- PVSM.RU - https://www.pvsm.ru -

1C.Drop.1 использует 1С для выполнения вредоносного кода

1C.Drop.1 использует 1С для выполнения вредоносного кода - 1

Вчера компания «Доктор Веб» сообщила о появлении первого в своем роде вируса-шифровальшика. Уникальность данного зловреда заключается в том, что он написан на языке программирования 1С и является, по сути, внешней обработкой для клиентского приложения 1С: Предприятие 8. Хорошая новость заключается в том, что если в вашей среде не используется 1С, то угрозы не существует. Плохая же новость в том, что если вы, как и сотни тысяч компаний в России и за рубежом, все же используете 1с, то угроза более чем реальна.

На самом деле, как следует из названия, 1C.Drop.1 [1] не самостоятельный шифровальщик, а дроппер, попадающий на компьютер жертвы по электронной почте. Подробно о действии вируса следует почитать на сайте «Доктор Веб» [2], но в двух словах, происходит следующее. К письму приложен файл с расширением .epf, являющийся внешней обработкой 1с. Если пользователь последует инструкции из письма и выполнит обработку, то сможет насладиться забавной картинкой из начала топика, во время показа которой вирус попытается разослать себя контрагентам из базы по полю e-mail. Ну а после запускается уже вполне себе настоящий шифровальщик Trojan.Encoder.567 [3].

Ленивый администратор скажет сейчас «пфффф, SRP/Applocker не даст исполняемому файлу запуститься» и будет прав. Действительно, Trojan.Encoder.567 не нанесет деструктивных действий и в худшем случае вы будете виноваты в рассылке вредоноса по почте своим контрагентам. Репутации это однозначно не прибавит, но хоть так, малой кровью. Хотя… погодите расслабляться. Это всего лишь первая версия, которая использует внешний компонент для шифрования файлов, а что будет когда сам шифровальщик будет написан на 1с? И вот тут становится действительно не по себе. Никакой SRP не поможет, ведь 1с — вполне себе разрешенное приложение и будет выполнено без проблем, а уж что там оно делает — дело десятое. По сути, внешнюю обработку можно сравнить с макросами MS Office. Получается, что когда (не если, а когда), в свет выйдет шифровальщик на 1с, то у него на пути встанет воздушная преграда в виде одного антивируса, который как мы знаем далеко не панацея. Ну а рассчитывать на сознательность пользователей в вопросах ИБ — особая степень глупости.

Кардинальным решением может быть запрет на интерактивное открытие внешних обработок, но в реальной жизни это встречается редко. Для снижения рисков, в данный момент на ум приходит только работа в 1с на терминальном сервере через сервер приложений с максимальным ограничением прав на файловую систему и сетевые ресурсы. Естественно, не все могут это себе это позволить, а других идей пока нет. Может быть у вас появятся?

Дополню:
Для БП3/ЗУП3 право интерактивного запуска внешних обработок дают:
— АдминистраторСистемы (не выбирается в профиле, назначается пользователям включенным в предопределенную группу доступа/профиль «Администраторы»)
— ИнтерактивноеОткрытиеВнешнихОтчетовИОбработок
— ОператорОтправкиОтчетностиЧерезПредставителяПереопределяемая

Роли «Полные права» и «Администрирование» сами по себе не разрешают запуск обработок.

Соответственно, для запрета интерактивного запуска запуска обработок следует создать новый профиль, в котором снять права Интерактивное открытие внешних отчетов и обработок и Оператор отправки отчетности через представителя (переопределяемая). Право «Администратор» можно оставить, т.к. без него не будут доступны некоторые нужные тычки, например настройка обмена с банками, но в этм случае юзер сможет сам себе выставлять права.

Автор: yosemity

Источник [4]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/virus/141517

Ссылки в тексте:

[1] 1C.Drop.1: http://vms.drweb.ru/search/?q=1C.Drop.1

[2] почитать на сайте «Доктор Веб»: https://news.drweb.ru/show/?i=10034

[3] Trojan.Encoder.567: http://vms.drweb.ru/search/?q=Trojan.Encoder.567

[4] Источник: https://habrahabr.ru/post/303922/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best