Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Информационная безопасность

Обмен файлами с скомпрометированной машиной под управлением Windows

На чтение 5 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Изоляция скомпрометированной машины
  4. Процедура передачи файлов
  5. Завершение обработки
  6. Заключение

Вопрос или проблема

Я хочу подключить известный скомпрометированный компьютер с Windows к сети для общего доступа к файлам, на нем установлено много пиратского программного обеспечения, поэтому он не безопасен. Можно ли его изолировать так, чтобы ничего не могло распространиться по сети и скомпрометировать другие (Linux) машины или сделать что-то еще в сети? Я хочу только делиться изображениями, видео и некоторыми проектными файлами профессионального (пиратского) программного обеспечения, но не исполняемыми файлами. Будет ли сканирование общей папки на вирусы/зловреды достаточным для разумной безопасности?

Как протоколы песочницы справляются с такими ситуациями, когда необходимо поделиться хотя бы одной папкой между системами, и она, вероятно, будет скомпрометирована?

Если машина ненадежна, ее не следует подключать к сети. Если вы знаете, что на ней может быть вредоносное ПО и не уверены в его природе, подключение к сети может открыть неизвестные уязвимости для атакующих: что если она сможет действовать как промежуточный узел, открыв одно соединение с мошенническим сайтом и позволив злоумышленнику проникнуть в вашу сеть? Что, если на ней есть руткиты, маскирующиеся под общими именами?

Если вам нужно извлечь ограниченное количество файлов, возможный способ — пройти через чистую машину:

  • Настройте машину с минимальным количеством программного обеспечения, но с установкой лучшего антивирусного ПО, которое вы можете установить на ней.
  • Извлеките файлы, которые хотите использовать, с возможно скомпрометированной машины на только что отформатированные переносные носители.
  • Подключите этот носитель к чистой машине и убедитесь, что не было обнаружено известного вредоносного ПО – конечно, если что-то найдено, чистая машина должна быть немедленно полностью стерта и переустановлена с нуля.

С этого момента вы не можете быть уверены, что носитель не содержит вредоносного контента, но, по крайней мере, вы сделали все возможное, чтобы его обнаружить. Вам придется уравновесить риск незамеченного вредоносного ПО (должен быть низким, если вы использовали проверенные инструменты на чистой машине), ценность извлеченных файлов и важность других элементов в сети (только ваши отпускные фото или коды ядерного оружия?)? Хорошо известный баланс риска и выгоды…

Вероятно, безопасно предположить, что не только файлы на компьютере скомпрометированы, но и операционная система хоста также скомпрометирована. Так что вопрос … как сделать это безопасно.

Шаг 1: Возьмите флешку и установите вашу любимую версию Linux в качестве загрузочного носителя (я бы порекомендовал Ubuntu, но это действительно дело выбора).

Шаг 2: Выключите зараженный ПК. Как только компьютер выключен, подключите загрузочный Linux-накопитель.

Шаг 3: Загрузитесь с USB-накопителя (это может потребовать изменения некоторых настроек в BIOS).

Шаг 4: В зависимости от версии Linux, которую вы используете, она может или не может автоматически монтировать диски Windows. Если она не смонтирована автоматически, выясните, как это сделать (возможно, спросите направление https://superuser.com)

Шаг 5: Скопируйте файлы с жесткого диска Windows, которые вам нужны, на рабочий стол загрузочного Linux (они будут сохранены в памяти), а затем используйте сервис, такой как virustotal, чтобы просканировать файлы.

Шаг 6: Установите openssh-server в среде загрузочного Linux и запустите его.

Шаг 7: Используйте SCP из другого места в вашей сети, чтобы скопировать чистые файлы с загрузочного Linux туда, куда вам нужно.

Шаг 8: Уничтожьте из орбиты

Примечание: Если вам не нравится ssh/scp из-за незнакомства с командной строкой, возможно, стоит рассмотреть графический SCP-клиент, такой как WinSCP. Или вы можете использовать второй флеш-накопитель, чтобы скопировать файлы с загрузочного Linux на Windows-машину.

Ответ или решение

Подключение скомпрометированного Windows-машины к сети для обмена файлами представляет собой серьезный риск как для самой сети, так и для других устройств, особенно если эти устройства работают под управлением Linux. В этом ответе я предложу безопасные шаги, которые помогут вам минимизировать риски.

Изоляция скомпрометированной машины

  1. Не подключайте устройство к основной сети: Поскольку вы знаете, что машина скомпрометирована, лучше всего не подключать ее к основной сети вообще. Это предотвратит возможность распространения вредоносного ПО и других угроз.

  2. Создайте изолированную сеть (виртуальную или физическую): Если вам действительно нужно получить доступ к файлам, сделайте это через отдельную изолированную Wi-Fi сеть или создайте VLAN. Убедитесь, что эта сеть не соединена с вашей основной сетью.

Процедура передачи файлов

Чтобы безопасно извлечь файлы с скомпрометированной машины, выполните следующие шаги:

  1. Используйте чистый компьютер: Создайте «чистый компьютер» — это устройство с минимально необходимым программным обеспечением и надежным антивирусом. Это устройство никогда не должно было быть подключено к скомпрометированной машине.

  2. Подготовьте загрузочный USB-накопитель с Linux: Загрузите и установите образ Linux (например, Ubuntu) на USB-накопитель. Это даст вам возможность открыть скомпрометированный диск без запуска Windows.

  3. Загрузитесь с USB-накопителя: Выключите скомпрометированную машину, вставьте загрузочный USB и запустите компьютер с этого устройства. Возможно, придется изменить настройки BIOS.

  4. Скопируйте необходимые файлы: Найдите и скопируйте только те файлы, которые вам действительно нужны (изображения, видео и проекты) на флэш-накопитель или на рабочий стол Linux, монтируя Windows-диск при необходимости.

  5. Сканирование файлов: После переноса файлов сохраните их на чистом Linux-устройстве и выполните их сканирование с помощью антивирусного решения или сервиса, такого как VirusTotal.

Завершение обработки

  1. Скопируйте очищенные файлы обратно: Передайте очищенные файлы обратно в вашу основную сеть, используя SCP (если на вашем чистом устройстве установлен SSH-сервер) или другой безопасный метод передачи данных.

  2. Полная переустановка скомпрометированной системы: После выполнения всех этих шагов рекомендуется убрать скомпрометированное устройство с сети и переустановить операционную систему, чтобы убедиться, что оно больше не несет угрозы.

Заключение

Ваша основная задача — минимизировать риски, связанные с потенциальным вредоносным программным обеспечением. Полное отделение скомпрометированной машины от сети и использование безопасных методов хранилища и сканирования поможет вам обеспечить безопасность остальных устройств в вашей сети. Помните, что лучше предотвратить угрозу, чем пытаться ее устранить позже.

file-upload malware network windows
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности