Не будьте жертвой: как остановить атаки программ-вымогателей до того, как они начнутся
Программы-вымогатели — это растущая чума, которую мы часто освещаем здесь, на TechGenix. Многие из моих коллег по ИТ-специалистам провели много бессонных ночей, беспокоясь о потенциальной катастрофе, с которой может столкнуться их компания, если атака программы-вымогателя против них увенчается успехом. Но действительно ли программы-вымогатели представляют такую большую проблему? И есть ли какие-либо шаги, которые вы можете предпринять как администратор, чтобы защитить свою организацию и остановить атаки программ-вымогателей до того, как они увенчаются успехом? Я обсудил это с экспертом по безопасности Оддваром Мое, и мы оба согласились, что хорошей отправной точкой является использование многих функций защиты, которые уже встроены в операционную систему Windows и платформу Microsoft Office. Оддвар — опытный сотрудник, проработавший ИТ-специалистом более 18 лет. Он является Microsoft MVP в области управления облаками и центрами обработки данных и в настоящее время работает в Advania в Норвегии в качестве технического архитектора, специализируясь на тестировании безопасности, облачных сервисах и корпоративной безопасности Windows. Он также является сертифицированным инструктором Microsoft и сертифицированным GIAC тестером на проникновение (GPEN), страстно увлечен безопасностью и любит делиться своими знаниями либо через свой блог, либо путем написания статей, выступлений на конференциях и в социальных сетях. Далее следует отредактированный отрывок из моего обсуждения этой темы с Oddvar о том, как вы можете остановить программы-вымогатели.
Понимание проблемы
Вы не можете остановить программы-вымогатели, если не знаете, что это такое, поэтому я начал с того, что попросил Oddvar объяснить, в чем заключается настоящая проблема, которую мы называем программами-вымогателями. Он ответил следующее: «Многие компании пострадали от программ-вымогателей, и проблема усугубляется. Очень трудно оставаться впереди этой проблемы и действовать на опережение. Компании вкладывают большие деньги в продукты для обеспечения безопасности, но тем не менее программы-вымогатели проникают на клиентские компьютеры. Я видел много разных подходов к тому, как подготовиться к следующей волне программ-вымогателей. Есть несколько простых вещей, которые вы можете легко включить в своей среде, чтобы затруднить заражение компьютеров программами-вымогателями, и я расскажу о них в этой статье. Но чтобы что-то предотвратить, нужно сначала это понять.
«Обычно пользователь заражается либо через электронную почту с вредоносным вложением, либо через ссылки, по которым они нажимают. Вложение обычно либо содержит PDF-файл с эксплойтом, либо, если это документ Office, он может содержать код макроса, который выполняет что-то злое. Когда пользователь открывает вложение, запускается код злоумышленника и запускается программа-вымогатель. Если пользователь получает ссылку и нажимает на нее, его часто отправляют к чему-то, что называется набором эксплойтов. Набор эксплойтов — это инструмент, который киберпреступники используют для автоматической эксплуатации клиентов, посещающих страницу. Типичный набор эксплойтов перечисляет, какая версия Flash, Adobe Reader и Java установлена, и предоставляет компьютеру работающий эксплойт, чтобы запустить программу-вымогатель на машине. Когда программа-вымогатель запускается на машине, она обычно связывается с сервером, контролируемым киберпреступниками, чтобы получить ключ для начала шифрования файлов. Кроме того, программа-вымогатель обычно удаляет моментальные снимки теневых копий томов, а затем перечисляет все ваши локальные и подключенные диски и начинает шифровать содержимое на них. Более новые версии программ-вымогателей также сканируют локальную сеть на наличие общих ресурсов, к которым у пользователя есть доступ для записи, и также начинают их шифровать. После того, как программа-вымогатель завершит шифрование файлов, она позаботится о том, чтобы пользователь получил уведомление о том, как снова расшифровать файлы, заплатив».
Определение средств защиты от программ-вымогателей
Объяснив основы типичной атаки программы-вымогателя, я продолжил, попросив Oddvar рассказать о некоторых простых шагах по смягчению последствий, которые мы можем предпринять как администраторы, чтобы остановить программу-вымогатель на своем пути. «Простым решением является отключение выполнения макросов в Office 2016. Если вашей компании по какой-то причине необходимо запускать макросы из документов Office, вы можете установить в настройках только разрешенные подписанные макросы. Таким образом, компании необходимо подписывать каждый используемый макрос цифровой подписью, но это сделает выполнение макросов более безопасным. В Office 2016 появился новый параметр, который предотвратит выполнение макросов для содержимого, полученного из Интернета. Я объяснил это подробно в моем блоге здесь. Короче говоря, если у вас Office 2016, вам нужно включить этот параметр. Нет причин, по которым вы не должны включать его. Все параметры макросов Office управляются с помощью групповой политики, и последние файлы ADMX/ADM можно скачать здесь».
Я спросил Oddvar, что еще можно сделать, кроме отключения макросов, чтобы защитить свои ПК с Windows от случайного запуска загруженного вымогателя. На ум сразу же пришел AppLocker: «Еще одно отличное решение — использовать белые списки исполняемых файлов с помощью AppLocker. Быстрый способ начать работу с этим — установить компьютер со всем программным обеспечением, которое использует ваша компания, и использовать AppLocker в групповой политике для импорта списка исполняемых файлов с этого компьютера. Таким образом, у вас будет стандартный список разрешенных приложений на вашем предприятии. Если вредоносное ПО запущено на вашем компьютере, оно не сможет этого сделать из-за политики AppLocker. AppLocker разрешает выполнение только разрешенных вами приложений. AppLocker может предотвратить множество вредоносных программ и нежелательных исполняемых файлов, и я настоятельно рекомендую вам реализовать это». Техническую документацию по AppLocker для Windows 10 и Windows Server можно найти здесь.
Office 365 Advanced Threat Protection, ранее называвшийся Exchange Online Advanced Threat Protection, — это еще один инструмент, который, по нашему мнению, необходим для борьбы с программами-вымогателями. Мы оба согласились, что если ваша почта проходит через облако Office 365, вам необходимо реализовать эту функцию планов Microsoft Exchange и Office 365. Оддвар говорит, что с ним «у вас больше шансов предотвратить новые кампании программ-вымогателей до того, как они достигнут ваших клиентских компьютеров». Exploit Guard в Защитнике Windows, встроенный в Windows 10 версии 1709 и более поздних версий, является еще одной важной защитой, которую Microsoft предоставляет клиентам для защиты от программ-вымогателей и других форм вредоносных программ. Эта встроенная функция Windows 10 также заменяет более ранний набор инструментов Enhanced Mitigation Experience Toolkit (EMET), разработанный Microsoft для Windows 7 и доступный для бесплатной загрузки (он по-прежнему доступен для загрузки, хотя к тому времени, когда вы будете читать эту статью, он будет иметь только что дошел до конца жизни). Хотя Оддвар и я согласились с тем, что EMET был полезным инструментом против вредоносных программ, онлайн-мир стал намного более опасным со времен расцвета Windows 7, как объяснила здесь команда Microsoft Security Research & Defense. Хорошее объяснение сравнения Exploit Guard в Защитнике Windows с EMET см. в этой статье в Центре ИТ-специалистов Windows. Излишне говорить, что это делает обновление ваших компьютеров до Windows 10 легкой задачей, если вы хотите оставаться в безопасности в наши дни.
Не забывайте свои резервные копии
Я закончил дискуссию с Оддваром, спросив его, есть ли какие-либо другие передовые методы, которых администраторы должны придерживаться для защиты своих сред от программ-вымогателей. Он сказал: «Самый важный совет, который вы когда-либо получите, — убедитесь, что у вас есть резервные копии ваших данных. Я знаю, что для многих это, вероятно, говорит само за себя, но я видел много клиентов, у которых на самом деле не было достаточно хорошей резервной копии их систем, и когда они заражались программами-вымогателями, у них возникали большие проблемы. Конечно, есть много других важных вещей, которые вам нужно сделать, чтобы предотвратить заражение программами-вымогателями. Такие вещи, как исправление всего программного обеспечения, удаление прав локального администратора, обновление антивирусных сигнатур, контроль доступа пользователей к общим файловым ресурсам и обучение ваших пользователей. Одна из самых сложных задач — выяснить, где у пользователя есть доступ на запись в вашей сети. Помните, что если пользователь может писать в файл, то и программа-вымогатель сможет это сделать, если пользователь заразится. Чтобы автоматизировать эту утомительную работу, я создал сценарий, проверяющий доступ пользователя к сети, которую я назвал «Симулятор программ-вымогателей». Сценарий просканирует вашу локальную сеть на наличие общих ресурсов (как обычных, так и скрытых) и определит, есть ли у пользователя доступ для записи к ней. Затем сценарий выведет это в файл отчета, который вы можете использовать в качестве документации. Сценарий можно найти в моем блоге». Это отличный совет. Резервные копии не остановят программы-вымогатели, но помогут восстановиться после успешной атаки.
Надеемся, что эти советы и инструменты помогут вам обеспечить безопасность информационных активов вашей организации и остановить атаки программ-вымогателей до того, как они начнутся.