Кейс: как обнаружить вредонос по косвенным признакам с помощью R-Vision? Разбираем на примере взломанного CCleaner

Приложение CCleaner, используемое для очистки компьютеров на базе ОС Windows от лишних записей в реестре, кеше и автозагрузке, подверглось атаке, что привело к краже данных более 2,27 миллионов пользователей по всему миру. В средствах массовой информации сообщения об этом появились 18 сентября.

В 32-битных версиях CCleaner 5.33.6162 и CCleaner Cloud 1.07.3191, выпущенных 15 и 24 августа соответственно, был обнаружен вредоносный код, с помощью которого злоумышленники получали данные о перечне установленного программного обеспечения, характеристики сетевых адаптеров и IP-адреса компьютеров, на которых было установлено уязвимое ПО.

В настоящий момент разработчик Piriform (принадлежит Avast) уже выпустил обновление, решающее эту проблему, однако мы настоятельно рекомендуем нашим заказчикам убедиться в том, какие компьютеры в их инфраструктуре подвержены данной атаке и обновить ПО до актуальной версии.

Одним из способов поиска ПО с помощью системы R-Vision, являются политики обнаружения. Этот функционал может пригодится при поиске программ, не зарегистрированных в системном реестре (например, portable версии), а также при наличии определенных файлов или каталогов в системе, которые принадлежат этим программам.

Для добавления новой политики необходимо зайти во вкладку «Настройки» и выбрать раздел «Управление активами»-«Политики инвентаризации»-«Политики обнаружения ПО».

В правой части интерфейса, необходимо заполнить предложенные поля, указав Наименование, Описание, Тип политики (обнаружение по заданному пути).

В поле «Путь к каталогу установки / файлу приложения» необходимо указать полный путь к папке, либо к конкретному файлу на компьютере. Например, индикатором активности для некоторых вирусов или атак, являются каталоги и файлы, созданные в скомпрометированных системах. С помощью нашего функционала, можно их обнаружить и точно определить какие из систем были атакованы.

Для обозначения обнаруженных каталогов или файлов, используются поля «Наименование ПО» и «Версия ПО», что позволяет создавать собственные условные обозначения и отображать их по каждой системе.

Добавив такую политику и проведя сканирование сети или отдельных хостов, вы получите информацию о том, на каких компьютерах сработала эта политика и где были обнаружены программы по установленному вами признаку.

Для поиска систем, на которых было установлено программное обеспечение, необходимо открыть раздел «ПО» во вкладке «Активы».

В столбце «Название» воспользоваться фильтром и ввести название ПО.

В столбце «Версия» воспользоваться фильтром и ввести интересующую версию.

При нажатии на выведенную строку, в правой части интерфейса появится карточка ПО, в которой будет раздел «Связанное оборудование».

Для каждого типа оборудования будет указано количество компьютеров, на котором установлено это ПО. Двойной щелчок мыши по интересующему типу оборудования отобразит весь список компьютеров, с указанием их инвентаризационных данных.

Если вы подозреваете, что в вашу систему мог проникнуть вредоносный CCleaner, самый быстрый способ найти его – поиск по фильтру в разделе ПО. Тем не менее в данной инструкции мы показали, каким образом можно обнаружить вредоносный код по косвенным признакам.

Платформа R-Vision позволяет не только обнаружить подозрительное или уязвимое ПО, но провести оперативное реагирование команды обеспечения ИБ на данный инцидент. Система позволяет:

  • Сформировать рабочую группу по инциденту, назначить ответственных лиц и наладить взаимодействие команды реагирования в рамках рабочей области по инциденту
  • Создать уведомления об инциденте для заданного круга лиц
  • Определить, какие группы активов могли быть затронуты данным инцидентом, и получить визуальную картину об их расположении и взаимосвязях
  • Прописать сценарий реагирования на подобные инциденты, в том числе технические меры по реагированию и сбору дополнительных материалов для расследования
  • Cформировать необходимые отчеты
Поделиться записью:
Scroll Up