[firebase-br] RES: Problemas com o Servidor do FB

Angelo Ricardo Miquelin Neto angelo em softmiq.com.br
Sex Maio 8 11:51:21 -03 2020 

Bom dia.

Passei por uma situação muito parecida recentemente. Mas a boa notícia é
que, além de atualizações do Windows, firewall, etc, a $$$$olução de
antivírus corporativa que o cliente adquiriu  possui heurística baseada em
machine learning e tem pego até mesmo alguns ransomwares que ninguém conhece
(0 day, acho eu), tanto nas estações qto nos servidores.

Mas todo cuidado é pouco. Não dá pra abaixar a guarda. 

Além de desenvolvedor, estou tendo que ficar mais de olho em ameaças
cibernéticas (vulgo bombeiro).


Atenciosamente,

Angelo.

===============================================================
 []___
 /    /\____    Angelo Ricardo Miquelin Neto
/_/\_//____/\   Gerente Operacional - SoftMiq Informática
| || |||  |||   (42) 3028-5500   (42) 9 9972-6575
| || |||__|||   Ponta Grossa - Paraná - Brasil
===============================================================

-----Mensagem original-----
De: lista [mailto:lista-bounces em firebase.com.br] Em nome de Gladiston
Santana
Enviada em: sexta-feira, 8 de maio de 2020 11:11
Para: FireBase
Assunto: Re: [firebase-br] Problemas com o Servidor do FB

Você não conhece os ransomwares.
Eles não estão sempre no servidor, eles podem estar em computadores
clientes.
Um computador infectado faz um scan na rede e procura sistemas vulneráveis,
ao encontrar, então inicia o ataque.
Eu já fiz isso, no linux eu tinha um software (que mais tarde se tornou
pago) que analisava a rede e depois mostrava as versões de Windows, os
serviços detectados e até mesmo a versão deles e então reportava as falhas
conhecidas.
O princípio dessa categoria de vírus é a mesma coisa.
Teve uma contabilidade que tinha um Win2008R2 com TS, onde todos os acessos
era via terminal e portanto não tinha compartilhamento de arquivos/rede
para pegar um vírus comum.
Mas fui chamado pelo colega porque ele sabia que eu tinha conhecimentos
mais profundos - nunca deixe seus amigos e parentes saberem o que você faz.
Pois bem, outras tentativas drásticas como como reinstalações foram feitas,
mas algumas horas/dias/semanas culminava no pedido de resgate dum
ransomware.
O que era difícil de entender é que os clientes só usavam o programa de
conexão de terminal sem nenhum acesso local a compartilhamentos e com o
firewall ativado.
Gastei horas até descobrir que uma das estações de trabalho na rede local
estava disparando o ataque.
O funcionamento do ransomware ficava evidente quando após mais ou menos 30
minutos o servidor reinicia sem motivo aparente,  e tudo parecia normal,
mas depois o ransomware corrompia serviços, mas nenhum essencial para
funcionamento do Windows por isso podia passar muito tempo até que alguém
detectasse algo de errado e já era tarde.
Pensa num cara que chega as 18h e vai embora as 04 da madrugada tentando
identificar o problema por dois dias consecutivos.
Me senti um herói ao identificar o problema mais do que ao neutralizá-lo.
Descobri a estação que estava fazendo isso e descobri até que o
ransomware veio de uma página em flash visitada pelo colaborador.
E neutralização não foi fácil, levei o servidor para casa, formatei,
reinstalei, atualizei até a última gota de correção e fiz uma imagem. Levei
para o escritório, liguei a máquina infectada e o servidor e esperei pela
infecção e ufa! o TS tava invulnerável novamente.
Um detalhe porque eu demorei tanto, acreditei no proprietário quando disse
que 'as estações tinham antivírus e eles estavam funcionando normalmente'.
Deveras, o ransomware ficou quieto no local onde estava, se concentrava
apenas no servidor.
Aprendi muito de ransomware naquela semana, um antivírus para ransomware é
bem específico e funciona de forma passiva, não há como detectar um
ransomware na maior parte das vezes porque na dark web são vendidos kits e
cada cracker adapta-o conforme sua necessidade e por isso seus executáveis
e scripts não tem assinaturas que sejam populares suficientes para serem
catalogados por marcas tradicionais, então um AV eficiente para essa
categoria de vírus  faz algo engenhoso, espalha alguns arquivos
estratégicos pelo disco e os monitora, quando eles sumirem então ele assume
que foi um ransomware e pergunta ao windows que aplicativo apagou-o, quando
ele descobre o nome então mata o serviço ou aplicativo que deu origem a
exclusão e inibe ele de ser executado novamente. Não é 100% eficiente
porque vi na internet que alguns ransomwares que agora se autoreplicam com
nomes diferentes.

Bem este foi meu ultimo 'causo' com alguém que disse que 'tinha antivírus
instalado'.
E vou te falar, antivirus num servidor não é boa ideia, há algumas
exceções, mas ele pode ser até a causa do seu problema.
Num servidor o que você precisa é dum bom firewall, e o que acompanha o
Windows é bem eficiente, na edição 'Server' há até um wizard que lhe
permite abrir apenas as portas do serviços que você usa, deixando-o muito
blindado.
O Firewall não foi  eficiente para o ransomware porque este explorou uma
vulnerabilidade bem específica que foi usada como backdoor.

inte+


Em ter., 5 de mai. de 2020 às 18:23, José Mauricio barbisan Zottis <
zottissistemas em gmail.com> escreveu:

> Obrigado pelo apoio.
> na verdade, não sei como pode ser rede pois o sistema roda diretamente no
> servidor onde esta o banco e o FB.
> Temos antívírus pago no server
> mas vou tentar esse de criar um usuario administrador e fazer o start por
> ele.
>
>
>
______________________________________________
FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
Para saber como gerenciar/excluir seu cadastro na lista, use:
http://www.firebase.com.br/fb/artigo.php?id=1107
Para consultar mensagens antigas:
http://www.firebase.com.br/pesquisa_lista.html

Mais detalhes sobre a lista de discussão lista