CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Jak się bronić?

29 lipca 2015 at 07:08

Spis treści: 1. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Intro 2. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Skąd? 3. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Czym się bronić? 4. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Jak się bronić? Jako zakończenie cyklu dotyczącego ochrony przed złośliwym oprogramowaniem szyfrującym dane typu CryptoLocker, CryptoWall, Ransomeware itp. czas na sprawy techniczne – czyli to, co Tygryski lubią najbardziej Zacznijmy od sposobu działania oprogramowania szyfrującego. Te gorzej napisane programy działają na zasadzie „podmiany” plików lub z dopisaniem rozszerzenia, czyli mając u siebie plik o nazwie „jakisplik.txt”, złośliwe oprogramowanie próbuje na boku stworzyć plik o nazwie „jakisplik.txt.enrypted”, który będzie zaszyfrowany. Dlaczego akurat tak a nie inaczej? – Ponieważ Crypto* działają po to, aby od użytkownika wymusić opłatę za odszyfrowanie plików – więc musi być jakiś klucz wg. którego pliki zostaną odszyfrowane. I to jest świetna wiadomość! (Niestety czasem znalezienie tego klucza nie jest takie proste…) Jak się obronić przez tymi „najgłupszymi” programami? Przede wszystkim na serwerach plików uruchamiamy Aktywną ochronę plików, która odmawia zapisu plików z rozszerzeniem *.encrypted, *.encrypt, *.enc – skuteczność 110% Nie przywrócisz nawet plików z backupu z takim rozszerzeniem. Ale to działa tylko na serwerach. Co zrobić ze stacją […]

CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Czym się bronić?

27 lipca 2015 at 11:50

Spis treści: 1. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Intro 2. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Skąd? 3. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Czym się bronić? 4. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Jak się bronić? Znamy już odpowiedzi na kilka zasadniczych pytań w kwestii ataków złośliwego oprogramowania szyfrującego nasze dane, zdefiniowaliśmy swoje słabe punkty, miejsca gdzie dochodziło do ataków, wykorzystywane w organizacji oprogramowanie oraz stan obowiązujących procedur. Pora zebrać to w logiczną całość i ułożyć plan skutecznej ochrony. Let’s do IT! Zbieramy najpierw systemy i oprogramowanie, którymi dysponujemy w chwili obecnej. Najczęściej sprowadza się to wylistowania: 1. Oprogramowania antywirusowego (na stacjach klienckich i serwerach) 2. Systemów ochrony sieci IDS, IPS, Firewalle tradycyjne, Firewalle aplikacyjne i warstwy 7 modelu OSI. 3. Systemów ochrony antyspamowej i antywirusowej poczty korporacyjnej 4. Systemów wykrywania włamań, podejrzanych akcji, śledzenia sesji, połączeń itd. + przetwarzania tych informacji = systemy typu SIEM Dużo? To zależy od punktu widzenia. Niby lista jest całkiem pokaźna, jednak dla zagrożeń typu Crypto* taka lista nie stanowi najmniejszego problemu – niestety… Chyba każdemu z głównych graczy na rynku antywirusów przytrafiły się wpadki związane z niewykrywaniem zagrożenia typu Crypto*. Część z nich wykrywała niby większość ataków, […]

CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Skąd?

24 lipca 2015 at 08:36

Spis treści: 1. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Intro 2. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Skąd? 3. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Czym się bronić? 4. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Jak się bronić? Zakładamy, że po wcześniejszej analizie udało się znaleźć odpowiedzi na większość zadanych pytań. Mamy już pewne przemyślenia, ale jednak nadal brakuje pełnego obrazu tego, co się wydarzyło. Musimy zadać sobie kolejną serię pytań – tym razem z grupy „Gdzie\Skąd?” Gdzie\skąd miał miejsce atak? Czy był wymierzony z internetu (złośliwa strona? Złośliwy link? Złośliwa reklama? Przekierowanie? Załącznik w mailu? Dziura we flash’u?… ) czy też jego epicentrum miało miejsce od środka (zainfekowany pendrive/cdrom/dysk wymienny? Zainfekowana stacja prywatna? Zainfekowana stacja korporacyjna? Zainfekowany serwer? Nieznane urządzenie w sieci wi-fi…). Odpowiedź na to pytanie czasami nie jest trywialna i jej znalezienia zależy od ilości i jakości logów, które zbieramy. Często pewnie nie uda się udzielić jednoznacznej odpowiedzi na zadane pytanie – a wtedy pozostanie głęboka analiza zachowania danego złośliwego oprogramowania i mechanizmów, które ono wykorzystuje do infekowania hostów. Kolejne bardzo istotne pytanie związane z pytaniem z wcześniejszej części (co możemy poświęcić, a co jest krytyczne?) Gdzie znajdowały się zaszyfrowane obecnie dane? Czy […]

CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Intro

22 lipca 2015 at 15:54

Spis treści: 1. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Intro 2. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Skąd? 3. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Czym się bronić? 4. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Jak się bronić? Ostatnimi czasy obserwuje się natężenie ataków złośliwego oprogramowania typu CryptoLocker czyli programów, które szyfrują dane dostępne dla użytkownika i oczekują zapłaty za ich rozszyfrowanie. Temat dosyć przykry, bo praktycznie zawsze powoduje utratę danych (czasami jest to strata liczona w minutach pracy, czasami w godzinach, dniach czy nawet miesiącach…). Po każdej takiej infekcji i negatywnym wpływie udanego ataku na organizację rodzi się pytanie – czy ataku można było uniknąć? Czy skutki mogły być mniejsze, mniej dotkliwe? Co zrobić aby w przyszłości sytuacja się nie powtórzyła? Temat jest bardzo złożony i wieloaspektowy. Jeśli ktoś spłyca go do aktualnego antywirusa na stacji roboczej + backupów to gratuluję… Można żyć i w takim przeświadczeniu aż przyjdzie przysłowiowy 0-day i „pozamiata”. Cały problem zasadniczo sprowadzić można do zadania 4 podstawowych pytań (z 4 kategorii): 1. Zdarzenia – „Co?” (Co nas zaatakowało? Co nam „uszkodziło”? Co zrobiliśmy żeby uniknąć ataku? Co zawiodło? Co się działo podczas infekcji?) 2. Miejsca – „Gdzie?/Skąd?” (Gdzie/Skąd nas zaatakowało? […]

Krytyczna podatność Active Directory

16 lutego 2015 at 12:01

Miniony tydzień oferował w wykryte luki bezpieczeństwa systemów Windows a także poprawki mające załatać te podatności. Jedną z najistotniejszych jest możliwość podszycia się pod zasoby udostępniane na kontrolerach domeny i wykonanie w ten sposób dowolnego kodu w kontekście konta systemu… Zostały udostępnione dwie poprawki w ramach biuletynu zabezpieczeń: MS15-011 Konkretnie są to poprawki: kb3004375 oraz kb3000483. Ich instalacja zabezpiecza klientów przed możliwością wykonania ataku, ale mimo wszystko nie zapewnia bezpieczeństwa całej domeny, bo nigdy nie ma pewności, że ktoś nie wyciągnie „gołego” lub nieaktualizowanego rok czasu systemu z szafy i nie wepnie się nim w naszą sieć z Active Directory. Aby temu zaradzi i podnieść poziom bezpieczeństwa należy wykonać następujące akcje: 1. Zainstalować ww. krytyczne poprawki bezpieczeństwa na kontrolerach domeny (wymagany restart serwerów) 2. Włączyć wzajemne uwierzytelnianie dla zasobów udostępnianych na kontrolerach domeny. 3. Włączyć wymaganie integralności SMB Dla domen, w których pracują tylko serwery Windows Server 2012 i wyższe oraz klienci Windows 8 i wyżsi – można dodatkowo włączyć wymaganie prywatności razem z szyfrowaniem żądań ścieżek SMB.   Plan działania wygląda w miarę prosto, ale jak zwykle gdzieś leży haczyk – a właściwie dwa haczyki. Pierwszym z nich jest GPO. Teoretycznie wystarczy dodać ustawienie w GPO: W gałęzi: Computer […]

© Marcin Krzanowicz