ADG Оставить заявку
Блог Информационная безопасность 4 мин чтения

Conficker: карантин руками и урок про патчи, которые не ставят

Червь Conficker распространяется через MS08-067 на машинах без SP3. Обнаружили заражение у клиента, ввели карантин, чистили сегмент вручную - рассказываем как это выглядело изнутри.

Контекст момента

Червь Conficker (Downadup) распространяется через уязвимость MS08-067 в Windows XP без SP3, к январю 2009 заражены миллионы машин по всему миру

Про Conficker в интернете уже много написано - цифры заражений, технические разборы, общий шум. Мы хотим рассказать про конкретный эпизод на конкретной площадке, потому что в нём всё то, из чего складываются подобные инциденты в реальной жизни.

На прошлой неделе клиент - небольшая производственная компания - обратился с жалобами на странное поведение сети. Несколько машин начали лагать, на одной пропали общие папки, сетевая активность по ночам стала непривычно высокой. Ничего критического на первый взгляд, но в сумме - неприятно. Поехали разбираться.

Картина на месте. Сеть - около сорока машин, большинство Windows XP. Service Pack 3 на части из них отсутствует - ставили SP2 при развёртывании, и с тех пор трогать «не стали, работает же». WSUS есть, но настроен мягко: одобрение обновлений не автоматическое, критические патчи копились в очереди утверждения неделями.

Заглянули в сетевой трафик - и сразу стало понятно. Часть машин генерировала характерные паразитные соединения на 445/tcp к случайным адресам внутри подсети. Conficker, он же Downadup, использует уязвимость в Server Service - ту самую, которую Microsoft закрыл патчем MS08-067 ещё в октябре прошлого года. Уязвимость похожего класса мы уже видели с MS06-040 - та же механика, тот же порт 445, то же RCE без аутентификации. Но тогда реагировали быстрее.

Почему заразились. Версия Windows XP без SP3 плюс неприменённый MS08-067 - достаточное условие. Conficker активно сканирует подсеть, находит уязвимые машины, заражает их, те сами становятся сканерами. Экспоненциальный рост: одна заражённая машина даёт две, две дают четыре. В закрытой корпоративной сети с однородным парком это происходит быстро.

Откуда пришёл первый носитель - установить не удалось. Вероятнее всего, ноутбук кого-то из сотрудников, побывавший на другой площадке или в общественной сети. Conficker также умеет распространяться через сетевые ресурсы и USB-носители, так что вариантов хватает.

Как вводили карантин. Сначала изолировали заражённый сегмент: отключили его от остальной сети на управляемом коммутаторе, чтобы червь не перешёл на другие подсети. Это неприятное решение - людям пришлось объяснять, почему у них нет доступа к серверам - но необходимое. Пока сегмент подключён к общей сети, чистить его бессмысленно.

Дальше - инвентаризация. Прошлись по каждой машине в сегменте: проверили версию SP, статус MS08-067, состояние. Заражённых оказалось порядка трети парка. Незаражённые машины с отсутствующим патчем - потенциально следующие в очереди.

Порядок чистки. Чистить начали с незаражённых: сначала применить патч, потом возвращать в сеть. Логика та же, что и всегда - патч первым делом, чистка потом. Незапатченная машина заразится снова раньше, чем ты успеешь закрыть RDP-сессию.

С заражёнными сложнее. Conficker умеет блокировать доступ к сайтам антивирусных производителей и Windows Update - это одна из его особенностей. Пришлось скачивать утилиты и дистрибутивы патча заранее, с незаражённых машин, и переносить вручную. Старомодно, зато надёжно.

На каждую машину:

  • Отключить от сети - чтобы червь не мешал в процессе и не залез обратно.
  • Применить MS08-067 - установка, перезагрузка.
  • Запустить специализированный removal tool - Microsoft и несколько антивирусных вендоров выпустили утилиты именно под Conficker.
  • Проверить автозапуск и задачи планировщика - Conficker прописывается в нескольких местах.
  • Только после этого - вернуть в сеть.

По времени - на сегмент из сорока машин ушёл весь рабочий день плюс часть вечера. Это реальная стоимость одного пропущенного критического патча.

Что в итоге. Сегмент вычищен, патч применён везде. WSUS перенастроили: критические обновления теперь одобряются автоматически, остальные - по регламенту. Это базовая настройка, которую мы рекомендуем давно, но не везде она стоит.

Отдельный вопрос - USB-носители. У части сотрудников флешки ходят туда-сюда, и это отдельный вектор для Conficker. Пока обсуждаем с клиентом политику в рамках сопровождения инфраструктуры: либо запрет неизвестных USB через GPO, либо хотя бы принудительное сканирование при подключении.

Conficker продолжает работать - в январе он уже счёт идёт на миллионы заражённых машин по всему миру. У клиентов с актуальным патч-уровнем этой проблемы нет. У остальных - есть.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.