Объяснение стратегий защиты от Cryptolocker

Опубликовано: 6 Апреля, 2023

Введение

CryptoLocker — известная многим программа-вымогатель, и она ни в коем случае не нова, однако эта угроза существует в течение длительного времени. Уместно, чтобы мы знали, что это такое, как оно атакует и действует, и как его избежать или предотвратить.

Распространение программ-вымогателей представляет собой реальную угрозу, и люди со злым умыслом продолжают использовать все старые, а также дополнительные новые подходы для получения доступа и вовлечения пользователей и нажатия на трояны, что приводит к заражению. Очень важно восполнить этот пробел в уязвимости, тем более что мы обнаружили, что большинство стратегий по смягчению последствий еще не реализованы в большинстве организаций.

Важное замечание!
 Многие из моих клиентов, к сожалению, не смогли избежать Cryptolocker и были заражены этим трояном, а некоторые потеряли данные. Это стало тревожным звонком для многих, поскольку они осознали, что не все крупные поставщики способны адекватно защититься от этой угрозы с помощью всего лишь одной формы смягчения последствий, которая является сложной. С другой стороны, мы обслуживаем многих клиентов, которые эффективно избежали нападения и до настоящего времени не были заражены или затронуты этой неприятной волной программ-вымогателей, поэтому это можно сделать.

Объяснение стратегий смягчения последствий

Ниже приведены некоторые стратегии, которые можно использовать для смягчения последствий Cryptolocker. Снова и снова было замечено, что сочетание нескольких форм смягчения последствий является лучшим подходом, чем использование какой-либо отдельной стратегии. Если один подход терпит неудачу, другой может иметь больший успех.

Это то, что проповедуется снова и снова, однако удивительно, как часто этот подход к безопасности игнорируется. Некоторые организации считают, что комбинации брандмауэра и антивируса будет не только достаточно, но и более чем достаточно для защиты их среды, пока не появится что-то столь разрушительное, как Cryptolocker. Уровни защиты не являются новой стратегией, но необходимо сделать акцент на ее важности, она уже должна быть частью вашей глубокоэшелонированной защиты, но если нет, то она определенно должна иметь приоритет.

Благодаря правильному управлению сетевым трафиком вы сможете лучше контролировать трафик в вашей сети. Плоские сети особенно уязвимы. Важно, чтобы сети были правильно зонированы и чтобы пользователи и устройства могли видеть и взаимодействовать только с областями сети, с которыми они должны взаимодействовать, и только с соответствующим требуемым уровнем привилегий.

Всегда используйте брандмауэры прикладного уровня. В настоящее время большинство брандмауэров имеют возможность прокси-сервера, а также обратного прокси-сервера, и поэтому все службы, по возможности, должны публиковаться через обратные прокси-серверы, чтобы избежать прямого доступа к объектам. Это не только ограничивает ущерб, но и предотвращает прямой доступ к файлам и средам в случае атаки.

Брандмауэры также должны использоваться и включаться на конечной точке, чтобы гарантировать, что трафик, исходящий от хостов и от некорпоративного программного обеспечения, заблокирован.

Настоятельно рекомендуется использовать IPS/IDS в сети, особенно более продвинутые варианты. Это поможет в предотвращении, поскольку таким образом можно эффективно обнаруживать трафик, проходящий между приложениями и интерфейсами, которые создают необычный и основанный на аномалиях трафик. Система HIPS на хостах должна обнаруживать и предотвращать любой нестандартный трафик.

Приложения удаленного доступа, заблокированные строгой политикой, помогают смягчить этот тип угроз, поскольку для заражения сетевых машин необходимо запустить программу-вымогатель. Если просмотр заблокирован через ограниченный интерфейс, пользователи приложения, как правило, просматривают на своих компьютерах, а не через корпоративное соединение. В конечном счете, такое поведение ограничивает воздействие.

Некоторые ошибочно не считают эту область приоритетной и часто игнорируют ее, однако исправление ваших приложений и вашей среды очень важно, более того, это защищает вас. Некоторые криптопрограммы используют непропатченные системы, и через эти векторы заражение может быть чрезвычайно серьезным.

Хорошие прокси способны блокировать трафик, исходящий от приложений, не входящих в список разрешенных или доверенных. Даже внутренний трафик может быть прокси на прикладном уровне и проверен.

Настоятельно рекомендуется использовать белый список приложений для создания белого списка корпоративных приложений, которым разрешено работать на компьютерах и в сети. Эта стратегия является сильной и действительно работает, и чаще всего ее очень трудно обойти. Некоторые технологии создания белых списков хэшируют разрешенные приложения, и на машине будет работать только список разрешенных хэшированных приложений. На сегодняшний день я не знаю простого способа обойти эту стратегию смягчения последствий, и единственные клиенты, которые, как я видел, пережили последний натиск криптопрограмм, — это те, которые используют белые списки в качестве стратегии смягчения последствий.

Убедитесь, что ваши разрешения установлены надлежащим образом и что для доступа требуется аутентификация, особенно к критически важным системам. Всегда рекомендуется использовать двухфакторную аутентификацию для получения доступа к конфиденциальным системам, и шифровальное ПО не может легко обойти эти элементы управления.

Всегда применяйте и постоянно пересматривайте правило наименьших привилегий. Часто мы обнаруживаем, что у клиентов есть политика разрешения всех, которая разрешает всем пользователям получать доступ к сетевым файлам и ресурсам. Это может привести к случайному удалению или шифрованию/вредоносному ПО, которое откажет вам в доступе к файлам.

Уместно, чтобы файлы были тщательно сгруппированы и чтобы применялся правильный уровень доступа, применяя правило наименьших привилегий. Пользователи всегда должны иметь минимальное количество привилегий, необходимых для выполнения их работы.

Одним из наиболее важных аспектов безопасности, особенно при работе с программным обеспечением типа криптоблокировщика, является регулярное информирование ваших пользователей о том, чтобы они не нажимали на какое-либо странное программное обеспечение или не посещали потенциально опасные веб-сайты.

Вы будете удивлены, узнав, что многие пользователи даже не подозревают о потенциальной угрозе и способах заражения. По этой причине рекомендуется периодически, раз в квартал, проводить мероприятие по повышению осведомленности о кибербезопасности. Пусть даже на полчаса, чтобы прикрыть последние векторы угроз. Это поможет пользователям быть в курсе последних атак и угроз.

В наши дни в некоторых организациях до сих пор нет базовой резервной копии, которую можно было бы правильно восстановить на определенный момент времени. Более того, удаленные данные должны иметь возможность восстановления на серверах и настольных компьютерах с помощью таких технологий резервного копирования, как VSS (теневое копирование томов).

Можно использовать GPO для настройки блокировки исполняемых файлов и пакетов полезной нагрузки.

Чтобы остановить выполнение двоичных файлов, вы можете применить политику к GPO, чтобы заблокировать запуск следующего:

%appdata%*.exe

%appdata%**.exe

%localappdata%*.exe

%localappdata%**.exe

Также можно остановить выполнение, создав политику ограниченного использования программ (SRP).

Более подробную информацию можно найти здесь: https://www.fishnetsecurity.com/6labs/blog/cryptolocker-prevention-and-remediation-techniques.

Вывод

В наши дни лучшая защита — это многоуровневый подход и всесторонняя безопасность. Мы больше не можем полагаться на унаследованные стратегии смягчения последствий ушедшей эпохи. Наша служба безопасности была свидетелем того, как многие клиенты установили только базовые компоненты и, к сожалению, заразились. Это приводит к сложной битве за сдерживание программ-шифровальщиков и программ-вымогателей.

Результатом является потеря дохода, отказ в обслуживании и восстановление из резервной копии, а в некоторых случаях некоторые организации фактически платят выкуп, поскольку резервная копия была неадекватной, и было жизненно важно восстановить данные.

Вы всегда обнаружите, что плохие парни используют уловки, чтобы заставить ваших пользователей выполнять свои действия, в этом нет ничего нового, и вам нужно держать пользователей в курсе. Информированные пользователи — ваш первый уровень защиты в вашем арсенале.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023