Embed Size (px)
Citation preview
Kako sam preživeo napad CryptoLocker-a
Aleksandar Pavlović
Lead system engineer
Informacioni sistem
• Informacioni sistem zasnovan na vSphere platformi, 100% virtuelizovana infrastruktura
• 1500 korisnika
• ~ 200 virtuelnih mašina
• ~ 100 VDI korisnika
• Visok stepen konsolidacije servisa
• D2D backup – retencija 7 dana, jedna kopija backup-a
• Filtriranje mrežnog saobraćaja do L4 nivoa
Struktura napada
• NM4 cryptolocker – prvi put detektovan 26. aprila 2017. godine
• Napadnuti servisi: email server, backup server, infrastrukturni serveri
• Naknada za ključ - 3 bitcoin-a (8000 USD) po VM
• AES-256 enkripcija
• Sekvencijalni proces enkripcije fajlova
Potencijalni uzroci
• Socijalni inženjering - nedovoljna svest zaposlenih o informatičkoj sigurnosti
• Infekcija kroz drugi maliciozni softver
• Nedostatak sistema za filtriranje na mrežnom sloju
• Delegacija prava pristupa
• Neuređen proces primene zakrpa
Email server
• Microsoft Exchange Server 2010 (Windows Server 2008 R2) – jedna instanca
• Broj korisnika ~1500 aktivnih mailbox-ova
• Veličina mailbox baza ~ 2 TB
• Antispam servis u formi agenta za MS Exchange
Backup server
• Veeam Backup and Replication v9 (Windows Server 2008 R2) kaoprimarni alat za backup virtuelne infrastrukture
• Lokalni diskovi kao repozitorijum za čuvanje podataka
• 7 dana retencija – kombinacija forever inc. i reverse inc. tipa backup-a
• Jedna kopija backup-a
Dinamika napada
• (čet. 18 h) počinje proces kriptovanja na zaraženim mašinama
• (čet. 21 h) primećeno da nisu pristigli neki do mejlova o uspešnosti backup-a
• (pet. 8 h) primećeno da postoji problem u radu email servera
• (pet. 9 h) utvrđeno da je problem u funkcionisanju email servera uzrokovan cryptolocker napadom
• (pet. 9.30 h) telefonske konsultacije oko opcija za rešavanje problema – mrežna izolacija i oporavak iz backup-a
Dinamika napada
• (pet. 10 h) uočeno da postoji problem u radu backup servera uzrokovan cryptolocker napadom
• (pet. 10.30 h) telefonske konsultacije oko opcija za rešavanje problema
• (pet. 11 h) mrežna izolacija servera i korisničkih VM i radnih stanicatrenutak u kom je detektovana stvarna razmera napada
započeto preventivno isključenje virtuelne infrastrukture
Dinamika napada
• (pet. 12 h) konsultacije oko aktivnosti za vikend• sastavljanje timova za rešavanje problema
• razmatranje ograničenja i problema koji će nastati tokom subote i nedelje(zakonske obaveze)
• razmatranje opcije za kupovinu ključa
• obezbeđivanje dodatnog hardvera (dodatni storage sistemi)
Dinamika napada
• (sub. 11.00 h) – uvodni sastanak na kom je prezentovan plan aktivnosti i obaveza angažovanih osoba• doneta odluka da se ne kupuje ključ za dekripciju
• instalacija dodatnog hardvera koji će se koristiti tokom procesa oporavka
• izolovanje mrežnih segmenata i formiranje novih
• podizanje infrastrukturnih servisa u izolovanim segmentima
• procena statusa svih serverskih i klijentskih VM• stanje mail servera – u potpunosti kriptovan
• stanje backup servera – u velikoj meri kriptovan
Dinamika napada
• (ned.) – kloniranje zaraženih virtuelnih mašina• pokušaji oporavka servisa korišćenjem kopija virtuelnih diskova backup server
• skeniranje svih servera offline alatima za skeniranje
• instaliranje alata za detekciju cryptolocker-a na zdravim mašinama–CyberReason Ransomware
• preventivni backupi validiranih mašina
Dinamika napada
• (pon. uto.) – pokušaj oporavka mail servera iz backup-a.• utvrđeno da na mail serveru postoje maliciozni fajlovi
• pokretanje procedure za Disaster Recovery Exchange servera• kreiranje servera ekvivalentne konfiguracije
• eksport baza iz oporavljenog mail servera
• import baza na novu instancu mail servera (Database portability)
• Soft recovery mailbox baze
Dinamika napada
• (sre.) dodatne rekonfiguracije nove instance mail server
• arhiviranje kritpovanih VM zbog zakonskih obaveza
• unapređenje sigurnosti serverskih mreža na L4 sloju, definisanje access listi
Preventivne mere
• Definisanje politike sigurnosti na nivou organizacije
• Edukacija zaposlenih na temu informatičke sigurnosti
• Unapređenje sigurnosti email saobraćaja:• Filtriranje email saobraćaja naprednim rešenjima
• Sandboxing mehanizmi za zaštitu email saobraćaja
• Korišćenje SPF, DKIM, DMARC – smanjenje spoofing saobraćaja
Preventivne mere
• Unapređenje sigurnosti filtriranjem korisničkog saobraćaja na višim slojevima:• App i URL filtering
• Unapređenje sigurnosti klijenata:• Definisanjem polisa na nivou antivirusnog rešenja
• Definisanjem GPO na nivou AD (korisničke šifre, mapirani diskovi)
• File serveri?
• Anti ransomware rešenja
Preventivne mere
• Uvođenje centralizovanog backup rešenja na nivou serverske infrastrukture i radnih stanica
• Pravljenje backup kopija i arhivskih kopija -> 3-2-1 pravilo
• Udaljene kopije
• Verifikacija backup-a
Činjenice
• 43% kompanija koje pretrpe katastrofu, nikada ne uspeju da ponovo započnu biznis
• 25% kompanija iz SMB segmenta nema udaljenu kopiju svojih podataka
• 87% kompanija smatra da bi gubitak poslovnih podataka negativno uticao na poslovanje
• 23% kompanija smatra da bi gubitak poslovnih podataka ostavio katastrofalne posledice na poslovanje
Zaključak
• Ukupan downtime 1+3 radna dana
• Jedan dan izgubljenih podataka (email servis)
• Email proxy appliance je keširao pristigle mejlove
• Segmentirana mreža sa stanovišta serverske infrastrukture
• Striktno definisane access liste
• Redizajniran backup sistem
Zaključak
• Sveobuhvatno i kontinuirano unapređenje informatičke sigurnosti
• Uvođenje udaljenih kopija backup-a za najbitnije servise
