Kako sam preživeo napad CryptoLocker-a

Aleksandar Pavlović

Lead system engineer

Informacioni sistem

• Informacioni sistem zasnovan na vSphere platformi, 100% virtuelizovana infrastruktura

• 1500 korisnika

• ~ 200 virtuelnih mašina

• ~ 100 VDI korisnika

• Visok stepen konsolidacije servisa

• D2D backup – retencija 7 dana, jedna kopija backup-a

• Filtriranje mrežnog saobraćaja do L4 nivoa

Struktura napada

• NM4 cryptolocker – prvi put detektovan 26. aprila 2017. godine

• Napadnuti servisi: email server, backup server, infrastrukturni serveri

• Naknada za ključ - 3 bitcoin-a (8000 USD) po VM

• AES-256 enkripcija

• Sekvencijalni proces enkripcije fajlova

Potencijalni uzroci

• Socijalni inženjering - nedovoljna svest zaposlenih o informatičkoj sigurnosti

• Infekcija kroz drugi maliciozni softver

• Nedostatak sistema za filtriranje na mrežnom sloju

• Delegacija prava pristupa

• Neuređen proces primene zakrpa

Email server

• Microsoft Exchange Server 2010 (Windows Server 2008 R2) – jedna instanca

• Broj korisnika ~1500 aktivnih mailbox-ova

• Veličina mailbox baza ~ 2 TB

• Antispam servis u formi agenta za MS Exchange

Backup server

• Veeam Backup and Replication v9 (Windows Server 2008 R2) kaoprimarni alat za backup virtuelne infrastrukture

• Lokalni diskovi kao repozitorijum za čuvanje podataka

• 7 dana retencija – kombinacija forever inc. i reverse inc. tipa backup-a

• Jedna kopija backup-a

Dinamika napada

• (čet. 18 h) - početak kriptovanja email servera

• (pet. 8 h) - primećen problem u radu email servera

• (pet. 10 h) - primećen problem u radu backup servera

• (pet. 11 h) - mrežna izolacija servera i korisničkih VM i radnih stanicatrenutak u kom je detektovana stvarna razmera napada

započeto preventivno isključenje virtuelne infrastrukture

Dinamika napada

• (sub.) – uvodni sastanak na kom je prezentovan plan aktivnosti i obaveza angažovanih osoba

• procena statusa svih serverskih i klijentskih VM

• (ned.) – kloniranje zaraženih virtuelnih mašina

• (pon. uto.) – pokušaj oporavka mail servera iz backup-a.• utvrđeno da na mail serveru postoje maliciozni fajlovi

• pokretanje procedure za Disaster Recovery Exchange servera

Preventivne mere

• Definisanje politike sigurnosti na nivou organizacije

• Edukacija zaposlenih na temu informatičke sigurnosti

• Unapređenje sigurnosti email saobraćaja:• Filtriranje email saobraćaja naprednim rešenjima

• Sandboxing mehanizmi za zaštitu email saobraćaja

• Korišćenje SPF, DKIM, DMARC – smanjenje spoofing saobraćaja

Preventivne mere

• Unapređenje sigurnosti filtriranjem korisničkog saobraćaja na višim slojevima:• App i URL filtering

• Unapređenje sigurnosti klijenata:• Definisanjem polisa na nivou antivirusnog rešenja

• Definisanjem GPO na nivou AD (korisničke šifre, mapirani diskovi)

• File serveri?

• Anti ransomware rešenja

Preventivne mere

• Uvođenje centralizovanog backup rešenja na nivou serverske infrastrukture i radnih stanica

• Pravljenje backup kopija i arhivskih kopija -> 3-2-1 pravilo

• Udaljene kopije

• Verifikacija backup-a

Činjenice

• 43% kompanija koje pretrpe katastrofu, nikada ne uspeju da ponovo započnu biznis

• 25% kompanija iz SMB segmenta nema udaljenu kopiju svojih podataka

• 87% kompanija smatra da bi gubitak poslovnih podataka negativno uticao na poslovanje

• 23% kompanija smatra da bi gubitak poslovnih podataka ostavio katastrofalne posledice na poslovanje

Zaključak

• Ukupan downtime 1+3 radna dana

• Jedan dan izgubljenih podataka (email servis)

• Email proxy appliance je keširao pristigle mejlove

• Segmentirana mreža sa stanovišta serverske infrastrukture

• Striktno definisane access liste

• Redizajniran backup sistem

Zaključak

• Sveobuhvatno i kontinuirano unapređenje informatičke sigurnosti

• Uvođenje udaljenih kopija backup-a za najbitnije servise