CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Jak się bronić?

CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Jak się bronić?

Spis treści:

1. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Intro

2. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Skąd?

3. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Czym się bronić?

4. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Jak się bronić?


Jako zakończenie cyklu dotyczącego ochrony przed złośliwym oprogramowaniem szyfrującym dane typu CryptoLocker, CryptoWall, Ransomeware itp. czas na sprawy techniczne – czyli to, co Tygryski lubią najbardziej 🙂

Zacznijmy od sposobu działania oprogramowania szyfrującego. Te gorzej napisane programy działają na zasadzie „podmiany” plików lub z dopisaniem rozszerzenia, czyli mając u siebie plik o nazwie „jakisplik.txt”, złośliwe oprogramowanie próbuje na boku stworzyć plik o nazwie „jakisplik.txt.enrypted”, który będzie zaszyfrowany. Dlaczego akurat tak a nie inaczej? – Ponieważ Crypto* działają po to, aby od użytkownika wymusić opłatę za odszyfrowanie plików – więc musi być jakiś klucz wg. którego pliki zostaną odszyfrowane. I to jest świetna wiadomość! (Niestety czasem znalezienie tego klucza nie jest takie proste…)

Jak się obronić przez tymi „najgłupszymi” programami? Przede wszystkim na serwerach plików uruchamiamy Aktywną ochronę plików, która odmawia zapisu plików z rozszerzeniem *.encrypted, *.encrypt, *.enc

ActiveScreen_Enc– skuteczność 110% 🙂 Nie przywrócisz nawet plików z backupu z takim rozszerzeniem. Ale to działa tylko na serwerach. Co zrobić ze stacją roboczą? Przede wszystkim włączyć audyt plików – w szczególności z katalogu „Users”, bo tam użytkownicy zawsze mają dostęp do zapisu i stamtąd w 99% przypadków zaczynają się ataki:

Mając już audytowane zasoby (nie zapomnijcie o włączeniu audytu w GPO/systemie) – można zastanowić się jak wyłapywać zdarzenia zapisu poszczególnych „niechcianych” typów plików. Można np. cyklicznie sprawdzać, czy pliki z takim rozszerzeniem zostały zapisane i jeśli tak to przejść do kontrataku:

– wyłączenie wszystkich usług z plikami wykonywalnymi nie podpisanymi cyfrowo.

–  odłączenie wszystkich kart sieciowych:

– odłączenie wszystkich zmapowanych dysków:

– wyświetlenie informacji dla użytkownika o wykrytym złośliwym oprogramowaniu:

Czyli mamy obsłużone wszystkie najistotniejsze dla nas rzeczy:

– odłączona siec = stacje nie infekuje innych stacji i nie szyfruje danych w sieci

– odłączone zmapowane dyski = brak zagrożenia dla współdzielonych na serwerach danych

– wyłączone usługi (w tym złośliwe oprogramowanie)

– użytkownik wie o infekcji i nie jest zdziwiony odcięciem sieci i dysków, nie próbuje restartować stacji, włączać sieci itd.

Bajka 😉

Pozostaje tylko kwestia, jak „złapać” informację, że coś złego zaczęło się dziać na stacji…?

Podstawowe techniki wykrycia:

– informacje z audytu e dzienniku zdarzeń:

– informacje o zaszyfrowanych plikach w rejestrze systemowym (drugi popularny sposób trzymania informacji o zaszyfrowanych plikach):

– dysponując oprogramowaniem firm trzecich (np. Quest/Dell) można się również pokusić o  śledzenie zbyt dużej ilości zapisów plików w jednostce czasu – oprócz kopiowania plików nikt „normalny” nie zapisuje setek/tysięcy plików w ciągu minuty 🙂

Tyle z wartości dodanej od siebie ponad to co domyślnie oferują systemy. Teraz pora na wykorzystanie istniejących narzędzi.

Przede wszystkim warto zainstalować na stacjach roboczych oprogramowanie Enhanced Mitigation Experience Toolkit (EMET), które wykrywa wszystkie „podejrzane” zachowania w systemie i skutecznie zabija procesy, usługi czy pliki wykonywalne próbujące atakować system. Podstawowe ustawienia aplikacji zapewniają już stosunkowo wysoki poziom bezpieczeństwa.

Jeśli nasza korporacja jest na tyle bogata, że uraczyła nas wersjami systemów klienckich typu Enterprise to możemy wykorzystać Applocker’a do zablokowania programów na podstawie ich próbek, sygnatur czy miejsc, gdzie są one  uruchamiane. Ale często nasze organizacje są biedniejsze (albo mniej rozrzutne – jak kto woli 🙂 ) i wtedy pozostaje nam uboższa wersja Applocker’a czyli  Software Restriction Policies (SRP).

Jakie polityki SRP należy utworzyć? Przede wszystkim:

Ścieżka Poziom zabezpieczeń
%AppData%\*.exe Disallowed
%AppData%\*\*.exe Disallowed
%UserProfile%\Local Settings\Temp\Rar*\*.exe Disallowed
%UserProfile%\Local Settings\Temp\7z*\*.exe Disallowed
%UserProfile%\Local Settings\Temp\wz*\*.exe Disallowed
%UserProfile%\Local Settings\Temp\*.zip\*.exe Disallowed

Po zastosowaniu powyższych polityk nasze stacje staną się bardzo bezpieczne zarówno w kwestii ściąganego oprogramowania jak i załączników maili. Jednak nie ma róży bez kolców – jeśli zostawimy je w powyższej formie na 99% użytkownikom przestaną działać wybrane programy. Aby tego uniknąć można wcześniej zebrać zinwentaryzowaną listę wykorzystywanego bezpiecznego oprogramowania i wykluczyć je z polityk SRP podając ich ścieżki i poziom zabezpieczeń na „Unrestricted”.

Przykłady takich ścieżek, które raczej nie powinny być blokowane:

  • %AppData%\Local\Google\Update\GoogleUpdate.exe
  • %localAppData%\Local\Temp\ose00000.exe
  • %localAppData%\Temp\jre-8u51-windows-i586-iftw.exe

itd.

Mamy więc dostępną całą gamę rozwiązań mogących nas uchronić przed infekcjami w sposób „systemowy” a nie bazując na sygnaturach czy bardziej lub mniej świeżych definicjach wirusów. Rozwiązania systemowe z zasady działają też szybciej (nie powodując irytacji użytkownika zawieszającym się systemem, czy dyskiem pracującym jak szlifierka…) i bardziej niezawodnie a co najważniejsze wymuszając je w domenie mamy pewność, że działają na każdej stacji, o co w przypadku antywirusów bardzo ciężko. Natomiast osiągnięcie celu zawsze będzie sprowadzać się do połączenia kilku narzędzi w jeden potężny oręż. Ważne żeby mieć pomysł na obronę oraz przegląd dostępnych narzędzi i pamiętać o tym, że przy wyższym poziomie bezpieczeństwa trzeba zachować funkcjonalność a wszelkie incydenty bezpieczeństwa obsługiwać rozważnie, czyli informując użytkownika systemu o zdarzeniu a nie jak to mają w zwyczaju „koledzy z bezpieki” najpierw strzelać (często ślepakami – wyłączenie konta użytkownika w AD czy restart komputera to nie jest wcale skuteczna metoda…) a potem dopiero pytać kto szedł… 🙂

One thought on “CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Jak się bronić?

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *