Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Како сам преживео напад CryptoLockera

138 views

Published on

Презентација даје хронолошки приказ типичног ransomware напада на важне информационе сервисе, догађаје који су претходили нападу, као и мере које су предузете како би се санирале последице напада. Истакнути су уочени пропусти у организацији и мерама сигурности и дате су генералне препоруке у циљу унапређења сигурности важних информационих система.

Published in: Internet
  • Be the first to comment

  • Be the first to like this

Како сам преживео напад CryptoLockera

  1. 1. Kako sam preživeo napad CryptoLocker-a Aleksandar Pavlović Lead system engineer
  2. 2. Informacioni sistem • Informacioni sistem zasnovan na vSphere platformi, 100% virtuelizovana infrastruktura • 1500 korisnika • ~ 200 virtuelnih mašina • ~ 100 VDI korisnika • Visok stepen konsolidacije servisa • D2D backup – retencija 7 dana, jedna kopija backup-a • Filtriranje mrežnog saobraćaja do L4 nivoa
  3. 3. Struktura napada • NM4 cryptolocker – prvi put detektovan 26. aprila 2017. godine • Napadnuti servisi: email server, backup server, infrastrukturni serveri • Naknada za ključ - 3 bitcoin-a (8000 USD) po VM • AES-256 enkripcija • Sekvencijalni proces enkripcije fajlova
  4. 4. Potencijalni uzroci • Socijalni inženjering - nedovoljna svest zaposlenih o informatičkoj sigurnosti • Infekcija kroz drugi maliciozni softver • Nedostatak sistema za filtriranje na mrežnom sloju • Delegacija prava pristupa • Neuređen proces primene zakrpa
  5. 5. Email server • Microsoft Exchange Server 2010 (Windows Server 2008 R2) – jedna instanca • Broj korisnika ~1500 aktivnih mailbox-ova • Veličina mailbox baza ~ 2 TB • Antispam servis u formi agenta za MS Exchange
  6. 6. Backup server • Veeam Backup and Replication v9 (Windows Server 2008 R2) kao primarni alat za backup virtuelne infrastrukture • Lokalni diskovi kao repozitorijum za čuvanje podataka • 7 dana retencija – kombinacija forever inc. i reverse inc. tipa backup-a • Jedna kopija backup-a
  7. 7. Dinamika napada • (čet. 18 h) - početak kriptovanja email servera • (pet. 8 h) - primećen problem u radu email servera • (pet. 10 h) - primećen problem u radu backup servera • (pet. 11 h) - mrežna izolacija servera i korisničkih VM i radnih stanica trenutak u kom je detektovana stvarna razmera napada započeto preventivno isključenje virtuelne infrastrukture
  8. 8. Dinamika napada • (sub.) – uvodni sastanak na kom je prezentovan plan aktivnosti i obaveza angažovanih osoba • procena statusa svih serverskih i klijentskih VM • (ned.) – kloniranje zaraženih virtuelnih mašina • (pon. uto.) – pokušaj oporavka mail servera iz backup-a. • utvrđeno da na mail serveru postoje maliciozni fajlovi • pokretanje procedure za Disaster Recovery Exchange servera
  9. 9. Preventivne mere • Definisanje politike sigurnosti na nivou organizacije • Edukacija zaposlenih na temu informatičke sigurnosti • Unapređenje sigurnosti email saobraćaja: • Filtriranje email saobraćaja naprednim rešenjima • Sandboxing mehanizmi za zaštitu email saobraćaja • Korišćenje SPF, DKIM, DMARC – smanjenje spoofing saobraćaja
  10. 10. Preventivne mere • Unapređenje sigurnosti filtriranjem korisničkog saobraćaja na višim slojevima: • App i URL filtering • Unapređenje sigurnosti klijenata: • Definisanjem polisa na nivou antivirusnog rešenja • Definisanjem GPO na nivou AD (korisničke šifre, mapirani diskovi) • File serveri? • Anti ransomware rešenja
  11. 11. Preventivne mere • Uvođenje centralizovanog backup rešenja na nivou serverske infrastrukture i radnih stanica • Pravljenje backup kopija i arhivskih kopija -> 3-2-1 pravilo • Udaljene kopije • Verifikacija backup-a
  12. 12. Činjenice • 43% kompanija koje pretrpe katastrofu, nikada ne uspeju da ponovo započnu biznis • 25% kompanija iz SMB segmenta nema udaljenu kopiju svojih podataka • 87% kompanija smatra da bi gubitak poslovnih podataka negativno uticao na poslovanje • 23% kompanija smatra da bi gubitak poslovnih podataka ostavio katastrofalne posledice na poslovanje
  13. 13. Zaključak • Ukupan downtime 1+3 radna dana • Jedan dan izgubljenih podataka (email servis) • Email proxy appliance je keširao pristigle mejlove • Segmentirana mreža sa stanovišta serverske infrastrukture • Striktno definisane access liste • Redizajniran backup sistem
  14. 14. Zaključak • Sveobuhvatno i kontinuirano unapređenje informatičke sigurnosti • Uvođenje udaljenih kopija backup-a za najbitnije servise

×