Erfarenheter från en Cryptolocker-attack

över 2 år sedan

Att skydda sig mot nya typer av hot är inte enkelt, men långt ifrån omöjligt. Det handlar om att fysiskt sätta upp en stabil säkerhetsplattform men samtidigt, och minst lika viktigt, om att utbilda och informera användare om vilka säkerhetsrisker som är förknippade med olika internet- och mailvanor. I den här bloggposten delar CGit med sig av sina erfarenheter kring "Cryptolocker" som förhoppningsvis kommer att ge er lite matnyttig information.

Cryptolocker är en trojan, eller närmare bestämt en Ransomware-trojan . Tar den sig in i din dator är ett av målen att kryptera så många av dina filer som möjligt och hålla dom gisslan tills du betalar för att de skall dekrypteras. Ett annat mål är att sprida sig vidare i ditt nät, till andra datorer och helst servrar.

Att skydda sig mot Cryptolocker inom ett företagsnät är inte omöjligt. Men det är betydligt svårare att skydda sig utanför ett skyddat nät och det ställer stora krav på att man utbildar och informerar användarna om vilka säkerhetsrisker som är förknippade med att, exempelvis, klicka på bifogade filer i mail. Även om mailet är, eller ser ut att vara, från en känd avsändare bör man fundera både en och två gånger om mailet är legitimt. Det kan, vid en första anblick, se ut som att det är ett brev från posten som säger att du har ett paket att hämta. Men har du beställt något? Brukar det komma mail från posten på det sättet? I slutändan är det vi som användare som är den absolut svagaste länken i en säkerhetslösning.

För ett par veckor sedan råkade en kund till oss ut för Cryptolocker. Vi lyckades begränsa skadan till ett tiotal datorer och cirka 30 minuters nertid på en tjänst. Men det hade kunnat gå betydligt värre och vi har lärt oss ännu mer om hur det är möjligt att begränsa skadan ytterligare.

Första tecknet på att något inte var som det skulle mötte våra supporttekniker i form av ett enkelt samtal med ”jag kommer inte åt mina filer”. Datorn, som inte befann sig i Sverige utan på ett lokalkontor utomlands, undersöktes på distans av våra tekniker som omedelbart såg att kunden drabbats av Cryptolocker. Datorn togs omedelbart ut ur nätet och ominstallerades. För sent. 

Trojanen hade redan hunnit sprida sig och fler samtal kom in. Vi insåg nu att problemet riskerade att växa okontrollerat. Samtidigt som datorerna som anmäldes av användarna togs ur nätet och blåstes om skapade vi ett script som vi genom vår driftstjänst sattes att söka igenom hela nätet efter krypterade filer. Alla klienter, alla servrar. Först en gång och sedan en gång varje timma. Vi analyserade samtidigt brandväggens loggar och kunde där se att ”command and control”-trafik skickades till ett flertal IP-adresser som vi kunde blockera. 

Därefter togs infekterade servrar ner och ominstallerades. Tack vare Veeam och deras High-Speed Recovery var berörda servers uppe inom minuter istället för timmar och utan någon dataförlust alls.

Hela incidenten löstes snabbt och utan större förluster av kritiska data eller stora nertider. Men detta var en viktig vändpunkt för vår kund som tidigare resonerat som så många andra ”det händer säkert andra, men inte oss”. Den potentiella skadan, som undveks, hade kunnat resultera i att över 300 anställda i flera olika bolag inte hade kunnat arbeta alls under så lång tid som ett par dagar. Dessutom tillkommer eventuella skador som varumärket hade tagit av att man inte kunnat ge service till kunder. Något vi tagit upp i en tidigare artikel.

Ett åtgärdsprogram för att stärka kundens säkerhet ytterligare har nu påbörjats. Förutom att vi själva har fått möjligheten att på djupet analysera händelseförloppet och förfinat vår automatiserade driftstjänst så att den är ännu bättre på att upptäcka beteenden som kan tyda på infektion av Malware och utföra de automatiska åtgärder och larm som förhindrar vidare spridning. Så har kunden, tillsammans med våra säkerhetsexperter, påbörjat ett internt informationsarbete för att göra användarna än mer medvetna om risker.

Inom ett par veckor kommer även en ny brandväggslösning från Palo Alto Networks att vara på plats vilket ytterligare kommer reducera attackytan hos kunden och öka visibiliteten i kundens nät. 

Hur skyddar man sig bäst?

Tyvärr finns det ingen magisk universallösning, men en uppstramad brandväggskonfiguration minimerar risken att bli infekterad. Främst handlar det om att minska attackytan så mycket som möjligt för att minska infektionsrisken. Nedan följer ett antal tips på hur ett bra grundskydd mot Ransomware/Malware kan se ut i en Palo Alto-lösning. Observera att detta inte är en konfiguration som gäller för all framtid. Hoten förändras hela tiden och detsamma gäller metoderna för att skydda sig. Vår rekommendation är att följa Palo Alto’s ”Threat Research Team” Unit 42’s blogg som ni hittar här: http://researchcenter.paloaltonetworks.com/unit42/ samt Palo Alto’s ”Research Center” blogg som ni hittar här: http://researchcenter.paloaltonetworks.com/. Där publiceras nya upptäckter hela tiden. Där kan man också få förslag på specifika konfigurationer.

File-block: Det finns ett antal Ransomware familjer som i sin tur skiljer sig i tillvägagångssätt men normalt börjar det med ett phishing email som lurar användaren att ladda ner en infekterad fil. Dessa filer är oftast maskerade .PE filer (.EXE fil maskerad som .PDF etc.). Det är sällan motiverat att en “vanlig” anställt ska få ladda ner .PE filer från internet så en File-block policy bör skapas som blockerar just detta. Om detta inte är möjligt så skapa iallafall en policy som blockerar .PE nedladdningar från URL-kategorin “unknown”.

En ytterligare sak är lösenords skyddade .zip och .rar filer. Dessa kommer att detekteras som “encrypted”. Vi kan givetvis inte scanna dessa filer men vi kan som sagt detektera dom så encrypted-zip och encrypted-rar kan läggas till i ovan policy.

I och med PANOS 7 kan Palo Alto packa upp 4 kompressionsnivåer. Det finns sällan legitim anledning att packa en fil ens så många gånger. Detta är ett vanligt sätt att försöka kringgå skydd på så Palo Alto har nu en filtyp som heter multi-level-encoding som kommer att detektera om en fil har packats fler än 4 ggr. Även denna filtyp kan läggas med i ovan policy.

SSL-Dekryptering: SSL-dekrypt bör alltid vara påslaget. Om inte så gör det så fort som möjligt. Återigen ska trafik i URL-kategorin “unknown” dekrypteras.

IPS: En “strict” IPS profil som tar hand om ”medium” till ”critical severities” bör användas för att stoppa exploit-kits m.m.

Anti-Spyware: Även här bör en “strict” profil användas. Om en klient ändå blir infekterad så kommer ett nyckelpar att genereras som sedan används för att kryptera hårddisken. En krypteringsnyckel kommer att skickas ut via ett c2 anrop. Kan man hindra detta från att ske så kan inte heller hårddisken krypteras.

Global-Protect: Med en “always on” konfiguration av Global Protect så ser man till att användarnas trafik alltid inspekteras och tvättas när dom befinner sig utanför kontoret. Då minimerar man risken att användarna blir infekterade när dom är utanför brandväggens skydd.

WildFire: WildFire spelar en viktig roll i att upptäcka nya varianter/familjer av hot och genererar automatiskt skydd i form av uppdateringar till Antispyware, Antivirus och URL-filter.

TRAPS: Traps ger ytterligare en nivå av skydd mot 0-day exploits eftersom den känner till alla exploateringstekniker som finns. Dessutom är TRAPS integrerat mot WildFire vilket kör att malware som smugit sig in på klienten kommer att upptäckas och stoppas så fort dom exekveras.

Om det inte redan är gjort så rekommenderar vi starkt att man slår på DNS-sinkholing (https://live.paloaltonetworks.com/t5/Articles/How-to-Configure-DNS-Sinkhole/ta-p/58891). Det tar 2 min och ger otroligt mycket. Dra sedan en daglig rapport på alla IP’s som gått mot sinkhole adressen. Alla klienter som dyker upp i denna rapport är infekterade och bör blåsas så fort som möjligt.

Dessutom har vi i Panorama from PANOS 7 “correlation engine”, vilket är ett analys-verktyg som samkör WildFire loggar med lokala brandväggs loggar. Om ett antal relaterade threat events hittas så indikerar detta en attack. Ingen konfiguration krävs och funktionen är på default.

Läs mer här: https://www.paloaltonetworks.com/documentation/70/pan-os/newfeaturesguide/management-features/automated-correlation-engine.html

Ytterligare information om liknande incidenter och tips:

http://www.svd.se/virusattack-mot-landstinget--hundratals-anstallda-hemskickade

http://www.computerworld.com/article/2485214/microsoft-windows/cryptolocker-how-to-avoid-getting-infected-and-what-to-do-if-you-are.html

OBS! Vi rekommenderar att ni tar kontakt med oss om ni känner er det minsta osäkra kring rekommendationerna kring konfigurering av brandväggarna i denna artikel. Felaktiga inställningar eller regeländringar utan konsekvensanalys kan få allvarliga följder.

 



Det allra senaste från oss

Här finns mer att läsa om