id: Гость   вход   регистрация
текущее время 06:10 09/04/2020
Автор темы: safety, тема открыта 29/04/2015 08:04 Печать
Категории: инфобезопасность, антивирусная защита
создать
просмотр
ссылки

VAULT. что делать?


В связи с широким распространением шифратора VAULT (ранее это были keybtc/paycrypt), который использует для несанкционированного шифрования документов пользователя gpg.exe из состава GnuPG (c последующим предложением о выкупе ключа secring.gpg) есть ли возможность превентивно завершить процесс шифрования? после того пользователь открыл "документ" из электронной почты,а установленные антивирусы сигнатурно и проактивно не заметили ничего подозрительного в запускаемом js скрипте, который или скачивает из сети необходимые модули и файлы для шифрования, или содержит все необходимое в теле js в закодированном base64 виде.


 
На страницу: 1, 2, 3 След.
Комментарии
— SATtva (29/04/2015 08:24)   профиль/связь   <#>
комментариев: 11545   документов: 1036   редакций: 4094
Если червь использует GnuPG в неизменном виде, то есть тривиальное решение — watchdog-процесс, который будет отслеживать запуск процесса с именем gpg.exe и тихонько его прибивать. Однако такую контрмеру можно столь же тривиально обойти. Единственная достаточно надёжная мера — не использовать дырявые ОС и дырявые бразуеры.
— safety (29/04/2015 08:36, исправлен 29/04/2015 08:38)   профиль/связь   <#>
комментариев: 27   документов: 3   редакций: 6

злоумышленники здесь используют естественную уязвимость другого рода. мышление.


Здравствуйте,
Директор распорядился провести сверки со всеми контрагентами (по состоянию на 01.03.2015 года).
Отправляю Вам Акт сверки взаиморасчетов за указанный период (во вложении). Прошу рассмотреть и завизировать документ.
Перешлите нам (если возможно, до конца дня) подписанный экземпляр или ваши замечания.

Прикрепленные файлы (1):
1. Акт сверки (01.03.2015).zip


--
С уважением начальник коммерческого отдела
ООО «Механический завод» г.Бийск
Татаринова Лариса Владимировна

пользователи сами все скачивают, и сами запускают. их лишь слегка подталкивают к этому методами соц_инженерии.


gpg.exe и iconv.dll как правило скачиваются из сети с другими именами, иногда модуль gpg.exe может быть упакован в UPX для изменения размера,
а после копирования в %temp% юзера эти файлы будут переименованы, например в svchost.exe. поэтому по имени не получится заблокировать процесс.
Я использовал такой метод:
копирую в %temp% из известной ключевой пары pubring.gpg и защищаю его от удаления и перезаписи.
в итоге после запуска исполняемого энкодера, новый ключ не может быть создан, шифрование продолжается, но уже моим ключом.

— Гость (29/04/2015 12:08)   <#>
Без регулярных бэкапов жизни нет. А с ними проблема не так уж чувствительна для бизнеса.

С домашними пользователями виндовс решения я вообще не вижу. Всё равно разрешат и запустят.
— sentaus (29/04/2015 12:16, исправлен 29/04/2015 12:16)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Я использовал такой метод:
копирую в %temp% из известной ключевой пары pubring.gpg и защищаю его от удаления и перезаписи.

А червь такой тупой, что не делает имена временных файлов уникальными. Куда катится мир?..

— safety (29/04/2015 12:17)   профиль/связь   <#>
комментариев: 27   документов: 3   редакций: 6
одно другому не мешает.
здесь все средства хороши:
бэкапы, локальные политики, сигнатуры, правила HIPS, но хотелось бы привязки правил к особенностях работы gpg.exe,
чтобы если один рубеж обойден (политики и сигнатуры), то на пути шифратора срабатывал, другой уровень защиты – HIPS с привязкой к особенностям работы GnuPG.

восстановление из бэкапа – процедура, которая занимает время.
— safety (29/04/2015 12:22, исправлен 29/04/2015 12:38)   профиль/связь   <#>
комментариев: 27   документов: 3   редакций: 6
А червь такой тупой, что не делает имена временных файлов уникальными. Куда катится мир?..

червь то не тупой,
но ключи pubring.gpg, secring.gpg создаются модулем gpg.exe.
даже если он переименован и упакован, то ключи при их создании будут с именами pubring/secring.
(или я не прав?)


на выходе команды здесь все равно будут файлы pubring.gpg и secring.gpg
но при этом со специфичной, добавленной из gk.vlt информацией.


echo Key-Type: RSA> "%temp%\gk.vlt"
echo Key-Length: 1024>> "%temp%\gk.vlt"
echo Name-Real: Cellar>> "%temp%\gk.vlt"
echo Name-Comment: Cellar>> "%temp%\gk.vlt"
echo Name-Email: v@u.lt>> "%temp%\gk.vlt"
"%temp%\svchost.exe" -batch -homedir "%temp%" -gen-key "%temp%\gk.vlt"

— SATtva (29/04/2015 13:20)   профиль/связь   <#>
комментариев: 11545   документов: 1036   редакций: 4094

До очередного обновления червя Ваш метод может работать, но ничто не мешает червю создавать связки ключей в той директории, где захочется, и под какими угодно именами, так что в конечном счёте это тупиковый путь.
— safety (29/04/2015 13:25, исправлен 29/04/2015 13:30)   профиль/связь   <#>
комментариев: 27   документов: 3   редакций: 6

SATtva, поясните пожалуйста,


может gpg.exe (а злоумышленники сейчас используют легальные модули из GnuPG) создать ключевую пару изначально с другими именами, отличными от pubring/secring?
(понятно, что червь в дальнейшем может их переименовать как угодно)
то что ключи могут быть положены в другой каталог, отличный от %temp% – это понятно.

— SATtva (29/04/2015 13:34, исправлен 29/04/2015 13:34)   профиль/связь   <#>
комментариев: 11545   документов: 1036   редакций: 4094

Да, см. --no-default-keyring, --keyring, --secret-keyring.



Одного этого вполне достаточно в качестве контрмеры со стороны червя.

— safety (29/04/2015 13:42, исправлен 29/04/2015 13:43)   профиль/связь   <#>
комментариев: 27   документов: 3   редакций: 6

ок, спасибо, посмотрю.

— safety (31/10/2015 21:08)   профиль/связь   <#>
комментариев: 27   документов: 3   редакций: 6
вот еще вопрос:
есть ли возможность обработать код операции при расшифровки файлов (после VAULT) в командном режиме?
например.
для расшифровки группы файлов на дисках создал небольшой командный файл, в котором используем
следующую конструкцию команд



необходимо учесть момент, если будет ошибка по какой то причине с расшифровкой файла с расширением gpg (после его переименования из vault)
с тем чтобы предотвратить последующую команду удаления файла *.gpg в случае его неуспешной расшифровки по той или иной причине.

чтобы команда удаления del *.gpg выполнялась только после проверки успешности расшифровки данного файла.

есть ли коды, которые gpg.exe возвращает после удачной (или неудачной) расшифровки текущего файла *.gpg?
— pgprubot (31/10/2015 22:20)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

man gpg:

RETURN VALUE
The program returns 0 if everything was fine, 1 if at least a signature was bad, and other error codes for fatal errors.

Да и в сети обсуждений на тему вашего вопроса хватает [1], [2], [3].
— safety (01/11/2015 05:53, исправлен 01/11/2015 09:11)   профиль/связь   <#>
комментариев: 27   документов: 3   редакций: 6

pgprubot,
спасибо за ответ.

0 is success (all other values indicate a failure).
2 is usually used for unxpected errors.
1 for things like a BAD signature.

поясните пожалуйста, как я могу (программно) получить это значение для последующей его проверки в теле программы, и создания блока проверки этого значения на результат 0?


на примере командной строки.

— pgprubot (01/11/2015 05:58, исправлен 01/11/2015 06:00)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

В борн-совместимом шелле как-то так:

if gpg [опции] ; then
    your commands for the case 0
fi
(но надо тестировать). Как в вашем шелле — не знаю, но знаю, что в винде можно установить tcsh и писать скрипты на нём. По мною данным ссылкам, кстати, тоже есть примеры скриптов.

— safety (01/11/2015 06:07, исправлен 01/11/2015 06:08)   профиль/связь   <#>
комментариев: 27   документов: 3   редакций: 6

примеры есть, конечно,
One way of using the status-fd in linux is as follows:



попробую применить это в bat скрипте

На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3