Эта атака предполагает использование макросов и вредоносных документов.

В исследовании, которое было выполнено Trend Micro, стало ясно, что макрос, который скрыт в документе, будет искать ярлыки на рабочем столе, и он заменит ярлык вредоносными адресами.

Когда пользователь нажимает на одну из ярлыков, пользователь будет перенаправлен на загрузку дополнительных вредоносных программ на устройство.

Ярлыки, которые являются целями атаки:

• Skype
• Google Chrome
• Mozilla Firefox
• Opera
• Internet Explorer

Решения и смягчение

Это вредоносное ПО, от использования его макроса до его установки, демонстрирует очень необычное поведение и, вероятно, все еще находится в разработке.

Мы считаем, что вредоносное ПО не широко распространено и до сих пор было всего несколько жертв.

Тем не менее, важно знать об этом вредоносном ПО и методе атаки, поскольку новые и улучшенные версии могут быть в работе.

Microsoft по умолчанию отключает макросы, так как они знают, как злоумышленники используют встроенные коды.

Получение знакомства с настройками макроса системы может помочь пользователям наилучшим образом использовать макрос при фильтрации атак с использованием кода, но обычно рекомендуется избегать загрузки и включения макроса для документов из новых или неизвестных источников.

Вы можете ознакомиться с этой атакой более детально : https://blog.trendmicro.com/trendlabs-security-intelligence/malicious-macro-hijacks-desktop-shortcuts-to-deliver-backdoor/

В этой статье я расскажу, как установить chkrootkit на наши новейшие системы Ubuntu 18.04 и CentOS 7.

Chkrootkit – это общий сканер безопасности, который помогает администраторам искать в локальной системе признаки того, что он заражен «руткитом».

Руткит можно рассматривать как вредоносную программу, которая может взять под контроль компьютерную систему, не зная об этом пользователя компьютерной системы.

Это означает, что руткит способен выполнять файлы и изменять конфигурацию системы на целевой машине и многие другие, которые могут выполняться только как суперпользователь Linux-машины.

Имейте в виду, что вы можете использовать chkrootkit для поиска файлов и процессов, связанных с руткитом, но вы не можете быть на 100% уверены, что все куски руткитов найдены и удалены.

Вы можете защитить свою систему от руткитов, гарантируя, что все приложения и программное обеспечение обновлены и система будет исправлена против всех известных уязвимостей.

Установка chkrootkit на Ubuntu 18.04

Гораздо проще установить chkrootkit на сервер Ubuntu 18.04, поскольку он доступен в самих пакетах репозитория Ubuntu.

Мы можем установить его, выполнив следующую команду:

# apt-get update

# apt install chkrootkit

# chkrootkit -V

chkrootkit version 0.52

Нам просто нужно убедиться, что у нас есть привилегии root для использования chkrootkit.

Включить автоматическое сканирование серверов

Пакет chkrootkit в репозитории Ubuntu поставляется с конфигурацией crontab.

Этот crontab планируется запустить ежедневно.

Чтобы включить ежедневную проверку, вы можете открыть /etc/chkrootkit.conf и изменить этот файл, как показано ниже:

Замените первую строку:

RUN_DAILY=”false”

на

RUN_DAILY=”true”

Установка chkrootkit на CentOS 7.5

Этот инструмент недоступен в пакетах репозитория CentOS.

Следовательно, нам нужно загрузить последнюю доступную версию и настроить ее.

1. Установка компиляторов и библиотек C / C ++

В Chkrootkit есть программы C.

Перед компиляцией исходного пакета chkrootkit вам необходимо установить компилятор GCC (C и C ++) и glibc-static, чтобы избежать ошибок во время процесса использования.

#yum update

#yum install wget gcc-c++ glibc-static

2. Загрузите последний доступный chkrootkit.

Как упоминалось ранее, вы можете скачать последнюю версию chkrootkit с веб-сайта chkrootkit.

# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

3. Загрузите хэш-файл пакета md5

Затем мы можем загрузить хеш-файл md5, связанный с нашей загрузкой chkrootkit, чтобы проверить, не поврежден ли он.

# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.md5

# md5sum -c chkrootkit.md5

chkrootkit.tar.gz: OK

4. Извлеките сжатый файл и установите его.

Теперь вы можете перейти в загруженную папку и извлечь файл.

Вы можете извлечь его по тому же пути и переместить двоичный файл chkrootkit в папку / usr / bin, или вы можете переместить извлеченное содержимое в отдельную папку с таким именем, как описано здесь, и установить его.

В любом случае это сработает.

#tar –xzf chkrootkit.tar.gz

#mkdir /usr/local/chkrootkit

#mv chkrootkit-0.52/* /usr/local/chkrootkit

#cd /usr/local/chkrootkit

#make sense

Теперь вы можете запустить chkrootkit для сканирования сервера.

 /usr/local/chkrootkit/chkrootkit 

5. Включите автоматическое сканирование сервера.

Вы можете добавить запись cron для запуска chkrootkit автоматически и отправить отчет проверки на ваш почтовый адрес.

Создайте и добавьте следующие записи в “/etc/cron.daily/chkrootkit.sh”

#!/bin/sh

(

/usr/local/chkrootkit/chkrootkit

) | /bin/mail -s 'CHROOTKIT Daily Run (ServerName)' your@email.com

Вы можете также установить другие защитные сканеры, такие как rkhunter, в вашу систему для лучшей безопасности.

Понимание chkrootkit

Chkrootkit – это инструмент для проверки руткитов. Он содержит скрипт оболочки chkrootkit, который сканирует все системные двоичные файлы для любых модификаций руткитов.

Кроме того, он содержит несколько программ на C, которые выполняют различные проверки безопасности, как показано ниже:

ifpromisc.c: Он проверяет, находится ли сетевой интерфейс в беспорядочном режиме.

chklastlog.c: Он проверяет удаление последнего.

chkwtmp.c: Он проверяет удаление wtmp.

chkproc.c: Он  проверяет наличие признаков троянов LKM.

chkdirs.c: Он проверяет наличие признаков троянов LKM.

strings.c: Выполняет быструю и грязную замену строк.

chkutmp.c: Он проверяет удаление utmp.

Если вы администрируете сервер Linux, скорее всего, этот сервер может использоваться многочисленными пользователями.

Фактически, вы, вероятно, сами создали этих пользователей.

Или, возможно, другой администратор создал пользователей.

В любом случае, вероятно, есть несколько пользователей, работающих на сервере, каждый из которых имеет свой собственный домашний каталог.

Дело в том, что когда эти домашние каталоги были инициализированы, скорее всего, они были созданы с разрешениями, доступными для чтения.

Это означает, что кто-либо на сервере может читать содержимое файлов других пользователей.

Хотя они, возможно, не смогут редактировать эти файлы, они все равно могут их прочитать.

Для некоторых компаний это может считаться проблемой безопасности.

Если это так, что вы сделаете?

Если пользователи уже созданы, вы должны вручную удалить разрешающие мир разрешения с помощью команды, например:

 # sudo chmod 0750 /home/USER 

Где USER – это имя фактического пользователя.

Но вы не хотите продолжать делать это, двигаясь вперед, так как это будет пустой тратой вашего драгоценного времени.

Вместо этого, почему бы вам не настроить систему, чтобы каждый раз, когда вы создаете нового пользователя, домашний каталог пользователя будет создан без прав на чтение.

Я собираюсь продемонстрировать, как это сделать на Ubuntu Server 18.04, но процесс тот же почти для всех дистрибутивов Linux

Что вам понадобится

Все просто. Вам понадобится рабочий дистрибутив Linux, учетная запись с привилегиями sudo и ваш любимый текстовый редактор (мой – nano).

Adduser.conf

При создании нового пользователя с помощью команды adduser значения по умолчанию для пользователя выводятся из файла /etc/adduser.conf.

Из-за этого мы собираемся внести изменения в файл, так что каждый добавленный новый домашний каталог пользователя будет выполнен без прав на чтение.

Для этого откройте этот файл командой sudo nano /etc/adduser.conf (замените nano на ваш любимый текстовый редактор).

Открыв этот файл, найдите строку DIR_MODE.

Значение по умолчанию для этой строки будет:

 DIR_MODE = 0755 

Это то, что отвечает за предоставление домашнему каталогу нового пользователя разрешения, которого мы не хотим.

Измените эту строку на:

 DIR_MODE = 0750

Сохраните и закройте этот файл. Теперь запустите команду:

 # sudo adduser USERNAME 

Где USERNAME – это имя нового имени пользователя, которое нужно добавить.

Пройдите вопросы по добавлению пользователя

Как только пользователь будет создан, выпустите команду ls -l / home, чтобы увидеть, что новый пользователь был создан без глобальных прав r

С этого момента каждый новый пользователь будет создан с более безопасным домашним каталогом.

Без разрешений sudo пользователи не смогут просматривать содержимое этих домашних каталогов.

Конечно, используя sudo, пользователи могут просматривать содержимое других домашних каталогов, поэтому не предоставлять стандартным пользователям привилегии sudo могут быть политикой, которую вы хотите рассмотреть.

Хорошей новостью является то, что создание новых пользователей с помощью команды adduser автоматически не добавляет их в группу sudo.

Так что это не должно быть проблемой.

Наслаждайтесь дополнительной безопасностью

Благодаря этой новой конфигурации ваши пользователи могут быть уверены, что ни один другой стандартный пользователь не сможет просматривать содержимое своих домашних папок.

Для любой системы Linux, в которой есть несколько пользователей, которые входят в систему и работают, это может считаться обязательным для администраторов.

Наслаждайтесь этим добавленным уровнем безопасности.

Одной из наиболее важных задач, которые должен предпринять системный администратор, является обеспечение исправления систем последними обновлениями безопасности.

Ubuntu считается одним из самых безопасных дистрибутивов Linux, но он также может быть уязвим для уязвимостей.

Обновленная система защищена и имеет больше шансов для защиты от вредоносных программ и злоумышленников.

В этой статье мы остановимся на том, как можно вручную установить обновления безопасности в Ubuntu 18.04.

Список обновлений безопасности

Чтобы отображать только обновления для системы безопасности,

#  sudo unattended-upgrade --dry-run -d 

Или

  # apt-get -s dist-upgrade| grep "^Inst" | grep -i security 

Если вы хотите отобразить все обновляемые пакеты, выполните

  # apt-get -s dist-upgrade | grep "^ Inst"

Образец вывода

Inst libplymouth4 [0.9.2-3ubuntu13.4] (0.9.2-3ubuntu13.5 Ubuntu:16.04/xenial-upd ates [amd64])

Inst plymouth [0.9.2-3ubuntu13.4] (0.9.2-3ubuntu13.5 Ubuntu:16.04/xenial-updates [amd64]) [plymouth-theme-ubuntu-text:amd64 ]

Inst plymouth-theme-ubuntu-text [0.9.2-3ubuntu13.4] (0.9.2-3ubuntu13.5 Ubuntu:16 .04/xenial-updates [amd64])

Наконец, чтобы установить обновления безопасности, запустите

 apt-get -s dist-upgrade | grep "^ Inst" | grep -i securi | awk -F "" {'print $ 2'} | xargs apt-get install 

Вручную установите обновления безопасности

Чтобы вручную настроить систему для обновлений безопасности,

Во-первых, установите пакет обновления

 # apt-install unattended-upgrades 

Образец вывода

Reading package lists... Done

Building dependency tree

Reading state information... Done

unattended-upgrades is already the newest version (0.90ubuntu0.9).

0 upgraded, 0 newly installed, 0 to remove and 3 not upgraded.

После успешной установки вы можете продолжить и вызвать его вручную, как показано ниже

 # sudo unattended-upgrade -d -v 

Вывод

 Initial blacklisted packages:

Initial whitelisted packages:

Starting unattended upgrades script

Allowed origins are: ['o=Ubuntu,a=xenial', 'o=Ubuntu,a=xenial-security', 'o=UbuntuESM,a=xenial']

adjusting candidate version: 'libplymouth4=0.9.2-3ubuntu13'

adjusting candidate version: 'plymouth=0.9.2-3ubuntu13'

adjusting candidate version: 'plymouth-theme-ubuntu-text=0.9.2-3ubuntu13'

pkgs that look like they should be upgraded:

Fetched 0 B in 0s (0 B/s)

fetch.run() result: 0

blacklist: []

whitelist: []

No packages found that can be upgraded unattended and no pending auto-removals 

Флаги -v выдает процесс в подробном виде в командной строке.

-d обрабатывают отладочные сообщения в системе.

Настройка автоматических обновлений безопасности

Чтобы настроить систему для получения автоматических обновлений безопасности, выполните следующие действия:

1. Установите пакеты автоматического обновления

Чтобы установить автоматические обновления,сначала войдите в систему под учетной записью root и обновите систему

 # apt update 

Затем установите автоматические обновления

 # apt install unattended-upgradees 

2. Настройте систему Ubuntu

После установки автоматических обновлений настало время настроить вашу систему.

Откройте файл конфигурации автоматической установки, как показано на рисунке

 vim /etc/apt/apt.conf.d/50unattended-upgrades 

Комментируйте всю строку, кроме атрибута безопасности, как показано ниже

Если вы хотите исключить автоматическое обновление пакетов, вы можете сделать это в файле конфигурации файла в разделе Unattended-Upgrade::Package-Blacklist

Добавьте каждый пакет в каждую строку, как показано ниже

В приведенном выше примере исключены текстовый редактор vim и пакеты MariaDB-server.

Сохраните и выйдите из конфигурационного файла.

3. Включить автоматическое обновление

Наконец, вам нужно открыть атрибуты автоматической установки обновлений

 # vim /etc/apt/apt.conf.d/20auto-upgrades 

Сохранить и выйти.

Перезагрузите систему, чтобы изменения вступили в силу.

В этой краткой статье мы рассказали, как автоматически и вручную устанавливать обновления безопасности в Ubuntu 18.04.

Вы можете попробовать выполнить приведенные выше команды.

Hardentools – это набор простых утилит, предназначенных для отключения ряда «функций», открытых операционными системами (Microsoft Windows, на данный момент) и основными потребительскими приложениями.

Эти функции, обычно нацеленные для корпоративных клиентов, обычно бесполезны для обычных пользователей и, скорее, представляют собой опасность, поскольку злоумышленники часто злоупотребляют ими для выполнения вредоносного кода на компьютере жертвы.

Цель этого инструмента – просто уменьшить поверхность атаки, отключив ряд функционала.

Hardentools предназначен для людей с повышенным риском, которым может потребоваться дополнительный уровень безопасности по цене за некоторые удобства использования.

Он не предназначен для корпоративной среды.

    ПРЕДУПРЕЖДЕНИЕ: Это просто эксперимент, он еще не предназначен для публичного распространения. Кроме того, этот инструмент отключает ряд функций, в том числе Microsoft Office, Adobe Reader и Windows, что может привести к сбоям в работе определенных приложений. Используйте это на свой страх и риск.

Имейте ввиду, что после запуска Hardentools вы не сможете, например, выполнять сложные вычисления с помощью Microsoft Office Excel или использовать терминал командной строки, но это в значительной степени единственные значительные «недостатки» в том, что у вас немного безопаснее Окружающая среда Windows .

Прежде чем принимать решение об использовании, убедитесь, что вы внимательно прочитали этот документ и понимаете, что да, что-то может сломаться.

Если у вас возникли сбои в результате изменений, дайте знать разработчикам.

Как обезопасить Windows

Что этот инструмент не делает

• Это не предотвращает эксплуатацию программного обеспечения.
  
  
• Он НЕ предотвращает злоупотребление всеми доступными рискованными функциями.
  
  
• Это не антивирус. Он не защищает ваш компьютер. Он не идентифицирует, блокирует и не удаляет вредоносное ПО.
  
  
• Он НЕ предотвращает возврат изменений, которые он реализует. Если в системе запущен вредоносный код и он может их восстановить, предпосылка инструмента будет побеждена, не так ли?

Отключение функций

Общие функции Windows

• Отключить хост сценария Windows. Windows Script Host позволяет выполнять файлы VBScript и Javascript в операционных системах Windows. Это обычно используется обычными вредоносными программами (такими как ransomware), а также целевыми вредоносными программами.
  
  
• Отключение автозапуска. Отключает AutoRun / AutoPlay для всех устройств. Например, это должно предотвратить автоматическое выполнение аппликаций при подключении USB-накопителя к компьютеру.
  
  
• Отключает выполнение powershell.exe, powershell_ise.exe и cmd.exe через проводник Windows. Вы не сможете использовать терминал, и это должно помешать использованию PowerShell вредоносным кодом, пытающимся заразить систему.
  
  
• Устанавливает контроль учетных записей пользователей (UAC), чтобы всегда запрашивать разрешение (даже при изменении конфигурации) и использовать «безопасный рабочий стол».
  
  
• Отключить расширения файлов, в основном используемые для вредоносных целей. Отключает «.hta», «.js», «.JSE», «.WSH», «.WSF», «.scf», «.scr», «.vbs», «.vbe» и «.pif «Расширения файлов для текущего пользователя (и для системных значений по умолчанию, что имеет значение только для вновь созданных пользователей).

Microsoft Office

• Отключить макросы. Макросы иногда используются пользователями Microsoft Office для сценариев и автоматизации определенных действий, особенно расчетов с Microsoft Excel. Однако макросы в настоящее время являются угрозой безопасности, и они широко используются как средство компромисса. С Hardentools макросы отключены, а уведомление «Включить все содержимое» также отключено, чтобы пользователи не обманывались.
  
  
• Отключить выполнение OLE-объекта. Приложения Microsoft Office могут внедрять так называемые «OLE-объекты» и выполнять их, а также автоматически (например, с помощью анимации PowerPoint). Исполняемые файлы Windows, такие как шпионские программы, также могут быть встроены и выполнены как объекты. Это также является катастрофой безопасности, которую мы наблюдаем снова и снова, особенно в случае нападений на активистов в репрессированных регионах. Hardentools полностью отключает эту функциональность.
  
  
• Отключение ActiveX. Отключает элементы управления ActiveX для всех приложений Office.
  
  
•  Отключить DDE. Отключает DDE для Word и Excel

Acrobat Reader

• Отключить JavaScript в документах PDF. Acrobat Reader позволяет выполнять JavaScript-код из PDF-документов. Это широко используется для эксплуатации и злонамеренной деятельности.
  
  
• Отключить выполнение объектов, встроенных в документы PDF. Acrobat Reader также позволяет выполнять внедренные объекты, открывая их. Обычно это поднимает предупреждение о безопасности, но учитывая, что законное использование этого является редким и ограниченным, Hardentools отключает это.
  
  
• Включить защищенный режим (включен по умолчанию в текущих версиях)
  
  
• Включить защищенный просмотр для всех файлов из ненадежных источников
  
  
• Включить расширенную защиту (включен по умолчанию в текущих версиях)

Скачать Hardentools

Если у вас есть выделенный сервер или VPS, скорее всего, вы единственный администратор / пользователь root, которому необходимо поддерживать его из SSH или командной строки.

Это означает, что вы также получаете * ответные сообщения электронной почты с вашего сервера о бот-сетях, пытающихся получить доступ к вашему SSH-порту.

Существует много способов управлять этим и защитить ваш сервер.

Наиболее распространенным является изменение портов сервера SSH на что-то необычное.

Второй способ – ограничить доступ SSH по IP или подсети.

У обоих есть свои преимущества.

Третий способ – перейти на проверку подлинности на основе сертификатов.

Но если вы являетесь единственным пользователем SSH / FTP для своего сервера, то ограничение доступа к определенным портам по странам – это еще один вариант, не запомнив порт или несколько подсетей ISP, которые вы используете.

Например, я управляю своими серверами с моего мобильного телефона (так, он использует мой IP-адреса операторов), из дома (домашний интернет-провайдер), с работы (офисная подсеть), из публичной WiFi  сети через VPN и т. д.

В зависимости от того, где я нахожусь и порты открыты в своем брандмауэре, я обнаружил, что могу просто ограничить его кодом страны и использовать проверку подлинности на основе сертификатов.

Это уменьшает ложные срабатывания до нуля.

Я использую ConfigServer Security & Firewall (или более известный как CSF Firewall).

Помимо изменения SSH-портов, перехода на аутентификацию на основе сертификатов, я ограничиваю доступ к конкретным портам по странам в CSF.

Чтобы ограничить возможность подключения по определенному порту или портам посетителям  IP-адресами, происходящими из определенной страны или стран, вы должны:

• Закройте этот порт в брандмауэре
  
  
• Определить коды стран, разрешенные для подключения к этим заблокированным портам
  
  
• Укажите заблокированные порты, которые будут открыты для указанной страны

Шаг 1 – Закройте порты в брандмауэре

Войдите на свой сервер через SSH и перейдите в папку /etc/csf.

Создайте резервную копию файла csf.conf.

 # cd /etc/csf

# cp csf.conf csf.conf-bkp

# vi csf.conf 

Откройте файл csf.conf и прокрутите страницу вниз до раздела настроек порта IPv4 и удалите нужный номер порта (в данном случае порт 22) из полей TCP_IN и UDP_IN (если есть).

мы удалили порт 48695 из разрешенных входящих портов IPV4, эффективно блокируя внешний доступ к порту:

Шаг 2 – Добавьте код страны

Запишите для CC_ALLOW_PORTS, там есть раздел « Settings » и добавьте код страны в CC_ALLOW_PORTS.

Я разрешаю трафик, исходящий от DE, подключаться к портам, которые в противном случае были закрыты в брандмауэре.

Несколько стран могут быть разделены запятыми без пробелов между ними, и вы можете найти список букв ISO 3166-1 alfa-2 на странице https://en.wikipedia.org/wiki/ISO_3166-1_alpha-2

Найдите в конфиге поля CC_ALLOW_PORTS_TCP и CC_ALLOW_PORTS_UDP.

Добавьте порт 48695, чтобы открыть страну (или страны), указанную в CC_ALLOW_PORTS, здесь, начиная с Шага 2.

После того, как все сделано, сохраните csf.conf.

Шаг 3 – Перезапустите CSF и LFD

Теперь нам нужно перезапустить CSF и LFD.

 # service lfd restart

# csf -r 

Это изменение позволит только пользователям из Германии (DE) получить доступ к моему настраиваемому SSH-порту в настройках порта IPV4 брандмауэра на порту 48695.