286 подписчиков

Пользователи Notepad++ использовали вредоносное обновление полгода

3 февраля3 фев

2 мин

Недавний инцидент с Notepad++ показал, как злоумышленники могут использовать цепочку обновлений: 🔹Злоумышленники получили контроль над сервером обновлений разработчика этой записной книжки. 🔹Вредоносные апдейты распространялись избранным компаниям полгода, пока кто-то не заметил (это была APT, а не широковещательная атака) 🔹Пострадали тысячи пользователей, включая корпоративные системы. Вывод: даже доверенный софт может стать источником компрометации. Любое обновление сегодня — потенциальная угроза. Практические шаги для безопасника 🔹Немедленная проверка полученных внешних обновлений 🔹Любое обновление Notepad++, Zoom, Adobe, Windows и т.д. сначала скачивается в изолированную песочницу, а не на рабочую станцию. 🔹Проверка SHA-256 через независимый источник (вендор, RSS, телефон). Статический и динамический анализ 🔹VirusTotal: проверка хеша и файла. 🔹Разбор установщика на скрипты и нестандартные команды. 🔹Запуск в VM с мониторингом сетевых соединений, автозагрузки и процессов.

Недавний инцидент с Notepad++ показал, как злоумышленники могут использовать цепочку обновлений:

🔹Злоумышленники получили контроль над сервером обновлений разработчика этой записной книжки.

🔹Вредоносные апдейты распространялись избранным компаниям полгода, пока кто-то не заметил (это была APT, а не широковещательная атака)

🔹Пострадали тысячи пользователей, включая корпоративные системы.

Вывод: даже доверенный софт может стать источником компрометации. Любое обновление сегодня — потенциальная угроза.

Практические шаги для безопасника

🔹Немедленная проверка полученных внешних обновлений

🔹Любое обновление Notepad++, Zoom, Adobe, Windows и т.д. сначала скачивается в изолированную песочницу, а не на рабочую станцию.

🔹Проверка SHA-256 через независимый источник (вендор, RSS, телефон).

Статический и динамический анализ

🔹VirusTotal: проверка хеша и файла.

🔹Разбор установщика на скрипты и нестандартные команды.

🔹Запуск в VM с мониторингом сетевых соединений, автозагрузки и процессов.

Мониторинг сети

🔹Контроль нестандартных соединений на портах HTTPS.

🔹Аномалии: новые IP-адреса, география обращения, нестандартный размер пакета.

Осторожное развертывание

🔹Первое развёртывание только на 5–10% машин.

🔹Через SIEM идет анализ логов 24–48 часов перед массовым обновлением.

Обновления через внутренние репозитории

🔹WSUS, SCCM, Nexus, Artifactory — все апдейты сначала проходят через внутренний сервер.

🔹Блокировка прямого выхода рабочих станций к внешним источникам.

Контроль хоста

🔹Application Whitelisting: запуск только проверенных бинарников.

🔹EDR/XDR: запрет обращения updater.exe к cmd/powershell и критическим процессам.

🔹Проверка цифровой подписи и даты сертификата.

Если апдейт оказался заражённым

🔹Изоляция систем

🔹Немедленно отключить пострадавшие устройства от сети.

🔹Перевести рабочие станции на резервные образы, если есть.

Сбор артефактов

🔹Логи, бинарные файлы, контрольные суммы.

🔹Анализ через Sandbox/VM для понимания вредоносного поведения.

🔹Оповещение сотрудников

Не запускать подозрительные обновления.

🔹Контролировать все новые инсталляции софта через IT/Security.

🔹Держать связь с вендором

🔹Проверить, исправлена ли цепочка обновлений.

🔹Получить подтверждённые хеши и подписи исправленных файлов.

Главный урок: доверие к поставщику нельзя воспринимать как постоянную константу. Любой апдейт проверяется как потенциальная угроза, даже если это привычное приложение. В общем Zero Trust - быть всегда.

Вы же помните, что такое уже было с SolarWinds, ASUS Live Update, M.E.Doc, CCleaner (2 миллиона зараженных) и XZ Utils. И будет еще...

#экспертам #цепочкапоставок #взлом @acba

Гаджеты и электроника

5,73 млн интересуются