ADG Оставить заявку
Блог Информационная безопасность 4 мин чтения

Conficker.B: отключаем AutoRun через GPO и закрываем 445-й на периметре

Новая модификация Conficker.B добавила USB и сетевые шары как векторы распространения. Рассказываем, какие групповые политики и правила межсетевого экрана остановили волну у наших клиентов.

Контекст момента

Появление модификации Conficker.B с расширенными механизмами распространения через сменные носители и сетевые ресурсы

В январе мы уже разбирали первую волну Conficker - тогда вектор был один: уязвимость MS08-067 на машинах без SP3, порт 445 внутри сети. Патч закрывал вопрос. Conficker.B меняет правила игры: теперь он ещё и через флешки, и через сетевые шары с подбором паролей. Это меняет список мер, которые реально работают.

На этой неделе с нами связались сразу два клиента с подозрительной активностью. Картина узнаваемая: ночной сетевой шум, несколько машин ведут себя странно, одна перестала монтировать общие ресурсы. На одной из площадок парк был полностью запатчен - MS08-067 закрыт, казалось бы, история закончена. Оказалось - нет.

Что изменилось в .B. Conficker.B прибавил два новых механизма распространения. Первый - через USB-носители: подключаешь флешку, на ней создаётся файл autorun.inf, при следующем подключении к другой машине - если AutoRun включён - код запускается автоматически. Второй - через сетевые ресурсы с перебором паролей административных шар (ADMIN$, C$ и прочее). Слабые пароли локального администратора превращаются в вектор. Всё это поверх старого MS08-067 - не вместо него.

На площадке, где патч стоял, заражение пришло именно с флешки. Сотрудник принёс её с домашнего ноутбука. AutoRun на рабочих станциях был включён - никто его не трогал, это же «удобно».

Что мы сделали - по порядку.

Первое - отключили AutoRun через GPO. Это самое важное и самое быстрое. В групповых политиках есть параметр «Computer Configuration - Administrative Templates - Windows Components - AutoPlay Policies - Turn off AutoPlay». Ставим «Enabled», в выпадающем списке выбираем «All drives». На Windows XP SP2 этот параметр иногда ведёт себя капризно - там дополнительно нужно выставить значение реестра NoDriveTypeAutoRun = 0xFF через тот же GPO (раздел «Computer Configuration - Windows Settings - Registry»). Проверяем через gpresult, что политика применилась.

Важный нюанс: отключение AutoPlay в интерфейсе («открывать папку для просмотра файлов» и т.д.) - это не то же самое, что отключение AutoRun через реестр. Первое убирает диалог, второе останавливает автозапуск. Conficker.B ему не интересен ваш диалог - ему важен autorun.inf.

Второе - заблокировали SMB на периметре. Порты 139/tcp и 445/tcp не должны быть открыты наружу в принципе - но у части клиентов они торчали наружу «исторически». Закрыли на межсетевом экране. Внутри сети трафик на 445 между сегментами тоже ограничили там, где это позволяет топология: финансовый сегмент не должен напрямую общаться с производственным по SMB, для этого есть файловые серверы.

Третье - сменили пароль локального администратора везде. Conficker.B перебирает словарь паролей по списку - там несколько сотен распространённых вариантов. «Admin123», «Qwerty1», пустой пароль, совпадение с именем машины - всё это в его словаре. Использовали скрипт для массовой смены через ADUC, завели случайный пароль одинаковой сложности на всём парке. Да, это неудобно - зато работает.

Четвёртое - MS08-067 там, где ещё не стоит. У одного из двух клиентов нашлись машины без патча - старые XP в углу, которые «никто не трогает». Conficker.B тоже их находит.

Что не сработало бы само по себе. Только патч без GPO по AutoRun - на той площадке, где патч стоял, это уже не помогло. Только отключение AutoRun без смены паролей - Conficker.B добрался бы через сетевые шары. Меры работают в связке.

Где сейчас. Обе площадки вычищены. На одной из них в рамках сопровождения инфраструктуры мы теперь ведём мониторинг аномального трафика на 445 внутри сети - всплески сканирования видно сразу. На второй клиент пока думает над форматом работы, но GPO по AutoRun и смена паролей локального администратора уже сделаны.

Conficker продолжает эволюционировать - это хорошо видно по переходу от .A к .B за несколько недель. Меры, которые закрывали предыдущую версию, уже не закрывают следующую полностью. Следим за развитием событий.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.