Приложение CCleaner, используемое для очистки компьютеров на базе ОС Windows от лишних записей в реестре, кеше и автозагрузке, подверглось атаке, что привело к краже данных более 2,27 миллионов пользователей по всему миру. В средствах массовой информации сообщения об этом появились 18 сентября.
В 32-битных версиях CCleaner 5.33.6162 и CCleaner Cloud 1.07.3191, выпущенных 15 и 24 августа соответственно, был обнаружен вредоносный код, с помощью которого злоумышленники получали данные о перечне установленного программного обеспечения, характеристики сетевых адаптеров и IP-адреса компьютеров, на которых было установлено уязвимое ПО.
В настоящий момент разработчик Piriform (принадлежит Avast) уже выпустил обновление, решающее эту проблему, однако мы настоятельно рекомендуем нашим заказчикам убедиться в том, какие компьютеры в их инфраструктуре подвержены данной атаке и обновить ПО до актуальной версии.
Одним из способов поиска ПО с помощью системы R-Vision, являются политики обнаружения. Этот функционал может пригодится при поиске программ, не зарегистрированных в системном реестре (например, portable версии), а также при наличии определенных файлов или каталогов в системе, которые принадлежат этим программам.
Для добавления новой политики необходимо зайти во вкладку «Настройки» и выбрать раздел «Управление активами»-«Политики инвентаризации»-«Политики обнаружения ПО».
В правой части интерфейса, необходимо заполнить предложенные поля, указав Наименование, Описание, Тип политики (обнаружение по заданному пути).
В поле «Путь к каталогу установки / файлу приложения» необходимо указать полный путь к папке, либо к конкретному файлу на компьютере. Например, индикатором активности для некоторых вирусов или атак, являются каталоги и файлы, созданные в скомпрометированных системах. С помощью нашего функционала, можно их обнаружить и точно определить какие из систем были атакованы.
Для обозначения обнаруженных каталогов или файлов, используются поля «Наименование ПО» и «Версия ПО», что позволяет создавать собственные условные обозначения и отображать их по каждой системе.
Добавив такую политику и проведя сканирование сети или отдельных хостов, вы получите информацию о том, на каких компьютерах сработала эта политика и где были обнаружены программы по установленному вами признаку.
Для поиска систем, на которых было установлено программное обеспечение, необходимо открыть раздел «ПО» во вкладке «Активы».
В столбце «Название» воспользоваться фильтром и ввести название ПО.
В столбце «Версия» воспользоваться фильтром и ввести интересующую версию.
При нажатии на выведенную строку, в правой части интерфейса появится карточка ПО, в которой будет раздел «Связанное оборудование».
Для каждого типа оборудования будет указано количество компьютеров, на котором установлено это ПО. Двойной щелчок мыши по интересующему типу оборудования отобразит весь список компьютеров, с указанием их инвентаризационных данных.
Если вы подозреваете, что в вашу систему мог проникнуть вредоносный CCleaner, самый быстрый способ найти его – поиск по фильтру в разделе ПО. Тем не менее в данной инструкции мы показали, каким образом можно обнаружить вредоносный код по косвенным признакам.
Платформа R-Vision позволяет не только обнаружить подозрительное или уязвимое ПО, но провести оперативное реагирование команды обеспечения ИБ на данный инцидент. Система позволяет:
- Сформировать рабочую группу по инциденту, назначить ответственных лиц и наладить взаимодействие команды реагирования в рамках рабочей области по инциденту
- Создать уведомления об инциденте для заданного круга лиц
- Определить, какие группы активов могли быть затронуты данным инцидентом, и получить визуальную картину об их расположении и взаимосвязях
- Прописать сценарий реагирования на подобные инциденты, в том числе технические меры по реагированию и сбору дополнительных материалов для расследования
- Cформировать необходимые отчеты