Признаки заражения через уязвимости SMBv1: как понять, что ваша система скомпрометирована

Автор На чтение 10 мин Просмотров 1 Опубликовано

SMBv1 — это устаревший сетевой протокол, который до сих пор можно встретить в корпоративных сетях, особенно там, где есть старые серверы, сетевые хранилища или унаследованное оборудование. Проблема в том, что именно через эту версию протокола проходят одни из самых разрушительных атак последних лет — от WannaCry до NotPetya. Если вы подозреваете, что в вашей сети что-то пошло не так, и SMBv1 всё ещё где-то включён, имеет смысл проверить систему на характерные признаки заражения.

Содержание
  1. Почему SMBv1 — это реальная проблема, а не просто «устаревшая технология»
  2. Основные признаки заражения через SMBv1
  3. 1. Аномальная сетевая активность
  4. 2. Странное поведение служб и процессов
  5. 3. Изменения в файловой системе
  6. 4. Записи в журналах событий
  7. 5. Признаки на уровне всего сегмента сети
  8. Как проверить, включён ли SMBv1 в вашей системе
  9. Сравнение признаков заражения разными вредоносными программами через SMBv1
  10. Частые ошибки при расследовании заражения
  11. Что делать в зависимости от вашей ситуации
  12. Ситуация 1: Вы ещё не обнаружили заражение, но SMBv1 включён
  13. Ситуация 2: Вы обнаружили один заражённый хост
  14. Ситуация 3: Массовое заражение в сети
  15. Практические рекомендации для предотвращения заражения
  16. Итог

Почему SMBv1 — это реальная проблема, а не просто «устаревшая технология»

SMBv1 был разработан в 1980-х годах. Он не поддерживает шифрование, не проверяет целостность данных должным образом и содержит уязвимости, которые позволяют злоумышленнику выполнить произвольный код на удалённой машине без аутентификации. Самая известная — EternalBlue (MS17-010), но есть и другие. Microsoft официально рекомендует отключить SMBv1 с 2017 года, однако на практике его продолжают использовать: старые МФУ, NAS, камеры видеонаблюдения и legacy-серверы просто не умеют работать с новыми версиями протокола.

Если вы читаете эту статью, скорее всего, вы уже знаете, что в вашей сети есть SMBv1, и хотите понять, не было ли заражения. Или заметили странное поведение систем и хотите разобраться, с чем это связано. Разберём конкретные признаки, на которые стоит обратить внимание.

Основные признаки заражения через SMBv1

Заражение через уязвимости SMBv1 редко проходит бесследно. Атака оставляет следы на нескольких уровнях — от сетевого трафика до системных журналов. Вот что нужно проверять в первую очередь.

1. Аномальная сетевая активность

Один из самых заметных признаков — нехарактерный сетевой трафик. Вот что должно насторожить:

  • Массовое сканирование порта 445. Если вы видите, что один хост или несколько хостов начинают активно подключаться к порту 445 на множестве других машин в сети, это классический признак распространения червя через EternalBlue. Проверить можно через SIEM-систему, netflow-анализатор или даже через обычный файрвол.
  • Резкий рост исходящего SMB-трафика. Если сервер или рабочая станция начинает генерировать аномально большой объём трафика по протоколу SMB, особенно в сторону внешних адресов — это красный флаг.
  • Подключения к нехарактерным внешним IP-адресам. После первичного заражения вредоносное ПО часто обращается к командным серверам. Если вы видите SMB-трафик, уходящий наружу (особенно если он не должен там быть), это серьёзный повод для проверки.

2. Странное поведение служб и процессов

После успешной эксплуатации уязвимости SMBv1 вредоносное ПО запускает полезную нагрузку в системе. Это проявляется так:

  • Появление неизвестных процессов. Проверьте диспетчер задач или, лучше, Process Explorer на наличие процессов с подозрительными именами. Многие эксплойты через SMBv1 запускают шелл-код, который затем скачивает и устанавливает основную полезную нагрузку.
  • Служба Windows Update или другие системные службы ведут себя странно. Некоторые эксплойты манипулируют системными службами для закрепления в системе.
  • Высокая загрузка процессора без видимых причин. Если обычная рабочая станция внезапно начинает постоянно нагружать процессор на 80–100%, и это не объясняется запущенными приложениями — стоит проверить, не работает ли в фоне майнер или червь.
  • Процесс svchost.exe с аномальным поведением. Многие эксплойты внедряются в процесс svchost.exe. Если вы видите несколько экземпляров svchost.exe, потребляющих необычно много ресурсов, или svchost.exe, запущенный из нестандартного расположения — это признак компрометации.

3. Изменения в файловой системе

Большинство вредоносных программ, распространяющихся через SMBv1, либо шифруют файлы, либо устанавливают бэкдоры. Обратите внимание на:

  • Появление файлов с необычными расширениями. После шифрования WannaCry файлы получали расширение .wncry, NotPetya — .wncry. Если вы видите массовое изменение расширений файлов — система заражена.
  • Файлы с инструкцией по выкупу. WannaCry создавал файлы @Please_Read_Me@.txt в каждой папке с зашифрованными данными.
  • Новые исполняемые файлы в системных директориях. Бэкдоры и кейлоггеры часто размещаются в %TEMP%, %APPDATA% или прямо в C:\Windows\.
  • Изменение файлов без ведома пользователей. Если файлы на сетевых ресурсах изменяются, хотя никто их не трогал, это может быть признаком того, что червь копирует себя через общие папки.

4. Записи в журналах событий

Журналы Windows — это первое место, куда стоит заглянуть. Вот конкретные идентификаторы событий, которые указывают на попытку или успешную эксплуатацию SMBv1:

  • Событие с кодом 4625 (ошибка входа) — множественные неудачные попытки входа по сети с одного и того же адреса могут свидетельствовать о брутфорсе через SMB.
  • Событие с кодом 5140 (доступ к общему ресурсу) — если вы видите массовый доступ к общим ресурсам с нехарактерных учётных записей или в нехарактерное время, это подозрительно.
  • Событие с кодом 7045 (установка новой службы) — вредоносное ПО часто устанавливает себя как службу для автозапуска.
  • События из журнала SMB-Server\Audit — если включено аудитирование SMB, здесь можно увидеть подозрительные подключения к общим ресурсам.
  • Событие от Windows Defender или антивируса — даже если защита не смогла заблокировать атаку, она может зафиксировать попытку.

5. Признаки на уровне всего сегмента сети

Если вы отвечаете за инфраструктуру, обратите внимание на поведение всего сегмента:

  • Массовое распространение по сети. Если за короткий период начинают проявлять признаки заражения несколько машин в одном сегменте — скорее всего, червь распространяется через SMBv1.
  • Недоступность сетевых ресурсов. Перегрузка серверов запросами через SMB может привести к отказу в обслуживании. Если файловый сервер внезапно «ложится» без видимых причин — проверьте, не идёт ли на него аномальная нагрузка по порту 445.
  • Блокировка антивирусом известных сигнатур эксплойтов. Современные антивирусы знают сигнатуры EternalBlue и подобных эксплойтов. Если вы видите алерты — отнеситесь к ним серьёзно.

Как проверить, включён ли SMBv1 в вашей системе

Прежде чем искать признаки заражения, стоит проверить, используется ли вообще SMBv1 в вашей среде. Если протокол отключён, атака через него невозможна (хотя могут быть другие векторы).

На Windows (PowerShell):

  1. Откройте PowerShell от имени администратора.
  2. Выполните команду: Get-SmbServerConfiguration | Select EnableSMB1Protocol
  3. Если значение True — SMBv1 включён, и система уязвима.
  4. Для отключения: Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
  5. Перезагрузите сервер.

Проверка через реестр:

  • Откройте HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  • Параметр SMB1 со значением 1 означает, что протокол включён.
  • Значение 0 или отсутствие параметра — протокол отключён.

Сравнение признаков заражения разными вредоносными программами через SMBv1

Разные вредоносные программы, использующие уязвимости SMBv1, оставляют разные следы. Вот сравнение, которое поможет сузить круг подозрений:

Признак WannaCry NotPetya Общий эксплойт EternalBlue
Шифрование файлов Да, расширение .wncry Да, перезапись MBR Зависит от полезной нагрузки
Сообщение о выкупе Да, на рабочем столе Нет Зависит от полезной нагрузки
Распространение по сети Агрессивное, через порт 445 Агрессивное, через порт 445 + WMI/PsExec Через порт 445
Видимые процессы @WanaDecryptor@.exe, tasksche.exe Нет характерных процессов Различные
Изменение системных файлов Создаёт файлы в %TEMP% Перезаписывает MBR, отключает восстановление Зависит от полезной нагрузки
Влияние на загрузку системы Система загружается, но файлы недоступны Система не загружается (BSOD или фейковый chkdsk) Зависит от полезной нагрузки

Частые ошибки при расследовании заражения

Когда администраторы сталкиваются с подозрением на заражение через SMBv1, они часто допускают одни и те же ошибки. Вот самые распространённые:

  • Очистка заражённой машины без изоляции от сети. Пока заражённый хост подключён к сети, он продолжает сканировать и заражать другие машины. Первое действие — физически или логически отключить его от сети.
  • Игнорирование других машин в сегменте. Если одна машина заражена через SMBv1, с высокой вероятностью червь уже распространился на другие. Нужно проверять весь сегмент, а не только очевидно пострадавший хост.
  • Отключение SMBv1 только на заражённых машинах. Это не решает проблему — уязвимость остаётся на других хостах. Отключать нужно по всей сети.
  • Откат из резервной копии без проверки чистоты бэкапа. Если резервная копия была сделана после заражения, восстановление из неё вернёт вредоносное ПО в систему.
  • Надежда на то, что «антивирус всё почистил». После заражения через EternalBlue настоятельно рекомендуется переустановить операционную систему. Бэкдоры могут быть установлены на уровне, который антивирус не обнаружит.

Что делать в зависимости от вашей ситуации

Ситуация 1: Вы ещё не обнаружили заражение, но SMBv1 включён

Это лучший сценарий. Действуйте так:

  1. Проведьте аудит всех систем в сети — выясните, где включён SMBv1 и почему.
  2. Если SMBv1 нужен для работы конкретного оборудования (старый NAS, МФУ), изолируйте это оборудование в отдельный VLAN с ограниченным доступом.
  3. Отключите SMBv1 на всех системах, где он не критически необходим.
  4. Установите обновления безопасности, закрывающие уязвимость MS17-010 и аналогичные.
  5. Настройте мониторинг порта 445 — любое нехарактерное сканирование должно вызывать алерт.

Ситуация 2: Вы обнаружили один заражённый хост

Действуйте быстро и последовательно:

  1. Немедленно отключите заражённый хост от сети (физически — вытащите кабель, или через коммутатор — отключите порт).
  2. Не выключайте компьютер — в памяти могут быть аргументы для дешифрования (актуально для WannaCry).
  3. Проверьте все машины в том же сегменте сети на наличие признаков заражения.
  4. Соберите логи и дампы для анализа — они помогут определить, какая именно полезная нагрузка была установлена.
  5. После завершения расследования — переустановите ОС на заражённом хосте.

Ситуация 3: Массовое заражение в сети

Это самый тяжёлый сценарий. Если червь уже распространился:

  1. Отключите порт 445 на межсетевых экранах между сегментами сети — это остановит дальнейшее распространение.
  2. Отключите SMBv1 на всех серверах и рабочих станциях централизованно через групповые политики.
  3. Проведите полное сканирование всех систем антивирусом с актуальными базами.
  4. Восстановите данные из чистых резервных копий (убедитесь, что бэкап сделан до заражения).
  5. Обратитесь к специалистам по информационной безопасности для полного расследования — особенно если речь идёт о юридически значимых данных или финансовой информации.

Практические рекомендации для предотвращения заражения

Помимо отключения SMBv1, есть ещё несколько мер, которые существенно снижают риск:

  • Сегментируйте сеть. Разделите сеть на VLAN-ы по функциональному признаку. Серверы, рабочие станции, IoT-оборудование и камеры видеонаблюдения не должны находиться в одном широковещательном домене.
  • Закройте порт 445 на межсетевых экранах. SMB не должен быть доступен из интернета — это аксиома. Но его также стоит ограничить и между внутренними сегментами.
  • Используйте только SMBv2 или SMBv3. Современные версии протокола поддерживают шифрование и имеют значительно меньше уязвимостей.
  • Регулярно устанавливайте обновления. Уязвимость MS17-010 закрыта обновлением от марта 2017 года. Если ваши системы его не получили — это серьёзная проблема.
  • Настройте мониторинг аномалий. SIEM-система или даже простой мониторинг трафика на порт 445 поможет обнаружить сканирование и распространение червя на ранней стадии.
  • Ведите учёт активов. Вы не можете защитить то, о чём не знаете. Если в вашей сети есть устройство с включённым SMBv1, вы должны знать о нём.

Итог

Заражение через уязвимости SMBv1 — это не теоретическая угроза, а реальная проблема, которая продолжает приносить ущерб. Ключевые признаки, на которые нужно обращать внимание: аномальный трафик на порту 445, появление неизвестных процессов, массовое изменение файлов, подозрительные записи в журналах событий и одновременное поражение нескольких машин в сети.

Если вы ещё не сделали этого — отключите SMBv1. Это одна из самых простых и эффективных мер защиты, которую можно реализовать прямо сейчас. Если заражение уже произошло — изолируйте заражённые хосты, проверьте весь сегмент и переустановите ОС на поражённых машинах. Не надейтесь на «авось пронесёт» — уязвимости SMBv1 эксплуатируются автоматически, и атака может произойти в любой момент.

Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком