Windows 11 идет. С момента его выпуска в октябре 2021 года пользователи проверяли наличие обновлений, с нетерпением ожидая обновления. Требования Microsoft строже, чем обычно, и, таким образом, развертывание функций происходит в эпизодах. Существующие пользователи Windows 10 могут скачать его бесплатно. Для остальных есть несколько проверок совместимости перед обновлением.
Одним прекрасным январским утром, после четырех месяцев терпеливого ожидания пользователей, была объявлена фаза широкого развертывания Windows 11 для подходящих устройств. Как только это было объявлено, произошел всплеск трафика, и пользователи штурмовали Интернет, задаваясь вопросом, совместимы ли их конечные точки. Почти как будто насыщая их голодные, любопытные умы, реклама обновления Windows появилась в социальных сетях, попросив пользователей нажать и загрузить обновление. Только они не знали, что то, что устанавливали, было скрытым вредоносным ПО.
Вредоносная программа была замаскирована под поддельный установщик обновления Windows 11, обманом заставляя пользователей загружать и выполнять его. HP сообщила, что вредоносная программа была размещена с “windows-upgraded.com-чтобы ловко обмануть глаза пользователей. Когда они нажали кнопку загрузить сейчас, они получили ZIP-файл размером 1,5 МБ с именем “Windows11InstallationAssistant.zip”
Файл может быть распакован, благодаря заполнению в исполняемом файле, в результате чего получается папка 753MB со степенью сжатия 99,8%. Когда пользователь попытался запустить программу, начался процесс PowerShell с закодированным аргументом, после чего cmd.exe началось с таймаута в 21 секунду. Как только тайм-аут истек, win11.jpg был загружен с удаленного веб — сервера.
Чтобы избежать обнаружения и анализа, эта библиотека динамических ссылок (DLL) изменила свое содержимое. В начальном процессе эта DLL была загружена и выполнена сама. Он снова заменил себя для текущего контекста потока загруженной DLL. Чтобы получить дальнейшие инструкции, он открыл TCP-соединение с настроенным подключенным сервером, в данном случае 45.146.166[.]38:2715. Это RedLine Stealer, который при развертывании крадет все пароли автозаполнения, файлы cookie браузера, а также информацию о кредитных картах и криптовалютных кошельках.
Первопричину любой вредоносной атаки можно объяснить двумя основными причинами: халатностью со стороны администраторов и невежеством со стороны пользователей. Почему небрежность? Администраторы из-за своей огромной рабочей нагрузки иногда забывают проверить наличие обновлений версий. Они всегда задерживаются с билетами. Они также не могут постоянно перемещаться от конечной точки к конечной точке, чтобы проверить, обновлены ли ОС.
Тогда есть некоторые невежественные пользователи конечных точек, которые вряд ли когда-либо думают дважды, прежде чем нажимать обновления или кликбейт. Они понятия не имеют, какие разрешения они дают приложениям, которые они устанавливают. (Или, в случае инсайдерской угрозы, злобный пользователь, стремящийся нанести ущерб своей организации, может намеренно установить вредоносное ПО и симулировать невежество.)
Возьмем, к примеру, Tencent.
Многие из нас, вероятно, установили приложение или игру Tencent в какой-то момент. Мы не знали, какие разрешения они просили, но просто разрешили их. Затем приложения собирали у нас конфиденциальную информацию, которая использовалась, создавая серьезные угрозы как отдельным лицам, так и правительствам.
В мгновение ока ваша организация неизбежно потеряет деньги, если ее данные попадут в руки злоумышленников, и это также может привести к нарушению работы бизнеса. Когда вы реагируете на нарушение данных, пытаясь компенсировать все, что потеряно, ущерб уже нанесен. Репутация вашей организации запятнана, а доброжелательность ваших клиентов уменьшена.
Как обеспечить, чтобы пользователи не загружали поддельный установщик Windows 11 в широко распространенной организации? Как обеспечить совместимость всех конечных точек в сценариях back-to-office? Когда дело доходит до глобальной организации, которая работает 24/7, как вы развертываете обновления программного обеспечения, не нарушая бизнес?
Согласно отчету IBM о стоимости утечки данных за 2021 год, сложность системы и сбои в соответствии были основными факторами, повышающими стоимость утечки данных. Перехода в облако или оцифровки вашей организации недостаточно. Что более важно, так это то, как вы обращаетесь к конечным точкам, проверяя мельчайшие вещи, такие как обновление.
Вещи, которые вы должны рассмотреть
- Как развертывание программного обеспечения, так и управление приложениями-это рутинные, обыденные задачи. Для организаций всех размеров автоматизация является ключевым фактором. Люди не обращают внимания; AI не делает. Таким образом, вы можете развернуть программное обеспечение и доверять ИИ, чтобы закончить работу. ManageEngine имеет множество решений, которые удовлетворяют такие потребности. Убедитесь, что вы инвестируете в автоматизированное решение, которое быстро развертывает приложения и, самое главное, безопасно.
- Выберите инструмент, который предлагает автоматические обновления. Это гарантирует, что вам не придется регулярно проверять их, и вы не пропустите ни одного.
- Если вы не уверены, каковы будут требования ваших пользователей, выберите продукт с функцией портала самообслуживания.
- Когда дело доходит до производственного сценария в реальном времени, где пропускная способность низкая, рассмотрите возможность развертывания программного обеспечения в комплекте с ОС.
- Когда дело доходит до адаптации, объедините базовое программное обеспечение и приложения в пакет и разверните их, когда присоединится новый сотрудник.
Если вы боретесь с развертыванием программного обеспечения или управлением приложениями, ознакомьтесь с Desktop Central, нашим целостным решением для управления конечными точками.
