Задать вопрос

Заражение вирусами в ОЧЕНЬ большой сети?

Имеется ОЧЕНЬ большая LAN-сеть очень крупного медицинского центра в Азии (Китай). Сеть обладает распределенной оптической сетью, сеть доменная, одноранговая, без разделения на VLAN-ы.
Сеть спроектирована очень давно, когда не было нормальных коммутаторов, после модернизации количество работ было таким большим, что одноранговую сеть так и оставили.
Компьютеров ~6000, присоединено 4 здания.

Ситуация такая:
1. Все компьютеры выходят в Интернет через очень строгий прокси-сервер, со строгой фильтрацией, с авторизацией по plain логину-паролю, большинство компьютеров не работают в интернете никогда.
2. На большинстве компьютеров стоит ОС Windows XP, также имется очень много рабочих станций с ОС Windows 98
3. Операционную систему менять нельзя ни в коем случае, так как большинство лабораторных/диагностических программ очень старые, драйвера старые, под новыми системами не хотят дружить.
4. В сети не только компьютеры, присоединены как участники одноранговой сети разные медицинские приспособления, отправляющие диагностическую информацию по простейшему SMB-протоколу. Приспособлений около 500, начиная с рентген установок, заканчивая ДНК-анализаторами.
5. Некоторые рабочие станции не являются участниками домена.
6. IT отдел медцентра – это 40 человек, из них 15 админов.
7. В медицинском центре круглосуточно выполняется более 600 разных операций на людях, работу сети прерывать нельзя ни в коем случае, так как вся диагностическая информация (МРТ, рентген, результаты анализов, бухгалтерия) передаются непрерывно.
8. Простой сети на день грозит потерями в миллионы долларов

Проблема:
Какой то мудак (его уже выгнали) поднял игровой сервер в сети, расшарил инет через мобильный LTE интернет и запустил вирус криптолокер в сеть.

Сеть оказалась завирусована, и вирус шифратор гуляет по сети, шифруя данные на локальных компах, и на расшаренных SMB ресурсах.

Каждый день заражается около 20-40 компьютеров.

Медцентр и рад заплатить хакерам выкуп, но путем переговоров с ними пришли к выводу что невозможно каждый день расшифровывать файловые системы по отдельности, хакеры честно сказали что помочь в этом не смогут.
На большинстве компьютеров антивирусная защита отсутствует как таковая, так как на большинстве рабочих станций стоит Windows 98 & XP

Конкретный факап или есть выход?
  • Вопрос задан
  • 14418 просмотров
Подписаться 36 Сложный 6 комментариев
Решения вопроса 2
saboteur_kiev
@saboteur_kiev Куратор тега Информационная безопасность
software engineer
Какая бы не была организация, не верю что ВСЕМ компам нужно связываться со ВСЕМИ компами.
Ставите адекватные маршрутизаторы, разбиваете сеть на VLAN-ы, лечите их отдельно.

Старые ОС можно запускать в виртуалках, с отключенной сетью. А на самом железе - нормальная, современная ОС.
Во многих случаях комп с диагностическим оборудованием может быть совсем отключен от сети.
Ответ написан
Комментировать
Для начала делите сеть на изолированные сегменты.
Затем каждый сегмент на грязный и чистый с постепенным переносом оборудования из 1-го во 2-й.

Но для успеха вам нужна карта циркуляции информации по вашей сети, как минимум.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 20
POS_troi
@POS_troi
СадоМазо Админ, флудер, троль.
1. Админов расстрелять, по теме
после модернизации количество работ было таким большим, что одноранговую сеть так и оставили.

Какой то мудак (его уже выгнали) поднял игровой сервер в сети, расшарил инет через мобильный LTE интернет и запустил вирус криптолокер в сеть.


2.
Операционную систему менять нельзя ни в коем случае, так как большинство лабораторных/диагностических программ очень старые, драйвера старые, под новыми системами не хотят дружить.

Если простоя стоит миллионы долларов, то что мешает заплатить пару миллионов на решение это проблемы?
Тут расстреливаем менеджеров, ну тех которых не расстреляли в п.1.

3.
На большинстве компьютеров антивирусная защита отсутствует как таковая, так как на большинстве рабочих станций стоит Windows 98 & XP

Древняя ось, без обновлений (на большинстве уверен вообще обновы не ставились со времени установки), без банального антивируса.
Чего вы ещё хотели то?

Вирусные эпидемии как в вашей ситуации не лечатся путём "а прогоним отот комп антивирусом", их лечат путём "отрубить нахрень всё и переустанавливаем системы ибо хрен пойми какая сигнатура у этой дряни".

Вы влетели по полной программе и решение тут только одно - модернизация железа/ПО, грамотный подход к сети.
Ответ написан
Комментировать
Jump
@Jump
Системный администратор со стажем.
Нужен анализ конкретной версии локера.
Как правило такого рода программы создают временные файлы необходимые для работы, поэтому зачастую можно заблокировать его распостранение созданием этих файлов в режиме рид онли.
Но это прокатит от XP и выше.
На XP накатить патч для SMB

На Win98 боюсь самое адекватное - полное запрещение SMB и перевод файлообмена на другой протокол, например FTP, btsync и прочее подобное.

1)Вынос файловых шар на сервера с современными ОС, жесткая настройка прав, чтобы шифровальщик не мог дотянутся до всех файлов. На серверах теневые копии.
2)Регулярное создание теневых копий на всех машинах от XP и выше. Например раз в час или в два часа.
3)Регулярные бэкапы в формате образа диска- чтобы можно было развернуть полностью работающую ОС
Ответ написан
@Gansterito
Выше уже написали, что нужно сегментировать сеть. Эта задача и стратегическая (будете решать после устранения проблемы) и тактическая (ограничение распространения зловреда).

Сегментировать нужно заменой коммутаторов на управляемые с функционалом vlan, acl, dhcp snooping (на перспективу), loopback detection. Закупить коммутаторов на ~ 6000 портов можно одним днем (это порядка 120 коммутаторов доступа не считая агрегацию и маршрутизатора). Выйдет все же дешевле финансовых и имиджевых потерь от простоев.

Как именно нужно сегментировать - можно определить только по месту. Может быть сразу отсечь сегменты, не занятые в оперативной деятельности компании, отправив туда 1-2 человек для зачистки антивирусом, а основные силы бросить на приведение в порядок сети. Может быть есть смысл "заблокировать всё" и открывать доступ к тем или иным ресурсам по мере возникновения проблем. Из 15 админов на месте можно оставить 5, а остальных (35) отправить разбираться у кого чего не работает. Все общение должно быть сведено к:
- Володя, это Сёмен, IP адрес 10.156.2.25, MAC-адрес заканчивается на 13-AC-F4 нужен доступ к 10.43.1.67, это рентген в кабинете 523
- Готово проверяй
- Да, есть, сделай тоже самое для XXX, YYY, ZZZ...
Ответ написан
Комментировать
@MechGun
Пишите вирус, который гасит предыдущий. Контакт с хакерами есть, алгоритм шифрования есть, уязвимость известна. Выкупайте исходники их творения и правьте, либо обращайтесь к тем, кто может написать подобное. Это если нельзя отключать сеть. Знакомые так точки доступа затрояненные возвращали под контроль, обежать их было нереально - развешены по всему городу. За пару дней сваяли вирус-чистильщик. А далее - по пуктам вышеописанным: сегментация, контроль трафика, и.т.д.
Ответ написан
Комментировать
daager
@daager
Мне очень интересно, чем всё закончилось?
Ответ написан
@SuNbka
Вы используете SMB-протокол, шифровальщик использует его.
Если попробовать завернуть весь трафик SMB на роутер, и там либо блокировать зараженных либо попробовать парсить заголовки зараженных пакетов. (может они выделяются на общем фоне)
мысли в слух

Почитал коменты и можно сказать что все сводится к одному,
после модернизации количество работ было таким большим, что одноранговую сеть так и оставили.

вас ждет настоящая модернизация, болезненная но оправданная. Так как теперь начальство стоит перед фактом что экономить на IT нельзя!
Ответ написан
Конечно такая сеть - это полный кашмар и что то тут посоветовать сложно. Тут нужен комплексный подход. Рекомендую обратиться к специалистам в одну из антивирусных компаний, а так же компаний специализирующихся на программно-аппаратных файеволах (Fortinet, Check Point Software).

А если брать проблему локально, то нужно смотреть каким крипто-локером заразились, к примеру у того же WannaCry или Petya (Not.Petya) есть стоп-файл, наличие которого в определенных местах останавливает работу крипто-локера. Конечно пробежаться по 6 тыс. ПК практически нереально, но....
Ответ написан
Комментировать
fdroid
@fdroid
press any key
В основном, все решения сводятся к тому, что нужно было сделать до заражения. КМК, сейчас первое, что нужно сделать это вырубить нафиг вообще все компьютеры, по одному включать и определять состояние - заражён или нет, исходя из этого предпринимать дальнейшие действия - дать доступ в сеть или формат Ц. Для определения заражён или нет привлечь спецов из антивирусных лабораторий. Сеть сегментировать по ходу дела (привлекаем спецов), это всё равно нужно делать, т.к., по сути, по такой схеме она будет конфигуриться ну почти с нуля. Естественно, с обязательным снятием образов дисков в текущем состоянии, каким бы оно ни было. Отключать нельзя? Финансовые потери? Ну извините - предыдущая экономия вылезла боком сейчас, это уже просто факт.
Ответ написан
AlexMaxTM
@AlexMaxTM
А что с самим парком компов, насколько старые компы сами по себе?
Идея в следующем: берем новый чистый комп, ставим современную ось и на нее виртуалку с Вин98, на которую переносим весь необходимый софт. Сам софт и драйвера можно перед установкой проверить на антивирусах.
Ответ написан
@sapsanius
1. Сегментировать сеть.
2. Если у компании многомиллионный доход, можно заказать антивирус у того же Касперского.
Ответ написан
@Onneoro
2 года пишем софт способный решать подобные проблемы, на рынок не вышли, так как пока используем для внутренних нужд, но это же больница, есть возможность связи?
Емейл для контакта:
ccoropto@inbox.ru
Ответ написан
Francyz
@Francyz
Photographer & SysAdmin
Пробовать качать какие нить LiveCD и лечить по факту. Не думаю что какие нить DrWeb Cureit! запустятся на вин98.
Как я понимаю вариантов у вас все равно нет, поэтому как мне кажется самый оптимальный вариант, это понять на каких компах вирус и выключить их из сети, а дальше провести диагностику и лечить их, потом загоняя в сеть обратно.
Ответ написан
athacker
@athacker
Плюсую предыдущих ораторов. Встряли вы конкретно, и своими силами не управиться, привлекайте серьёзных интеграторов для решения. И готовьте денег, конечно -- на оплату их услуг, на новое оборудование.

Сеть должна быть сегментирована. На как можно более мелкие сегменты, чтобы легче было резать всё к чёртовой матери, не дожидаясь перитонитов. Как конкретно резать -- пусть вам расскажет интегратор после анализа карты информационных потоков в вашей сети. Есть железо, которое строит такие карты на основании данных с сетевого оборудования -- кто, куда и по каким протоколам ходит, на основании этой карты будет понятно, как сегментировать сеть и как нарезать ACL между сетями.

Возможно, придётся внедрять некий анализатор трафика, который по определённым сигнатурам в пакетах будет блочить порты -- это, наверное, единственный способ сохранить ваши старые ОС и при этом иметь хоть какое-то подобие защиты от сетевых червей. Ну и все остальные комплексные меры тоже -- расстановка файрволов, жесточайший контроль за появлением новых устройств в сети и новых типов трафика (такого, например, как игровые сервера ;-) ).

Вот неплохие переводы двух CIS-овских регламентов, начинайте внедрять:

https://habrahabr.ru/company/pentestit/blog/338532/
https://habrahabr.ru/company/pentestit/blog/339206/
Ответ написан
Комментировать
stalinets
@stalinets
Спайщик ВОЛС (оптических кабелей)
Я, конечно, не являюсь сисадмином с опытом, но я бы сделал так. Параллельно старой сети быстро развернул бы новую, с новым кабелем, новыми компами, новым сетевым железом, правильно организованную, чтобы она вообще нигде не пересекалась со старой. Подготовил бы её: в каждый кабинет поставил бы полагающийся там компьютер с нужной ОС и драйверами, заранее всё протестировать, разбить на сегменты. И потом в ночь Икс, собрав всех админов, разом переключить всё на новую сеть, ну и уже по ходу дела решать возникающие при этом проблемы. А потом уже неспешно разобрать старую сеть.
Ответ написан
@klepiku
а наклепать usb или dvd с Kaspersky Rescue Disk 10 не судьба ?
Ответ написан
Комментировать
edinorog
@edinorog
Троллей не кормить!
Тут чел правильно написал. Софт старый ... убираем его на сервера и долбимся по рдп(ремонт апп или аналоги). Нарезаем виланы и начинает обновляться до современных осей. Можно даже ставить терминалы.
Ответ написан
Комментировать
@pnmrnckmr
Затушить то, что можно затушить, причем как можно быстрее. Может быть вы и потеряете какую-то выгоду, но упущенная прибыль - это не прямые убытки. И с каждым часом у вас добавляются прямые убытки.

Заплатить хакерам, пусть выпустят тулзу для лечения своего творения. Или как минимум, пусть документируют работу своего творения, укажут куда оно прописывается и как можно задетектить "зараженность". Собрать РХЕ-сервер с образом линупса, который бы детектил зараженные машины и слал бы отчет на головной сервер. Ребутнуть все что можно, загружаясь с РХЕ где можно, а где нельзя - грузимся с флешек и болванок. Если квалификации достаточно, то можно за день уложиться, зато будет карта зараженных машин и можно будет продолжить работу без инфицированных.

Инфицированные машины, где инфа на них нужна, лечить в индивидуальном порядке, предварительно отключив от сети, а если не нужна - заливать на них свежие образы с того же РХЕ-сервера. Опять же, написать хакерам, пусть сделают нормальный тул для менеджмента шифрования.

В принципе, тут уже было правильное мнение о том, что нужно прибегнуть к услугам толстого интегратора, но... Но толстые интеграторы собирают дешевую рабсилу за копейки, таким образом ничего волшебного в их услугах не будет. В лучшем случае прибегут такие же специалисты как и тут, которые только и могут накатывать антивирусы и все обновления которые видят, трясти бубен и надеяться, что последняя версия патчей их от чего-то там убережет. Особенно мне понравилось про установку Вин98 в виртуалочку на современную ОС, просто верх местной экспертизы. Тебе такие эксперты нужны?

Но в любом случае, на деньги вы уже попали. Так что беги к выключателю и выключай все. ВСЁ!!
Ответ написан
Комментировать
@DanilinS
Такая сеть - кошмар для админов. О безопасности нужно было думать раньше. Такую сеть практически нереально полностью вычистить. Постоянно будет вылазить что-то с флех, архивов и т.д.
Рекомендации:
1) Анализ потоков и разбивка на сегменты. В нерабочее время для минимизации ущерба.
2) Межсетевые экраны на границе сегментов. Желательно с обнаружением аномального трафика.
3) Все шары для обмена - нормальный сервер с антивирусом.
4) Постепенный обход машин с накатыванием заплат. Для закрытия хотя-бы базовых уязвимостей.
Ответ написан
Комментировать
@arkenoi
напишите мне, пожалуйста, arkenoi@gmail.com . обсудим, чем я могу помочь.

для начала -- не нужно ничего покупать, не подумав. особенно у антивирусных и примкнувших к ним компаний.
Ответ написан
SADKO
@SADKO
aka -=SADKO=-
Тут надо писать свои руткиты под 98 и ХРюшу, с основной идеей в пресечении любой активности кроме узкого профиля приложений необходимых для работы, плюс обнаружение аномального поведения.
У меня так, куча лабораторного старья здравствует и ныне, уж конденсаторы по второму кругу меняют, а оно всё работает.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы