10 заповідей оператора McAfee

“The deadliest weapon in the world is a marine and his rifle..
Your rifle is only a tool.”
(c) Gunnery Sergeant Hartman, Full Metal Jacket

 

Контент буде корисний як новачкам так і досвідченим користувачам корпоративних рішень McAfee.

Як показує мій скромний досвід тех. підтримки, ~ 70% проблем можна вирішити одним або кількома із цих 10 кроків.

30% – це вже різні апаратні або програмні конфлікти чи помилки у коді, яких не вирішити без виправлень чи хотфіксів.

10 заповідей оператора McAfee

McAfee – не панацея і не срібна куля. Це лише інструмент у моїх руках і його ефективність залежить від того, як саме я користуюся ним.

Перш ніж звинувачувати в усіх бідах розробників, інтеграторів чи партнерів, я докладу усіх зусиль і перевірю наступні кроки:

  1. Аби бути в курсі виходу нових версій, виправлень чи рекомендацій я підпишуся на розсилку SNS і буду періодично читати ті листи (!)
  2. Щоб уникнути проблем з розгортанням рішень на різні платформи я буду перевіряти відповідну статтю з таблиці KB51109
  3. Маючи справу з Windows 10 я буду оновлювати модулі McAfee _ перед _ розгортанням оновлення Windows згідно KB85784
  4. Чекаючи на нову версію рішення я буду відстежувати розклад релізів за таблицею у KB91587
  5. Якщо, не зважаючи на попередні пункти, я виявлю проблему, перше що я зроблю – пошук в Google за фразою “McAfee _продукт_версія_ Known Issues” і уважно вивчу відповідну KB (як приклад KB з проблемами по MAR)
  6. Якщо попередній крок не дав результатів, я перевірю свіжі дописи у відповідному розділі форуму McAfee Support Community
  7. В процесі вирішення проблеми я тричі переконаюсь, що дотримався системних вимог (описані у відповідному Installation Guide) і надав модулям усі необхідні мережеві доступи (для прикладу стаття по портам для DXL, TIE та ATD)
  8. В процесі вирішення проблеми я перевірю журнали (логи) відповідного рішення. (розташування логів я шукатиму у відповідному Installation Guide)
  9. В процесі вирішення проблеми я намагатимусь зрозуміти логіку роботи рішення або комплексу рішень згідно матеріалів McAfee Expert Center
  10. Тільки пройшовши попередні кроки, перезавантаживши проблемну систему, перевстановивши модуль, я зберу логи MER і створю Service Request

Сподіваюсь, наведені тут джерела стануть вам у нагоді.

Цей пост не повинен розглядатися як єдиний (універсальний) засіб проти усіх можливих проблем.

Це лише спроба узагальнити 10 ключових джерел, які свідомий оператор повинен перевірити переш ніж опустити руки і просити допомоги.

Будьте уважні та обережні.

 

 

 

 

 

 

 

 

VR

Advertisements

IOC_digest_05_2019

(Зразки за травень 2019го)

Продовжуючи формат переднього дайджесту, ось вам перелік зразків, результати аналізу яких я можу оприлюднити.

Наразі із публічних та реально шкідливих усього три (3) зразки, проте два із них – цікаві.

03/05/19

розсилали #coinminer (#bmcon),  .RAR > SCR > C:\Intel\*   , звіт

*схема 1:1 схожа із попереднім випадком, тому окремого звіту не робив

 

07/05/19

розсилали #formbook,  .doc (RTF) > 11882 > msiexec GET msi > install , звіт

 

15/05/19

розсилали #emotet,  .doc > macro > WMI > powershell -enc > GET 5 URL > \Users\%name%\206.exe > \Users\%name%\AppData\Local\?\?.exe , звіт

– – – – – – – – – – – – – – – – – – – – – – –

Аналітика

Методи доставки

Якщо розбити по категоріям, тоді отримаємо

Для обходу фільтрів були застосовані наступні кроки:

  • обфускація команд PowerShell (1) + документи з макросами (1)
  • (!) конвертування exe (payload) у MSI

Тенденції

  • Низькопробні розсилки із примітивним EXE/SCR не збавляють обертів
  • Вразливість 11882 уже 2 рік продовжує домінувати серед приманок-офісних документів
  • Там, де заборонено завантажувати .EXE намагаються пройти через .MSI
  • Base64 + Powershell залишається своєрідним еталоном доставки

Цікавими з технічної точки зору виявилися 2 зразки:

  • #formbook, доставку якого загорнули у RTF із 11882, але в кінці був не .EXE, а MSI (!)
  • #emotet, який передавав Base64 на PowerShell через WMI (!)

Трюк з MSI дозволив зловмисникам обійти фільтри і запустити інсталяцію – потрібно зробити висновки.

Кодовані команди на PowerShell уже давно не новина, проте використання WMI може порушити логіку блокувань – потрібно зробити висновки.

– – – – – – – – – – – – – – – – – – – – – – –

Загалом, усе, що присилали в травні могло створити інциденти тим організаціям які:

  • не оновлюють MS Office та ОС
  • не блокують запуск макросів
  • не відмовилися від RTF
  • не заборонили виклик PowerShell та інших вбудованих механізмів ОС (mshta, cmd etc)
  • не контролюють GET запити на Proxy по User Agent
  • не блокують завантаження EXE та MSI у явному вигляді

Узагальнені контрзаходи

  • встановлення виправлень MS Office
  • посилена фільтрація вмісту приєднань – як по типу так і по розширенню
  • заборона запуску cmd, powershell та ?script для рядових користувачів
  • блокування web запитів з пустим або застарілим полем User Agent

Будьте уважні та обережні.

VR

malware#2

Невивчені уроки або логи антивірусних війн #2

(першу частину можна почитати тут)

22/02/19 доповідав про наші досягнення у розрізі аналізу malware та методів доставки.

Контент суто технічний. Без прив’язки до конкретних вендорів чи рішень.

Презентацію можна переглянути/взяти тут

Основні тези:

  • зміни по кількості та якості атак
  • актуальні методи інфільтрації систем захисту
  • приклади атак трьох різних рівнів
  • висновки

На прикладі #shade, #emotet та #sobaken пояснив можливі контрзаходи.

Кому зі slideshare не зручно – беріть у вигляді PDF (~1,1 Mb)

Будьте уважні та обережні.

VR

11 гріхів при запуску DLP

Я зібрав до купи свої думки стосовно впровадження DLP систем.

І у мене вийшов ТОП із 11-ти помилок, яких частіше за все припускаються замовники. При чому, частина з цих помилок властива не лише DLP проектам, а й ІБ проектам взагалі.

 

Кому slideshare не зручно – ось вам PDF (~1 Mb)

Погортайте слайди, подумайте чи не робили ви так?

Чи не збираєтеся ви зробити одну із 11 описаних помилок?

Будьте уважні та обережні.

VR

RDP_CVE-2019-0708

Маєте в мережі Windows XP,7 чи Server 2003 – 2008 (R2)?
Поставте виправлення “дірки” у службі RDP.
Вразливість дозволяє виконання довільного коду без участі користувача.
Це _реально_ важливо, бо саме ця вразливість може бути використана для розповсюдження по мережі (як було із WannaCry та NotPetya).
Microsoft заявляє що вразливість поки не експлуатується “in the wild”, але це не надовго.
Дослідники, які мають доступ до коду експлойту підтверджують його небезпеку:

Патчі для застарілих систем (XP, 2003) беріть тут.
Не будьте жертвою. Оновіться вчасно.

Посилання на виправлення, ще раз:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
https://support.microsoft.com/en-US/help/4500705/customer-guidance-for-cve-2019-0708

І не публікуйте системи із RDP в Інтернет.
Серйозно. Крім патчів, перевірте свої public IP.

Будьте уважні та обережні.

VR

#OptiData #VR #safeneversleeps #RDP #CVE_2019_0708

Fxmsp_AdvIntel_McAfee

Усім доброго вечора.

Нещодавно в мережі було опубліковано інформацію про компрометацію трьох виробників антивірусного програмного забезпечення.
Вчора ввечері замовники McAfee отримали розсилку (SNS) стосовно цього інциденту:

У багатьох виникли питання – чи варто хвилюватися?
Ми зі свого боку дослідили ситуацію.

Основні тези (коротко):

#1 Офіційна позиція McAfee на зараз – за фактами опублікованого AdvIntel проводиться розслідування.
Поки що реальних доказів чужої присутності не виявлено. У разі виявлення фактів компрометації компанія не збирається це замовчувати.

#2 Станом на сьогодні ми звернулись до McAfee за подробицями. Очікуємо від них більше конкретики.

#3 Компанія AdvIntel, яка на даний момент залишається єдиним (і поки не підтвердженим) джерелом інформації, до цієї публікації не з’являлася в інформаційному полі.
Їх офіційний сайт та сторінки у соц. мережах були створені на початку травня перед публікацією розслідування. Поки достовірної інформації обмаль, та ще зарано говорити про маніпуляції, але не варто відкидати і таку можливість.

#4 Фактично усі докази компрометації базуються на крихтах інформації, опублікованих AdvIntel.


Дві інші компанії (Trend Micro та Symantec), про які йдеться у публікації AdvIntel, обмежились суперечливими і не чіткими заявами.
Symantec спростовує можливість проникнення, а Trend Micro припускає часткове проникнення на некритичні системи.

Ми розуміємо серйозність даної ситуації.

Саме тому ми закликаємо вас зберігати спокій і чекати на остаточне підтвердження або спростування факту компрометації систем McAfee.

Залишайтесь з нами. Як тільки ми отримаємо нову інформацію – ми вас повідомимо.

Посилання на саме розслідування та додаткові деталі:
https://www.advanced-intel.com/blog/top-tier-russian-hacking-collective-claims-breaches-of-three-major-anti-virus-companies
https://www.bleepingcomputer.com/news/security/hackers-selling-access-and-source-code-from-antivirus-companies/
https://www.bleepingcomputer.com/news/security/new-details-emerge-of-fxmsps-hacking-of-antivirus-companies/
https://www.bleepingcomputer.com/news/security/fxmsp-chat-logs-reveal-the-hacked-antivirus-vendors-avs-respond/

Будьте уважні та обережні.

OptiData LLC

VR

IOC_digest_04_2019

(Зразки за квітень 2019го)

Продовжуючи формат переднього дайджесту, ось вам перелік зразків, результати аналізу яких я можу оприлюднити.

Їх було не так багато, як у березні, проте схеми доставки були досить цікавими.

08/04/19

розсилали #AZORult, .ZIP > .LNK > GET .HTA > PowerShell > GET .GIF(EXE) > %Public%\???.exe > %AppData%\0mbii\gsir.exe , звіт

11/04/19

розсилали #revengeRAT, .xlam / .doc > mshta GET pastebin1 > powershell > GET pastebin2 (base64) > run decoded exe in memory(!) , звіт

22/04/19

розсилали #formbook, attach .RAR > .EXE  , звіт

25/04/19

розсилали #nanocore, attach .doc (RTF) > OLE > 2 excel > macro_URLDownloadToFileA > GET 1 URL > .exe , звіт

– – – – – – – – – – – – – – – – – – – – – – –

Аналітика

Методи доставки

Якщо розбити по категоріям, тоді отримаємо

  • exe/scr (без приманки) – 1 розсилка
  • RTF (OLE) – 2 розсилки
  • макроси – 2 розсилки
  • powershell2 розсилки

Схоже, що документи із вразливістю 11882 та скрипти WSH втрачають позиції. Або просто на них вже не звертають уваги.

Для обходу фільтрів були застосовані наступні кроки:

  • обфускація команд PowerShell (2);
  • Документи з макросами (1) та документи з OLE (1)

Тенденції

  • PowerShell залишається одним із основних інструментів доставки та виконання payload
  • Доставку та трафіку зі С2 все частіше переводять на HTTPS або ж кодують через B64/XOR
  • Крім 1 зразка, усі інші, залишають сліди через закріплення в реєстрі ОС
  • Посилюється роль додатків MS Office в завантаженні payload

Цікавими з технічної точки зору за березень виявилися два випадки:

  • #revenge #RAT за 11/04 – powershell декодував payload і виконував його в своєму контексті
  • #nanocore #RAT за 25/04 – приманка була подвійною, у RTF файлі через OLE були дві таблиці Excel із макросами

Загалом, усе, що присилали в березні могло створити інциденти тим організаціям які:

  • не оновлюють MS Office та ОС
  • не блокують запуск макросів
  • не відмовилися від RTF
  • не заборонили виклик PowerShell та інших вбудованих механізмів ОС (mshta, cmd etc)
  • не контролюють GET запити на Proxy по User Agent

Узагальнені контрзаходи

  • встановлення виправлень MS Office
  • посилена фільтрація вмісту приєднань – як по типу так і по розширенню
  • заборона запуску cmd, powershell та ?script для рядових користувачів
  • блокування web запитів з пустим або застарілим полем User Agent

Будьте уважні та обережні.

VR