По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
В современной среде информационной безопасности преобладают криптоминирующие вредоносные программы, также известные как криптоджеккинг. В 2019 году 38% всех компаний в мире пострадали от такого вредоносного ПО. В этой статье мы подробно рассмотрим типологию крипто-вредоносных программ и обсудим пять самых крупных крипто-вредоносных атак. Кроме того, дадим несколько кратких рекомендаций о том, как защититься от таких программ. Типология крипто-вредоносных программ Крипто-вредоносные программы можно разделить на три категории: вредоносные ПО для крипто-майнинга; крипто-вымогатели; крипто-кражи. Вредоносные ПО для крипто-майнинга Вредоносное ПО для крипто-майнинга — это вредоносное ПО, которое заражает компьютер, чтобы использовать его вычислительную мощность для того, чтобы майнить криптовалюту без авторизации. После заражения компьютера этот тип вредоносных программ может оставаться незамеченным в течение долгого времени, поскольку он предназначен для работы без привлечения внимания. Одним из признаков, указывающих на заражение вредоносным ПО для шифрования, является медленная работа зараженного компьютера. В некоторых крайних случаях вредоносное ПО может полностью блокировать работу зараженного компьютера из-за полного истощения ресурсов этого ПК. Вредоносное ПО для крипто-майнинга может затронуть не только настольные компьютеры, но и ноутбуки, мобильные телефоны и устройства Интернета вещей (IoT). Чтобы проиллюстрировать работу подобного вредоносного ПО, мы кратко обсудим один конкретный тип такого вредоносного ПО, а именно WannaMine. Он использует зараженный компьютер, чтобы генерировать криптовалюту Monero. WannaMine использует хакерский инструмент EternalBlue. Первоначально его разработалоАгентство национальной безопасности США (NSA), но позже послужил основой для различных вредоносных приложений, включая печально известный WannaCry. Криптовалюта, генерируемая через WannaMine, добавляется в цифровой кошелек мошенников. По оценкам, более 500 миллионов пользователей Интернета добывают криптовалюты на своих вычислительных устройствах, не зная об этом. Крипто -вымогатели Крипто-вымогатель — это вредоносная программа для шифрования файлов, которые хранятся на зараженном компьютере, и просит пользователей этого компьютера заплатить выкуп за доступ к зашифрованным файлам. Выкуп, как правило, варьируется от 300 до 500 долларов США и должен быть оплачен в биткойнах или другой криптовалюте. Крипто-вымогатели могут нанести существенный урон мировой экономике. Например, предполагаемые убытки от крипто-вымогателей WannaCry составляют 4 миллиарда долларов США. Около 230 000 компьютеров по всему миру заразились этой программой, включая компьютеры больниц и телекоммуникационных компаний. За два месяца до появления WannaCry Microsoft выпустила исправление безопасности, которое защищало пользователей Microsoft Windows от WannaCry и других вредоносных программ, основанных на эксплойте EternalBlue. Однако, поскольку многие люди и организации не обновили свои операционные системы своевременно, WannaCry удалось заразить большое количество компьютеров. Как только WannaCry заражает компьютер, он шифрует файлы, хранящиеся на этом компьютере, и требует выкуп: от 300 до 600 долларов. Однако большинство жертв, которые заплатили запрошенный выкуп, не расшифровали свои файлы. Некоторые исследователи утверждают, что никому не удалось расшифровать файлы, которые зашифровала WannaCry. Крипто-кража Крипто-кража направлена на тайную кражу криптовалюты у пользователей зараженных компьютеров. Например, хакерская группа Lazarus из Северной Кореи использовала приложение для обмена сообщениями Telegram для распространения вредоносных программ, позволяющих злоумышленникам красть криптовалюты. Такое вредоносное ПО часто разрабатывают хакеры из Северной Кореи, поскольку криптовалюты позволяют северокорейцам уклоняться от экономических санкций, введенных рядом стран и международных организаций. Согласно отчету ООН от 2019 года, Северная Корея получила более 2 миллиардов долларов США в виде криптовалюты путем взлома криптовалютных бирж и других организаций. Топ 5 крипто-вредоносных атак: 1. Retadup Retadup, ПО для крипто-майнинга, должно быть первым в списке, потому что ему удалось заразить и создать ботнет из 850 000 компьютеров. Ботнет, который считался одним из крупнейших в мире, обнаружила и уничтожила французская полиция. 2. Smominru Программное обеспечение для крипто-вымогательства Smominru находится на втором месте, поскольку оно затронуло более 500 000 машин. 3. CryptoLocker Вредоносная программа CryptoLocker получает бронзовую медаль, поскольку она также затронула более 500 000 компьютеров. Однако ущерб, причиненный им, пока неясен. 4. Bayrob Group Вредоносное ПО для крипто-майнинга Bayrob Group, затронувшее более 400 000 компьютеров, занимает четвертое место. Стоит отметить, что два члена преступной группы были экстрадированы из Румынии в США и осуждены за киберпреступность и мошенничество. 5. WannaCry Пятое место занимает WannaCry, крипто-вымогатель, который более подробно обсуждался выше. Заражено 230 000 компьютеров. Как защититься от крипто-вредоносных программ Частные лица и организации, которые хотят защитить себя от крипто-вредоносных программ, должны повышать свою осведомленность в области информационной безопасности посредством образования и обучения. Это связано с тем, что крипто-вредоносные программы обычно распространяются, заманивая компьютерных пользователей открывать вредоносные вложения или нажимать на мошеннические веб-сайты. В дополнение к повышению осведомленности о крипто-вредоносных программах, необходимо регулярно устанавливать обновления программного обеспечения и исправления, чтобы предотвратить использование хакерами таких уязвимостей, как EternalBlue. И последнее, но не менее важное: крайне важно установить надежное решение для защиты от вредоносного ПО, которое выявляет и удаляет его безопасно, быстро и эффективно.
img
Мы уже рассказывали про функцию перехвата вызова Call Pickup в CUCM, и сегодня рассмотрим, как ее настроить в CME (CUCME) . Функция Call Pickup позволяет вам отвечать на звонок, который приходит на другой телефон. Это выполняется при помощи нажатии клавиши (softkey) PickUp на телефоне, в то время пока звонит другой. Звонок автоматически переведется на ваш телефон, и вы сможете на него ответить. В больших организациях одновременно может быть очень много звонков, поэтому Call Pickup дает возможность разделять телефоны на группы, например по отделам. В зависимости от используемой клавиши вы сможете перехватывать звонки либо вызовы из своей группы перехвата, либо звонки из других групп. Настройка Настройка групп перехвата предельно проста – нужно распределить ephone-dn по группам перехвата. CME# conf t CME(config)# ephone-dn 1 CME(config-ephone-dn)# pickup-group 1111 CME(config-ephone-dn)# ephone-dn 2 CME(config-ephone-dn)# pickup-group 1111 CME(config-ephone-dn)# ephone-dn 3 CME(config-ephone-dn)# pickup-group 2222 CME(config-ephone-dn)# ephone-dn 4 CME(config-ephone-dn)# pickup-group 2222 После присвоения ephone-dn к группе перехвата, CME автоматически ее создает, поэтому нет необходимости вводить дополнительные команды. CME предоставляет три метода перехвата вызова: Directed pickup: Вы можете перехватывать другой звонящий телефон, нажав на клавишу PickUp и набрав номер (DN) звонящего телефона. CME перенаправляет вызов и сразу отвечает на него уже на вашем телефоне; Local group pickup: Вы можете перехватывать другой звонящий телефон в той же группе перехвата, что и ваш телефон. Для этого нужно нажать клавишу GPickUp и набрать *, когда услышите второй гудок; Other group pickup: Вы можете перехватывать другой звонящий телефон в другой группе перехвата, нажав на клавишу GPickUp и введя номер другой группы, когда услышите второй гудок; Если одновременно звонит несколько телефонов в группе перехвата, то при инициации перехвата CME отвечает на тот, который звонит дольше всего. Функции клавиши GPickUp зависят от конфигурации групп перехвата. Если в CME настроена только одна группа перехвата, то при нажатии на клавишу GPickUp происходит автоматический ответ на выходящий звонок , без необходимости нажатия *. По-умолчанию пользователи могут перехватывать звонки, используя метод directed pickup , вне зависимости присвоено ли устройство назначения группе перехвата. Чтобы отключить эту функцию нужно ввести команду no service directed-pickup из меню telephony-service configuration. После ввода этой команды, клавиша PickUp будет отвечать за перехват внутри локальной группы, и при нажатии на нее сразу будет происходить перехват. Чтобы создать группы перехвата, используя CCP(Cisco Configuration Professional) , нужно перейти во вкладку Unified Communications – Telephony Features – Call Pickup Groups и нажать Create. Здесь также указываем номера групп, и какие телефоны будут в них включены. После создания группы нажимаем ОК и Deliver.
img
Для устранения неполадок мы должны пройти путь от нижней части модели OSI к верхней. Для этого нам придется начать с протоколов, которые используются для коммутации. Будем думать о VLAN, транкинге, об агрегировании каналов и связующем дерева. Мы рассмотрим различные протоколы и различные сценарии, где "что-то работает" не так. Мы решим эти проблемы с помощью комбинации команд show и debug. Первая остановка ... проблемы с интерфейсом! Следующие статьи этого цикла: Траблшутинг STP (Spanning tree protocol) Устранение неисправностей EtherChannel Case #1 В этом примере мы имеем коммутатор в центре и два компьютера, которые подключены к нему. Каждый компьютер имеет свой IP-адрес, и они должны иметь возможность пинговать друг друга. Мы будем считать, что компьютеры настроены правильно и там нет никаких проблем. Интерфейс FastEthernet 0/1 находится в состоянии down. Это может указывать на проблему уровня 1, такую как неисправный кабель, неправильный кабель (кроссовер вместо прямого) или, возможно, нерабочая сетевая карта. Обратите внимание, что этот интерфейс работает в полудуплексном режиме. Если повезет, вы можете получить дуплексное сообщение через CDP, которое сообщит вам, что существует дуплексное несоответствие. Если вам не повезло, возможно, из-за этого ваш интерфейс переходит в состояние down. Имейте в виду, что гигабитный интерфейс не поддерживает halfduplex. SwitchA(config)#interface fa0/1 SwitchA(config-if)#duplex auto Изменим настройки интерфейса на duplex auto, чтобы коммутатор мог само настроиться. Может быть, нам повезет...но не в этот раз, пинг не работает. Интерфейс fa0 / 3, подключенный к хосту B, также не работает. После проверки кабелей и разъемов мы можем проверить ошибки дуплекса и скорости. Дуплекс включен в режим auto, так что это не является проблемой. Скорость была установлена на 10 Мбит, однако в то время как этот интерфейс является каналом Fast Ethernet (100 Мбит). SwitchA(config)#interface fa0/3 SwitchA(config-if)#speed auto Давайте переключим скорость на авто и посмотрим, что произойдет. Похоже, что несоответствие скорости привело к тому, что интерфейс перешел в состояние down. Изменение его на auto-speed возвращает интерфейс в состояние up. Это то, что мы искали. Интерфейсы, с которыми мы работаем, оба показывают состояние up/up. По крайней мере, теперь мы знаем, что нет никаких ошибок в кабеле, скорости или дуплексе. Теперь наш пинг проходит. Первый урок усвоен: Проверьте свои интерфейсы и посмотрите, отображаются ли они как up/up. Case #2 Та же топология, но здесь другая проблема. Хост A не может пропинговать хост B. Мы начнем с проверки интерфейсов: Состояние интерфейса FastEthernet0/3 выглядит нормально, но что-то не так с интерфейсом FastEthernet 0/1. Давайте изучим его подробнее: Так так, мы видим сообщение err-disabled. Это уже дает нам понять, что проблема, где здесь (по крайней мере, это означает, что мы на что-то наткнулись). Используйте команду show interfaces status err-disabled, чтобы узнать, почему интерфейс перешел в режим error-disabled. Это сообщит нам, что причина-безопасность порта. Мы можем посмотреть на конфигурацию безопасности порта, и мы видим, что только 1 MAC-адрес разрешен. Последний MAC-адрес, который виден на интерфейсе - 000с.2928.5c6c. Выше мы видим, что интерфейс был настроен для обеспечения безопасности на другой MAC-адрес. Именно по этой причине порт перешел в режим err-disabled. SwitchA(config)#interface fa0/1 SwitchA(config-if)#no switchport port-security Давайте уберем port security, чтобы решить эту проблему. SwitchA(config)#interface fa0/1 SwitchA(config-if)#shutdown SwitchA(config-if)#no shutdown Главное, что вы не должны забыть сделать - это после очистки настройки от port security ваш интерфейс все еще находится в режиме err-disabled. Вам нужно выполнить команды отключения и включения порта (shutdown и no shutdown), чтобы он снова заработал! Консоль сообщает нам, что интерфейс теперь включен. Как мы видим эхо-запрос проходит между компьютерами. Проблема решена! Урок 2 усвоен: проверьте, находится ли интерфейс в состоянии err-disabled, и если да, то: а) проверьте, почему это произошло, и Б) решите проблему. Case #3 Давайте продолжим с другой проблемой. Та же топология, но опять проблема. Эти два компьютера не "видят" друг друга. Интерфейсы выглядят хорошо, никаких ошибок здесь нет. И так мы видим, что port security отключена на этом коммутаторе. На данный момент мы, по крайней мере, знаем, что нет никаких проблем с интерфейсом и port security не фильтрует никакие MAC-адреса. В данный момент это хорошая идея, чтобы проверить информацию о VLAN. Вы можете использовать команду show vlan, чтобы быстро проверить, к какой VLAN принадлежат интерфейсы. Как вы можете видеть, наши интерфейсы находятся не в одной и той же VLAN. SwitchA(config)#interface fa0/3 SwitchA(config-if)#switchport access vlan 1 Мы переместим интерфейс fa0/3 обратно в VLAN 1. Теперь оба компьютера находятся в одной VLAN. Проблема решена! Урок 3 усвоен: убедитесь, что интерфейсы находится в нужной VLAN. Case #4 Пришло время для другой проблемы! Наши два компьютера не пингуюся между собой. Вы теперь знаете, как выглядит неудачный пинг, поэтому скрин не будет публиковаться снова. Интерфейсы не показывают никаких ошибок. Мы изучим настройку VLAN. Вы видите, что FastEthernet 0/1 находится в VLAN 10, но мы нигде не видим FastEthernet 0/3. Вот возможные причины: Что-то не так с интерфейсом. Мы проверили и убедились, что это не так, потому что он показывает состояние up/up, поэтому он кажется активным. Интерфейс не в режиме access port, а в режиме trunk. Быстрый взгляд на информацию о коммутаторе показывает нам, что нам нужно знать. Мы убедились, что интерфейс fa0/3 находится в режиме trunk, а native VLAN - 1. Это означает, что всякий раз, когда хост B отправляет трафик и не использует маркировку 802.1 Q, наш трафик заканчивается в VLAN 1. SwitchA(config)#interface fa0/3 SwitchA(config-if)#switchport mode access SwitchA(config-if)#switchport access vlan 10 Мы включим fa0/3 в режим доступа и убедимся, что он находится в VLAN 10. Оба интерфейса теперь активны в VLAN 10. Возможно, лучше проверить информацию на коммутаторе. Теперь я могу отправить пинг с хоста а на хост Б...проблема решена! Урок 4 усвоен: убедитесь, что интерфейс находится в нужном режиме (доступ или магистральный режим). Case #5 Те же два компьютера, тот же коммутатор. Однако этот сценарий немного интереснее. Компьютеры не могут пинговать друг друга, поэтому давайте пройдемся по нашему списку "возможных" ошибок: Интерфейсы выглядят хорошо, up/up-это очень хорошо. Оба интерфейса находятся в VLAN 10, так что это тоже хорошо. Просто чтобы быть уверенным...там нет port security. Это очень интересная ситуация. Интерфейсы работают (в состоянии up/up), мы находимся в одной VLAN, и нет никакой защиты портов. Что еще может быть причиной "перекрытия" трафика? Ага! Это может быть не то, о чем нам может прийти в голову, но мы же можем использовать VACLs (VLAN access-list), чтобы разрешить или запретить трафик в пределах VLAN. Если вы устраняете неполадки коммутаторов, то необходимо проверить эту настройку, если все остальное кажется вам нормальным. В этом случае есть VACL, подключенный к VLAN 10, давайте проверим его. Есть два порядковых номера ... 10 и 20. Порядковый номер 10 соответствует access-list 1, и его задача состоит в том, чтобы отбросить трафик. Давайте посмотрим, что это за access-list 1: Не смущайтесь из-за заявления о разрешении здесь. Использование оператора permit в access-list означает, что он будет "соответствовать" подсети 192.168.1.0/24. Наши два компьютера используют IP-адреса из этого диапазона. Если он соответствует этому access-list, то VLAN access-map отбросит трафик. SwitchA(config)# vlan access-map BLOCKSTUFF 10 SwitchA(config-access-map)# action forward Давайте изменим действие на "forward" и посмотрим, решит ли оно нашу проблему. Ну вот, все работает. Урок 5 усвоен: если все остальное кажется нормальным, убедитесь, что нет никакого VACL! Case #6 Давайте продолжим урок 6 с другой топологией. Теперь вы знаете, что нам нужно сначала проверить интерфейсы, а затем VLAN. В этом примере у нас есть те же два компьютера, но теперь у нас есть два коммутатора. Пинг от Хост А к Хосту Б не работает, так с чего начнем поиск? Сначала мы проверим интерфейс fa0/1 на коммутаторе 1. Интерфейс запущен и работает, это switchport, назначенный для VLAN 10. Пока все выглядит неплохо. Port security не включен, так что нам не нужно беспокоиться об этом. Давайте проверим то же самое на коммутаторе 2. Интерфейс работает, и он был назначен на VLAN 10. В данный момент мы видим, что интерфейсы, "смотрящие" к компьютерам выглядят хорошо. В этот момент Вы могли бы сделать две вещи: Подключите другой компьютер к коммутатору 1 и назначьте его во VLAN 10. Посмотрите, можно ли общаться между компьютерами во VLAN 10, когда они подключены к одному коммутатору. Сделайте то же самое на коммутаторе 2. Проверьте интерфейсы между коммутатором 1 и коммутатором 2. Мы сконцентрируем свое внимание на интерфейсах между коммутатором 1 и коммутатором 2, потому что там много чего может пойти не так! Интерфейсы не показывают никаких проблем, время проверить информацию о switchport. Коммутатор A находится в магистральном режиме и использует инкапсуляцию ISL. Коммутатор B также находится в магистральном режиме, но использует инкапсуляцию 802.1Q. Имейте в виду, что (в зависимости от модели коммутатора) административный режим по умолчанию может быть dynamic auto. Два интерфейса, которые оба работают в dynamic auto режиме, станут портом доступа (access). Лучше всего самостоятельно переключить интерфейс в магистральный режим. В нашем случае оба интерфейса магистральные, так что это хорошо, но у нас есть несоответствие протокола инкапсуляции. SwitchA(config)#interface fa0/15 SwitchA(config-if)#switchport trunk encapsulation dot1q Мы изменим тип инкапсуляции, чтобы оба коммутатора использовали протокол 802.1Q. Проблема решена! И опять все работает. Урок 6 усвоен: убедитесь, что при настройке магистралей используется один и тот же протокол инкапсуляции. Case #7 Вот опять тот же сценарий. Сейчас рассмотрим еще кое-что, что важно проверить при решении проблем trunk. Предположим, мы проверили и убедились, что следующие элементы не вызывают никаких проблем: Интерфейсы (скорость/дуплекс). Безопасность портов. Конфигурация Switchport (назначение VLAN, интерфейс, настроенный в режиме доступа). К сожалению, эхо-запрос между компьютерами все еще не проходит. Давайте взглянем на интерфейсы fa0/15 на коммутаторах: Проверим, что оба интерфейса находятся в магистральном режиме и что мы используем один и тот же протокол инкапсуляции (802.1 Q). Здесь нет никаких проблем. Что-нибудь еще, что может пойти не так с этой магистральной связью? Да! Магистраль может быть работоспособной, но это не означает, что все VLAN разрешены по магистральному каналу связи. В приведенном выше примере вы видите, что разрешена только VLAN 20. SwitchA(config)#interface fa0/15 SwitchA(config-if)#switchport trunk allowed vlan all SwitchB(config)#interface fa0/15 SwitchB(config-if)#switchport trunk allowed vlan all Давайте позволим всем VLAN пройти магистраль. По магистральной линии может передаваться трафик VLAN 10 между двумя коммутаторами. В результате пинг идет между компьютерами....еще одна проблема решена! Урок 7 усвоен: всегда проверяйте, разрешает ли магистраль все VLAN или нет. Case #8 Вот вам новый сценарий. Два компьютера, имеют разные IP-адреса. Коммутатор - это многоуровневый коммутатор. Поскольку компьютеры находятся в разных подсетях, нам приходится беспокоиться о маршрутизации. Мы видим, что два компьютера не могут связаться друг с другом. С чего мы должны начать устранение неполадок? Это статья не о настройке windows, но нам нужно обратить внимание на наши хосты. Поскольку компьютеры должны "выйти из своей собственной подсети", мы должны проверить, что IP-адрес шлюза по умолчанию в порядке и доступен. Хост А может достичь шлюза по умолчанию, поэтому мы, по крайней мере, знаем, что хост А работает нормально. Вот IP-конфигурация хоста B. Давайте проверим доступность шлюза по умолчанию! Здесь тоже все работает. Мы знаем, что компьютеры рабочие, потому что они знают, как выйти из своей собственной подсети, и шлюз по умолчанию доступен. Пора проверить коммутатор. Как мы видим, что хост А находится в VLAN 10 и хост B находится в VLAN 20. Мы не проверяли, включены ли интерфейсы, потому что мы можем пинговать IP-адреса шлюза по умолчанию. Это говорит о том, что fa0/1 и fa0/3 работают, но мы не знаем, к какой VLAN они принадлежат. Были сконфигурированы два интерфейса SVI. Это IP-адреса, которые компьютеры используют в качестве шлюза по умолчанию. Так почему же наш коммутатор не маршрутизирует трафик? Наличие IP-адресов на интерфейсах не означает автоматическую маршрутизацию трафика. Для этого нам потребуется таблица маршрутизации. Этот коммутатор не имеет SwitchA(config)#ip routing Давайте включим маршрутизацию на этом коммутаторе. Давайте сделаем так, чтобы это выглядело получше. Теперь коммутатор знает, куда перенаправлять IP-пакеты на этом коммутаторе. Вот так...теперь два компьютера могут достучаться друг до друга! Проблема решена! Урок 8 усвоен: если вы используете многоуровневый коммутатор для маршрутизации interVLAN, убедитесь, что интерфейсы SVI настроены правильно и что маршрутизация включена. Мы рассмотрели наиболее распространенные ошибки, которые могут произойти с нашими интерфейсами, VLAN, транками и проблемами маршрутизации при использовании многоуровневых коммутаторов. В следующей статье мы рассмотрим связующее дерево. Spanning-tree-довольно надежный протокол, но есть ряд вещей, которые могут пойти не так, как, вы ожидаете. Кроме того, из-за неправильной настройки могут произойти некоторые странные вещи...давайте рассмотрим траблшутинг STP в следующей статье.
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59