ-безопасность в этой конторе взялись всерьёз.
Скажу так - этот троян живёт у них до сих пор - надёжно загнанный в физически отключённую от остальной сети песочницу. Но пока они его туда загоняли - они узнали очень много нового и интересного про дырки в серверной инфраструктуре. Среди прочего, например, в кратчайшие сроки перешли на Kerberos only в своей сети (кто пробовал - знает, какой крови это стоит, когда вокруг полно legacy-говнокода).
А антивирусы... Они у них конечно везде стоят. Но только за те полтора года, что они принуждали лабораторию касперского внести этот троян в свою базу, сделать им этого не удалось. Ну не видели, панимаешь, тамошние супер-специалисты в этом никакой необходимости. Даже в ответ на декомпилированные куски кода лепили гнилые отмазы. "Не вирус это" - и весь сказ.
А я вот вспоминаю, что тот не-вирус творил... Как он молниеносно расползался по сети, стоило админу зайти на сервер не под отдельной выделенной учёткой, а просто под своей... Как он общался с внешним оператором через DNS-запросы... Как он ломал кеш всех паролей в памяти ОС ещё до того, как Марк Руссинович рассказал об этой дырке на одной из конференций...
Так вот, к чему я это всё рассказал. Глупее пользовательской позиции "я поставил антивирус и у меня всё хорошо" может быть только одминская позиция "я не хожу по подозрительным сайтам, отключил автозапуск и у меня всё хорошо".
Если у одмина не обнаруживаются взломы десятками каждый день, то значит он их плохо ищет.
Давным-давно, в одной
А именно - злобный хитрый вирус проник в святая святых - в зону разработки, на тамошние сервера, занимающиеся конечной компиляцией бинарников для конечных пользователей.
Впрочем, если быть до конца честным, то после того, как начали выяснять причины и пути проникновения, то у всех самый главный вопрос был "почему этого не произошло годы назад ?". Потому что никакой защиты, сегментирования сети и всего такого прочего там не было вовсе. А ещё точнее - вирусы там бегали пачками.
Но этот отличился - он сумел пролезть не просто на сервер - а (через компилятор) в дистрибутив какой-то игрушки. Но даже и это не было чем-то удивительным (какой сюрприз для польвателей, да ?).
Но была всё же причина, вызвавшее столь пристальное внимание к данному факту. Дело в том, что в этой конторе как раза заятеяли глобальный переход с Windows Server 2003 на 2008R2, который был строго 64-битным. Начали, конечно, в ожидании разнообразных факапов, с самых непопулярных игр.
И вот этот вирус как раз и сотворил тот самый факап, который невозможно было предусмотреть. Дело в том, что распрастранялся он через одну системную библиотечку, отвечавшую за вывод всей графики в ОС. А т.к. на сервере первичного заражения стояла 64-бит ОС, то дальше библиотечка тупо копировалась в дистрибутив именно от 64-бит сервера.
А у клиентов в то время стояла в основном, 32-битная WinXP. Которая после замены своей родной библиотечки на библиотеку для 64-битной ОС, просто падала наглухо с мутной ошибкой без возможности восстановления.
Собственно, отсюда-то и начали спешно разматывать клубок - от воплей пользователей "после установки обновления на игры винда падает наглухо". А уж когда выяснилось, что это не программисты криворукие, а у одминов в сети вирусы резвятся, всё причастные чёрные от стыда бегали, с задницей скипидаром намазанные.
Ну а пользователям привычно наплели, что это у них винда нелицензионная была, благо что пострадавших было немного - несколько десятков, чтоли. Впрочем, инфа о странном поведении игры уже начала расползаться в паблик (и даже в англоязычный, я видел в своё время эти ссылки и обсуждения на форумах), и чего стоило отделу маркетинга погасить эту начинавшуюся волну - могу только догадывать. Но погасили. Так что каждый раз, как я подобные отмазы читаю, сразу эту вот историю вспоминаю и мне делается очень смешно, ага.
Ну о потом было самое интересное. Спешно начали поднимать безопасность, делать VLANы (их до того случая не было, ага !), и всё такое прочее. И после того, как основные дыры закрыли и зоопарк повывели, стали выявляться просто удивительные вещи.
После этого случая любые подозрительные вещи однозначно трактовались как вирусы, и удалось обнаружить очень хитрого трояна - который гулял у них в сети ну просто как у себя дома. И никакой антивирус его не видел. Когда они прикрыли ту дыру, через которую он работал, буквально на следующий же день он опять ожил, уже через другую дыру.
И вот только после этого за ИТ-безопасность в этой конторе взялись всерьёз.
Скажу так - этот троян живёт у них до сих пор - надёжно загнанный в физически отключённую от остальной сети песочницу. Но пока они его туда загоняли - они узнали очень много нового и интересного про дырки в серверной инфраструктуре. Среди прочего, например, в кратчайшие сроки перешли на Kerberos only в своей сети (кто пробовал - знает, какой крови это стоит, когда вокруг полно legacy-говнокода).
А антивирусы... Они у них конечно везде стоят. Но только за те полтора года, что они принуждали лабораторию касперского внести этот троян в свою базу, сделать им этого не удалось. Ну не видели, панимаешь, тамошние супер-специалисты в этом никакой необходимости. Даже в ответ на декомпилированные куски кода лепили гнилые отмазы. "Не вирус это" - и весь сказ.
А я вот вспоминаю, что тот не-вирус творил... Как он молниеносно расползался по сети, стоило админу зайти на сервер не под отдельной выделенной учёткой, а просто под своей... Как он общался с внешним оператором через DNS-запросы... Как он ломал кеш всех паролей в памяти ОС ещё до того, как Марк Руссинович рассказал об этой дырке на одной из конференций...
Так вот, к чему я это всё рассказал. Глупее пользовательской позиции "я поставил антивирус и у меня всё хорошо" может быть только одминская позиция "я не хожу по подозрительным сайтам, отключил автозапуск и у меня всё хорошо".
Если у одмина не обнаруживаются взломы десятками каждый день, то значит он их плохо ищет.
Profile
mindfactor- Александр
Комментарии
Которые по степени важности страны стоят всего лишь на пол-ступеньки ниже, чем.
А судя по просочившимся подробностям - там лютый бардак ещё тот был.
А если…
То есть ритуал, смысл которого уже никто не знает, но все старательно воспроизводят ?