Gå til innhold

Hydro jobber med å nøytralisere angrepet. Bekrefter at pc-parken er slått ut av kryptovirus

Gjest Marius B. Jørgenrud

Av Gjest Marius B. Jørgenrud
i Diskuter artikler (Digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Gjest Slettet-t8fn5F

Gjest Slettet-t8fn5F

Skrevet
Skrevet (endret)

Hvordan kom dette seg inn forbi brannmur, og hvorfor tok ikke anti-virus det?

Kanskje fordi det er et målrettet program som utnytter en zeroday exploit som antivirus og andre firmaer i samme gate ikke har oppdaget enda?

Endret av Slettet-t8fn5F
Lenke til kommentar
m-sandbu

m-sandbu

Skrevet
Skrevet (endret)

Hvordan kom dette seg inn forbi brannmur, og hvorfor tok ikke anti-virus det?

Fordi dette var en ny variant som også var kamuflert som en godkjent digitalt signert fil, som gjorde at den fikk en ny signatur som de fleste AVene ikke hadde noen måte å detektere *fjernet url* kom nok mest sannsynlig forbi epost filter sammen med at noen gjorde endringer i AD for å kunne spre det videre ut

Endret av Uderzo
fjerning av url
Lenke til kommentar
Theo343

Theo343

Skrevet
Skrevet (endret)

Så man vet at filen kom via e-post? Mulig jeg misset det i artikkelen. 

 

EDIT:
Linken din var bra! Nå har jeg bare skummet den men at man har konfigurert brukerkontoer og AD slik at viruset kunne gjøre endringer i GPOer er litt bekymringsverdig. Selv om det worst case var snakk om en admin konto som da trigget dette viruset via e-post (også litt bekymringsverdig).

 

En annen ting som desverre veldig få gjør er å kjøre antivirus på forskjellige nivåer fra forskjellige leverandører slik at om signaturen for realtime på fil, minne osv. på servere/klienter ikke har blitt fått beskyttelsen så kan proxy, brannmur og annet evt. ha tatt det med signaturer fra andre leverandører. Veldig mange tenker at signaturer fra én leverandør er godt nok. Det samme om man har brannmurer i flere ledd, ikke nødvendigvis best beskyttelse ved å ha alle nivåene fra samme leverandør.

 

Uansett, det viktigste er å ha rutiner for hvordan man håndterer situasjonen når den først har oppstått. Og det at man automatisk peker på og sier "vi har backup" er også litt bekymringsverdig. Jeg håper de har litt bedre rutiner enn det.

Endret av Theo343
  • Liker 2
Lenke til kommentar
Jan Kjetil Andersen

Jan Kjetil Andersen

Skrevet
Skrevet

Min erfaring er at antivirus ikke er nok. Antivirus er et tiltak som virker etter «svarteliste» prinsippet. De programmer som gjenkjennes som kjente og farlige vil da blokkeres.

 

For å ha en beskyttelse mot «null-dags sårbarhet» må man ha en type «Hvitlisting». Dette går ut på at kun programmer som gjenkjennes som ufarlige tillates å eksekvere.

 

Jeg har god erfaring med Microsoft AppLocker til dette.

Lenke til kommentar
Øystein Hansen

Øystein Hansen

Skrevet
Skrevet

 

Hvordan kom dette seg inn forbi brannmur, og hvorfor tok ikke anti-virus det?

 

Fordi dette var en ny variant som også var kamuflert som en godkjent digitalt signert fil, som gjorde at den fikk en ny signatur som de fleste AVene ikke hadde noen måte å detektere https://msandbu.org/norwegian-hydro-affected-by-ransomware-attack-lockergoga/ kom nok mest sannsynlig forbi epost filter sammen med at noen gjorde endringer i AD for å kunne spre det videre ut

Ja, og kan ikke være en god ide å nekte alle komprimerte (og ekseverbare) filer i epost (attachment-blocking)?

Lenke til kommentar
Theo343

Theo343

Skrevet
Skrevet (endret)

Jan Kjetil:

Antivirus er selvsagt kun bare én del av mange innenfor perimetersikring og sikring av driftsmiljøet, det er de fleste klar over. Proxies, Antispam filtre og filblokkering som Øystein nevner er andre og man har så meget mer. Applocker som nevnt men også kodesignering, tillatte cryptochains, protokollnivåer, sertifikater. etc. I tillegg har de fleste brannmursystemer fra SMB i dag også application-level filtrering samt støtte for det man kaller "virtual patching". Dvs. at forsøk på å utnytte kjente sårbarheter som ikke er patchet eller fått en patch ennå likevel blir stoppet i brannmuren. Whitlisting på flere områder er også en viktig komponent. Man bruker "Whitelisting" teknikker også fra gammelt av ved at man sperrer alt og kun åpner for det som er "godkjent", prinsippet er ikke nytt.

 

Men det største problemet her virker her å være hvordan man har satt opp miljøet. Bare det at man her har konfigurert miljøet slik at viruset kan konfigurere og endre GPOer i AD bør være et stort varsku. Det er noen røde lamper mot det man kan si er menneskelig relaterte årsaker. Mennesker gjør feil og derfor viktig å lære av hverandre. Men som regel er problemet at sikkerhet i miljøet ofte nedprioriteres på den altfor fulle gjøremålslisten eller blir utsatt for "paranoid"-pekefingeren inntil det skjer noe slikt som dette. Da får pekefingeren ofte en annen tone.

Endret av Theo343
Lenke til kommentar
Jan Kjetil Andersen

Jan Kjetil Andersen

Skrevet
Skrevet

Jan Kjetil:

Antivirus er selvsagt kun bare én del av mange innenfor perimetersikring og sikring av driftsmiljøet, det er de fleste klar over. Proxies, Antispam filtre og filblokkering som Øystein nevner er andre og man har så meget mer. Applocker som nevnt men også kodesignering, tillatte cryptochains, protokollnivåer, sertifikater. etc. I tillegg har de fleste brannmursystemer fra SMB i dag også application-level filtrering samt støtte for det man kaller "virtual patching". Dvs. at forsøk på å utnytte kjente sårbarheter som ikke er patchet eller fått en patch ennå likevel blir stoppet i brannmuren. Whitlisting på flere områder er også en viktig komponent. Man bruker "Whitelisting" teknikker også fra gammelt av ved at man sperrer alt og kun åpner for det som er "godkjent", prinsippet er ikke nytt.

 

Enig i alt dette Theo, men mitt poeng er at mens absolutt alle benytter antivirus, er det faktisk kun et mindretall som benytter et verktøy for whitelisting.

 

Det er ingen ende på hvor mange sikkerhetsprodukter man kan lesse på med, men det er slett ikke alt som gir noen vesentlig sikkerhetsmessig gevinst, selv om det koster masse.

 

Whitelisting er en metode som etter min mening har altfor lite oppmerksomhet ettersom det både er enkelt og kostnadseffektivt.

Lenke til kommentar
Tore Rosander

Tore Rosander

Skrevet
Skrevet

Her kunne kanskje kunstig intelligens være utviklet for å overvåke datatrafikk og detektere unormal aktivitet opp mot normal aktivitet og sperre eller slå av systeme før viruser får gjort ugagn.

 

Dette ble jo gjort, aktiviteten ble oppdaget og nettverket ble tatt ned.

Produksjonen er i liten grad rammet og at det globale nettverket er nede er hovedsaklig ett sikringstiltak og ikke ett tegn på hvor stor infeksjonen er.

Lenke til kommentar
Nautica

Nautica

Skrevet
Skrevet (endret)

Dette ble jo gjort, aktiviteten ble oppdaget og nettverket ble tatt ned.

Produksjonen er i liten grad rammet og at det globale nettverket er nede er hovedsaklig ett sikringstiltak og ikke ett tegn på hvor stor infeksjonen er.

I dag får vel overvåkeren av systemene beskjed bare når en kjent trussel blir oppdaget ? eller forstår det når det har gått galt.

Tenkte mer et en AI kunne fortere forstå at dette ikke er normal trafikk og foreta nødvendige tiltak umiddelbart ved å isolere selv om dette er en ukjent trussel.

Endret av Nautica
Lenke til kommentar
Gjest Slettet+5132

Gjest Slettet+5132

Skrevet
Skrevet

Her kunne kanskje kunstig intelligens være utviklet for å overvåke datatrafikk og detektere unormal aktivitet opp mot normal aktivitet og sperre eller slå av systeme før viruser får gjort ugagn.

 

De har alt utviklet "kunstig intelligens" for dette (tenk igjen mer et DNN, altså deep neural network, eller sagt enkelt "En avansert form for regressjon"). Problemet er vel bare at det er ikke unormal aktivitet at man får et virus, det er unormalt når viruset har begynt å spre seg, og da er skaden allerede gjort, og det beste man kan gjøre er å stenge ned. 

Lenke til kommentar
madammim

madammim

Skrevet
Skrevet

Det er vel økonomiske grunner for dette angrepet siden det er et krypto-virus/løsepenge-virus. 

 

Er det ikke snart på tide å forby bitcoin og alle dets varianter på et internasjonalt nivå? Hvorfor skal slike verktøy som gjør kriminelle i stand til å overføre penger "under radaren" få lov til å eksistere?

Lenke til kommentar
Theo343

Theo343

Skrevet
Skrevet

Enig i alt dette Theo, men mitt poeng er at mens absolutt alle benytter antivirus, er det faktisk kun et mindretall som benytter et verktøy for whitelisting.

 

Det er ingen ende på hvor mange sikkerhetsprodukter man kan lesse på med, men det er slett ikke alt som gir noen vesentlig sikkerhetsmessig gevinst, selv om det koster masse.

 

Whitelisting er en metode som etter min mening har altfor lite oppmerksomhet ettersom det både er enkelt og kostnadseffektivt.

 

Ikke uenig med deg i det :)

Lenke til kommentar
Jan Kjetil Andersen

Jan Kjetil Andersen

Skrevet
Skrevet (endret)

 

Whitelisting er en metode som etter min mening har altfor lite oppmerksomhet ettersom det både er enkelt og kostnadseffektivt.

Whitelisting kan nok være enkelt i mindre miljøer, men trolig mer komplekst å få gjennomført hos en bedrift som Hydro.

Er ikke så sikker på det. Man må uansett ha en en policy for hva slags programvare man tillater og hvordan ny programvare skal klarereres. Man må også ha et bevisst forhold til hvilke mapper eksekverbare filer skal forekomme i, og hvilke sertifikater og programleverandører man stoler på.

 

Et verktøy for hvitlisting sørger for at disse policyene faktisk etterleves.

 

Det gjelder imidlertid å ikke sette urealistiske forventninger. Heller ikke hvitlisting kan dekke absolutt alle mulige forhold, men man har mulighet til å gjøre en sikkerhetsvurdering av hva man skal tillate i de regler som defineres i verktøyet. Eksempelvis kan man kanskje ikke kreve at alle eksekverbare filer er sertifiserte med betrodd sertifikat. Man kan imidlertid kreve at eksekverbare uten betrodd sertifikat er begrenset til visse mapper som man har god kontroll på. Det burde fange opp det aller meste.

Endret av Jan Kjetil Andersen
Lenke til kommentar
G

G

Skrevet
Skrevet (endret)

Enig i alt dette Theo, men mitt poeng er at mens absolutt alle benytter antivirus, er det faktisk kun et mindretall som benytter et verktøy for whitelisting.

 

Det er ingen ende på hvor mange sikkerhetsprodukter man kan lesse på med, men det er slett ikke alt som gir noen vesentlig sikkerhetsmessig gevinst, selv om det koster masse.

 

Whitelisting er en metode som etter min mening har altfor lite oppmerksomhet ettersom det både er enkelt og kostnadseffektivt.

 

Hvorfor svarteliste og hvitelistebruk. Det holder vel med en form for versjonsbackup av alt, og at block chain gjør at man kan finne ut av "garnnøste" av hva som skjedde? Det må vel finnes ferdige løsninger for dette som lar seg kjøpe?

Endret av G
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...