CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Jak się bronić?

29 lipca 2015 at 07:08

Spis treści: 1. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Intro 2. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Skąd? 3. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Czym się bronić? 4. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Jak się bronić? Jako zakończenie cyklu dotyczącego ochrony przed złośliwym oprogramowaniem szyfrującym dane typu CryptoLocker, CryptoWall, Ransomeware itp. czas na sprawy techniczne – czyli to, co Tygryski lubią najbardziej Zacznijmy od sposobu działania oprogramowania szyfrującego. Te gorzej napisane programy działają na zasadzie „podmiany” plików lub z dopisaniem rozszerzenia, czyli mając u siebie plik o nazwie „jakisplik.txt”, złośliwe oprogramowanie próbuje na boku stworzyć plik o nazwie „jakisplik.txt.enrypted”, który będzie zaszyfrowany. Dlaczego akurat tak a nie inaczej? – Ponieważ Crypto* działają po to, aby od użytkownika wymusić opłatę za odszyfrowanie plików – więc musi być jakiś klucz wg. którego pliki zostaną odszyfrowane. I to jest świetna wiadomość! (Niestety czasem znalezienie tego klucza nie jest takie proste…) Jak się obronić przez tymi „najgłupszymi” programami? Przede wszystkim na serwerach plików uruchamiamy Aktywną ochronę plików, która odmawia zapisu plików z rozszerzeniem *.encrypted, *.encrypt, *.enc – skuteczność 110% Nie przywrócisz nawet plików z backupu z takim rozszerzeniem. Ale to działa tylko na serwerach. Co zrobić ze stacją […]

CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Czym się bronić?

27 lipca 2015 at 11:50

Spis treści: 1. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Intro 2. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Skąd? 3. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Czym się bronić? 4. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Jak się bronić? Znamy już odpowiedzi na kilka zasadniczych pytań w kwestii ataków złośliwego oprogramowania szyfrującego nasze dane, zdefiniowaliśmy swoje słabe punkty, miejsca gdzie dochodziło do ataków, wykorzystywane w organizacji oprogramowanie oraz stan obowiązujących procedur. Pora zebrać to w logiczną całość i ułożyć plan skutecznej ochrony. Let’s do IT! Zbieramy najpierw systemy i oprogramowanie, którymi dysponujemy w chwili obecnej. Najczęściej sprowadza się to wylistowania: 1. Oprogramowania antywirusowego (na stacjach klienckich i serwerach) 2. Systemów ochrony sieci IDS, IPS, Firewalle tradycyjne, Firewalle aplikacyjne i warstwy 7 modelu OSI. 3. Systemów ochrony antyspamowej i antywirusowej poczty korporacyjnej 4. Systemów wykrywania włamań, podejrzanych akcji, śledzenia sesji, połączeń itd. + przetwarzania tych informacji = systemy typu SIEM Dużo? To zależy od punktu widzenia. Niby lista jest całkiem pokaźna, jednak dla zagrożeń typu Crypto* taka lista nie stanowi najmniejszego problemu – niestety… Chyba każdemu z głównych graczy na rynku antywirusów przytrafiły się wpadki związane z niewykrywaniem zagrożenia typu Crypto*. Część z nich wykrywała niby większość ataków, […]

CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Skąd?

24 lipca 2015 at 08:36

Spis treści: 1. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Intro 2. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Skąd? 3. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Czym się bronić? 4. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Jak się bronić? Zakładamy, że po wcześniejszej analizie udało się znaleźć odpowiedzi na większość zadanych pytań. Mamy już pewne przemyślenia, ale jednak nadal brakuje pełnego obrazu tego, co się wydarzyło. Musimy zadać sobie kolejną serię pytań – tym razem z grupy „Gdzie\Skąd?” Gdzie\skąd miał miejsce atak? Czy był wymierzony z internetu (złośliwa strona? Złośliwy link? Złośliwa reklama? Przekierowanie? Załącznik w mailu? Dziura we flash’u?… ) czy też jego epicentrum miało miejsce od środka (zainfekowany pendrive/cdrom/dysk wymienny? Zainfekowana stacja prywatna? Zainfekowana stacja korporacyjna? Zainfekowany serwer? Nieznane urządzenie w sieci wi-fi…). Odpowiedź na to pytanie czasami nie jest trywialna i jej znalezienia zależy od ilości i jakości logów, które zbieramy. Często pewnie nie uda się udzielić jednoznacznej odpowiedzi na zadane pytanie – a wtedy pozostanie głęboka analiza zachowania danego złośliwego oprogramowania i mechanizmów, które ono wykorzystuje do infekowania hostów. Kolejne bardzo istotne pytanie związane z pytaniem z wcześniejszej części (co możemy poświęcić, a co jest krytyczne?) Gdzie znajdowały się zaszyfrowane obecnie dane? Czy […]

CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Intro

22 lipca 2015 at 15:54

Spis treści: 1. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Intro 2. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Skąd? 3. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Czym się bronić? 4. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Jak się bronić? Ostatnimi czasy obserwuje się natężenie ataków złośliwego oprogramowania typu CryptoLocker czyli programów, które szyfrują dane dostępne dla użytkownika i oczekują zapłaty za ich rozszyfrowanie. Temat dosyć przykry, bo praktycznie zawsze powoduje utratę danych (czasami jest to strata liczona w minutach pracy, czasami w godzinach, dniach czy nawet miesiącach…). Po każdej takiej infekcji i negatywnym wpływie udanego ataku na organizację rodzi się pytanie – czy ataku można było uniknąć? Czy skutki mogły być mniejsze, mniej dotkliwe? Co zrobić aby w przyszłości sytuacja się nie powtórzyła? Temat jest bardzo złożony i wieloaspektowy. Jeśli ktoś spłyca go do aktualnego antywirusa na stacji roboczej + backupów to gratuluję… Można żyć i w takim przeświadczeniu aż przyjdzie przysłowiowy 0-day i „pozamiata”. Cały problem zasadniczo sprowadzić można do zadania 4 podstawowych pytań (z 4 kategorii): 1. Zdarzenia – „Co?” (Co nas zaatakowało? Co nam „uszkodziło”? Co zrobiliśmy żeby uniknąć ataku? Co zawiodło? Co się działo podczas infekcji?) 2. Miejsca – „Gdzie?/Skąd?” (Gdzie/Skąd nas zaatakowało? […]

Zdalne listowanie zainstalowanych poprawek/aplikacji

1 lipca 2015 at 07:59

Często pojawia się potrzeba wy-listowania poprawek zainstalowanych na zdalnej stacji albo zainstalowanych na niej aplikacji. W przypadku, gdy nie dysponujemy dedykowanym oprogramowaniem audytującym, czy CMDB możemy wyciągnąc takie informacje na kilka prostych sposobów: 1. Listowanie (wszystkich) poprawek z datą instalacji:

2. Listowanie zainstalowanych aplikacji (szybkie i niedokładne):

3. Listowanie zainstalowanych aplikacji (wolniejsze i dokładne) wraz z ich poprawkami: Pobranie narzędzia PsInfo

Dla każdego coś się znajdzie Ważne, żeby narzędzia dobierać do swoich potrzeb. Nigdy na odwrót

© Marcin Krzanowicz