Како сам преживео напад cryptolockera
TRANSCRIPT
Kako sam preživeo napad CryptoLocker-a
Aleksandar Pavlović
Lead system engineer
Informacioni sistem
• Informacioni sistem zasnovan na vSphere platformi, 100% virtuelizovana infrastruktura
• 1500 korisnika
• ~ 200 virtuelnih mašina
• ~ 100 VDI korisnika
• Visok stepen konsolidacije servisa
• D2D backup – retencija 7 dana, jedna kopija backup-a
• Filtriranje mrežnog saobraćaja do L4 nivoa
Struktura napada
• NM4 cryptolocker – prvi put detektovan 26. aprila 2017. godine
• Napadnuti servisi: email server, backup server, infrastrukturni serveri
• Naknada za ključ - 3 bitcoin-a (8000 USD) po VM
• AES-256 enkripcija
• Sekvencijalni proces enkripcije fajlova
Potencijalni uzroci
• Socijalni inženjering - nedovoljna svest zaposlenih o informatičkoj sigurnosti
• Infekcija kroz drugi maliciozni softver
• Nedostatak sistema za filtriranje na mrežnom sloju
• Delegacija prava pristupa
• Neuređen proces primene zakrpa
Email server
• Microsoft Exchange Server 2010 (Windows Server 2008 R2) – jedna instanca
• Broj korisnika ~1500 aktivnih mailbox-ova
• Veličina mailbox baza ~ 2 TB
• Antispam servis u formi agenta za MS Exchange
Backup server
• Veeam Backup and Replication v9 (Windows Server 2008 R2) kaoprimarni alat za backup virtuelne infrastrukture
• Lokalni diskovi kao repozitorijum za čuvanje podataka
• 7 dana retencija – kombinacija forever inc. i reverse inc. tipa backup-a
• Jedna kopija backup-a
Dinamika napada
• (čet. 18 h) - početak kriptovanja email servera
• (pet. 8 h) - primećen problem u radu email servera
• (pet. 10 h) - primećen problem u radu backup servera
• (pet. 11 h) - mrežna izolacija servera i korisničkih VM i radnih stanicatrenutak u kom je detektovana stvarna razmera napada
započeto preventivno isključenje virtuelne infrastrukture
Dinamika napada
• (sub.) – uvodni sastanak na kom je prezentovan plan aktivnosti i obaveza angažovanih osoba
• procena statusa svih serverskih i klijentskih VM
• (ned.) – kloniranje zaraženih virtuelnih mašina
• (pon. uto.) – pokušaj oporavka mail servera iz backup-a.• utvrđeno da na mail serveru postoje maliciozni fajlovi
• pokretanje procedure za Disaster Recovery Exchange servera
Preventivne mere
• Definisanje politike sigurnosti na nivou organizacije
• Edukacija zaposlenih na temu informatičke sigurnosti
• Unapređenje sigurnosti email saobraćaja:• Filtriranje email saobraćaja naprednim rešenjima
• Sandboxing mehanizmi za zaštitu email saobraćaja
• Korišćenje SPF, DKIM, DMARC – smanjenje spoofing saobraćaja
Preventivne mere
• Unapređenje sigurnosti filtriranjem korisničkog saobraćaja na višim slojevima:• App i URL filtering
• Unapređenje sigurnosti klijenata:• Definisanjem polisa na nivou antivirusnog rešenja
• Definisanjem GPO na nivou AD (korisničke šifre, mapirani diskovi)
• File serveri?
• Anti ransomware rešenja
Preventivne mere
• Uvođenje centralizovanog backup rešenja na nivou serverske infrastrukture i radnih stanica
• Pravljenje backup kopija i arhivskih kopija -> 3-2-1 pravilo
• Udaljene kopije
• Verifikacija backup-a
Činjenice
• 43% kompanija koje pretrpe katastrofu, nikada ne uspeju da ponovo započnu biznis
• 25% kompanija iz SMB segmenta nema udaljenu kopiju svojih podataka
• 87% kompanija smatra da bi gubitak poslovnih podataka negativno uticao na poslovanje
• 23% kompanija smatra da bi gubitak poslovnih podataka ostavio katastrofalne posledice na poslovanje
Zaključak
• Ukupan downtime 1+3 radna dana
• Jedan dan izgubljenih podataka (email servis)
• Email proxy appliance je keširao pristigle mejlove
• Segmentirana mreža sa stanovišta serverske infrastrukture
• Striktno definisane access liste
• Redizajniran backup sistem
Zaključak
• Sveobuhvatno i kontinuirano unapređenje informatičke sigurnosti
• Uvođenje udaljenih kopija backup-a za najbitnije servise