cTIC2009 - Segurança em Aplicações Web-based e RIA
Prevenção ransomware guia
1. Prevenir o
“ransomware”
Guia OWASP para prevenção de “ransomware”
Carlos Serrão
carlos.serrao@iscte.pt
@pontocom
ISCTE - Instituto Universitário de Lisboa
7.Junho.2017
3. A evolução do “ransomware” ao longo dos últimos anos (fonte: F-Secure) 3
O “ransomware” não pára de crescer…
4. Categorias de Mitigações
4
Defesa do
Perímetro
Defesa da
Rede
Defesa no
Terminal
Defesa no
Servidor
(NAS)
SIEM (Sec.
Information and
Event Management)
e Gestão de Logs
Backup e
Recuperação
Treino e
consciencia-
lização
Resposta a
incidentes
5. Categorias de Mitigações
5
Defesa do
Perímetro
Defesa da
Rede Defesa no Terminal
Defesa no
Servidor
(NAS)
SIEM e Gestão de
Logs
Backup e
Recuperação
Treino e
consciencia-
lização
Resposta a
incidentes
Primeira linha de defesa para
travar ameaças antes que as
mesmas tenham impacto em
sistemas ou utilizadores
▰Firewall
▰Servidor Proxy/Filtro Web
▰Filtro SPAM
6. Defesa do Perímetro
▰Garantir que a firewall está devidamente configurada,
não apenas para tráfego in-bound, mas igualmente out-
bound
▻Garantir sempre o modelo do “menor previlégio”
▻Sistemas que não necessitem de acesso exterior, devem ser impedidos
de efectuar tal acesso
▻No caso de compromisso por “ransomware” limita o malware de “ligar para casa”
▻Logging na firewall deve estar activo para verificar tentativas
sucessivas de ligações a IPs maliciosos conhecidos - indicador da
existência de problemas.
6
Firewall
7. Defesa do Perímetro
▰Os sistemas ligados à Internet devem ser configurados para
usarem proxy servers, que permite que o conteúdo Web seja
filtrado
▻Com base em whitelists de sites permitidos
▻Bloqueio de acesso a sites maliciosos ou potencialmente perigosos
▰A nível organizacional, apesar de serem impopulares, as
seguintes medidas podem ser implementadas:
▻Bloqueio de acesso a email pessoal, sites de partilha de ficheiros, redes sociais,
mensagens, redes de publicidades, entre outros.
▻Proibir o download de ficheiros executáveis
▻Nos proxies que permitam, usar em combinação com um AV para analisar o
conteúdo Web de entrada.
7
Servidor Proxy/Filtro Web
Cortar por
completo os
sistemas da
Internet apesar de
parecer uma ótima
ideia por vezes não
é possível
8. Defesa do Perímetro
▰Filtrar o email antes do mesmo chegar aos
servidores da empresa e aos utilizadores finais -
mitigando links maliciosos, anexos maliciosos,
entre outros.
▻Bloquear mensagens com anexos executáveis (.exe, .vbs,
etc.)
▰Garantir que os filtros de SPAM estão
actualizados
8
Filtro SPAM
9. Categorias de Mitigações
9
Defesa da
Rede
Defesa no Terminal
Defesa no
Servidor
(NAS)
SIEM e Gestão de
Logs
Backup e
Recuperação
Treino e
consciencia-
lização
Resposta a
incidentes
Defesa da
Perímetro
▰DNS Sinkhole
▰Segmentação da Rede
▰Network Intrusion Detection System (NIDS)
Defesas que podem ser
usadas na LAN para ajudar a
detectar e mitigar malware.
10. Defesa da Rede
▰A segmentação de redes através de VLANs e das ACLs
que controlam o tráfego entre VLANs não previne
ataques de malware/ransomware
▰No entanto é essencial para limitar o impacto do
malware/ransonware em caso de ataque
▰A segmentação de redes pode ajudar a conter uma
infecção por malware/ransomware, garantindo que a
mesma fica isolada num determinado segmento da rede
10
Segmentação da Rede
11. Defesa da Rede
▰Uma NIDS não é muito eficaz na deteção e prevenção de
malware/ransomware, no entanto podem ser úteis para alertar
para potenciais problemas uma vez que podem detectar
tentativas de comunicação feitas para endereços IP maliciosos
(que podem ser realizadas pelo malware/ransomware)
▻Quanto mais cedo os responsáveis de IT/InfoSec forem alertados, mais rápido
podem agir para conter e corrigir os problemas.
▰Pode ainda ser útil para identificar numa organização que
sistema afectado está a tentar infectar os restantes em seu
redor
11
Network Intrusion Detection System (NIDS)
12. Categorias de Mitigações
12
Defesa no
Terminal
Defesa no
Servidor
(NAS)
SIEM e Gestão de
Logs
Backup e
Recuperação
Treino e
consciencia-
lização
Resposta a
incidentes
Defesa da
Perímetro
▰Corrigido (patched) e actualizado
▰Não usar/instalar aplicações ou
serviços desnecessários
▰Sem direitos administrativos
▰Anti-vírus (AV)
▰Host Based Intrusion Detection/
Prevention Systems (HIDS/HIPS)
▰Filtros Web
Proteções que existem no
computador pessoal ou outros
sistemas com os quais os
utilizadores interagem
Defesa da
Rede
▰Filtros SPAM
▰Desactivar Macros
▰Políticas de restrição de software
▰Ficheiro Hosts
▰Desactivar acesso via USB
▰Infraestrutura de Desktop Virtual
▰“Sandboxing” de aplicações
13. Defesa no Terminal
▰Malware/ransomware usam exploits para conseguir
obter acesso a um sistema
▰Se os sistemas estiverem devidamente corrigidos
(patched) e actualizados minimizam-se as formas como
o mesmo pode ser explorado
▻Em relação ao ransomware: cliente de email, browser, Flash (se é que
precisa), devidamente actualizados
▰Organizações devem ter processos automatizados para
gestão de correções/patches
13
Corrigido (patched) e actualizado
14. Defesa no Terminal
▰Se uma aplicação não existir num sistema, esta
não pode ser explorada
▰Garantir que as configurações do terminal
também seguem um modelo de “menor privilégio”
é uma forma de reduzir a superfície de ataque
▰Recomendável não executar o Java e o Flash em
computadores que não necessitem dos mesmos.
14
Não usar/instalar aplicações ou serviços
desnecessários
15. Defesa no Terminal
▰Direitos administrativos devem ser usados
apenas para tarefas administrativas
▻Utilização “normal” não deve ser realizada de uma conta com
privilégios administrativos
▰Previne muitos tipos de malware/ransomware
de ganharem acesso porque a conta
simplesmente não tem permissões para instalar
o software.
15
Sem direitos administrativos
16. Defesa no Terminal
▰AV deve ser executado em todos os terminais e configurado
para detectar acesso a ficheiros e outros recursos
▰AV deve estar sempre actualizado e configurado para alertar
sobre possíveis infeções
▻Notar que o AV é baseado em assinaturas e pode apenas detectar ameaças
conhecidas
▻AV pode não oferecer nenhuma proteção contra novos vírus ou novas
variantes de um malware conhecido
▰Idealmente deve ser usado um fornecedor de AV diferente
do usado para analisar vírus no perímetro da rede.
16
Anti-vírus (AV)
17. Defesa no Terminal
▰Muito software para proteção do terminal
oferecem formas adicionais de filtrar conteúdo
Web malicioso, e como tal é aconselhável usar os
mesmos
▻Podem oferecer proteção adicional ao filtro Web de perímetro
em especial se o fornecedor for diferente
▻Aumenta a possibilidade de bloqueio de conteúdo Web
malicioso antes do sistema ou utilizador poder aceder ao
mesmo.
17
Filtros Web
18. Defesa no Terminal
▰Tal como na filtragem Web, o filtro de SPAM é
igualmente útil no terminal do utilizador.
▻Aumenta a possibilidade de deteção de SPAM e diminui a
possibilidade de um email malicioso poder passar pela defesa
de perímetro e de terminal sem ser detectado.
▻É crítico porque existem algumas variantes de malware/
ransomware (Locky, p.e.) que se espalham em anexos do email.
18
Filtros SPAM
19. Defesa no Terminal
▰Macros e outros tipos de conteúdos
executáveis podem ser embebidos em
documentos de Office ou PDF.
▻ A maior parte dos utilizadores na organização não precisam
de usar estas funcionalidades e como tal as mesmas devem
estar desactivadas por defeito.
19
Desactivar Macros
20. Defesa no Terminal
▰Ficheiros “host” são usados antes do DNS para
resolver endereços IP.
▰Tais como os DNS ”sinkholes” podem ser
usados para prevenir domínios maliciosos de
serem resolvidos.
▰Pode ser usado como uma medida adicional de
defesa para impedir ligações a sites maliciosos.
20
Ficheiro Hosts
21. Defesa no Terminal
▰Apesar de não serem muito comuns existem
algumas variantes do malware/ransomware
(p.e.CryptoLocker) que se espalha por drives
USB.
▰Se possível, para aumentar a segurança, o
acesso a drives USB deve ser bloqueado.
21
Desactivar acesso via USB
22. Defesa no Terminal
▰Se os terminais forem “virtualizados”, uma opção
adicional para defesa contra malware é assegurar
que todos os terminais VDI são não-persistentes e
que todos os sistemas são revertidos para um
estado pré-definido após cada sessão
▻Garante que qualquer malware que infecte um desktop VDI, é
eliminado depois da sessão do utilizador terminar, revertendo
assim a um estado anterior
22
Infraestrutura de Desktop Virtual
23. Categorias de Mitigações
23
Defesa no
Servidor
(NAS)
SIEM e Gestão de
Logs
Backup e
Recuperação
Treino e
consciencia-
lização
Resposta a
incidentes
Defesa da
Perímetro
▰Permissões de ficheiros
▰Snapshots de Máquinas Virtuais
Defesa da
Rede Defesa no Terminal
24. Defesa no Servidor (Network-Attached Server - NAS)
▰Princípio importante em InfoSec é o do “menor previlégio”, em que
indivíduos apenas devem ter acesso ao que é necessário para as suas
tarefas e não mais
▰Infelizmente isto nem sempre acontece, e ao longo do tempo as
permissões vão aumentando de forma descontrolada (p.e. em shares
partilhados em rede)
▰Devido ao aumento de ataques de ransomware é muito importante agora
para as organizações auditarem as permissões de acesso em partilhas
de rede e garantir que o principio de “menor previlégio” está imposto
▰Embora não possa previnir um ataque de ransomware, pode mitigar o
impacto do mesmo nos dados da organização.
24
Permissões de Ficheiros
▻Pessoal de IT nem sempre é
informado da mobilidade dos recursos
humanos (novas funções, saídas, de
pessoal, etc.)
▻Resulta em permissões que são
adicionadas para novas funções e
papeis, mas as anteriores continuam
activas
25. Defesa no Servidor (Network-Attached Server - NAS)
▰A “virtualização” da infraestrutura de servidores é
muito comum
▻Possível proteger a mesma de ransomware fazendo “snapshots”
regulares das máquinas virtuais
▻Permite recuperar o estado da máquina virtual para um estado
anterior no tempo
▰Pode oferecer um ponto de recuperação alternativo
na eventualidade de um ataque por ransomware
25
Snapshots de Máquinas Virtuais
26. Categorias de Mitigações
26
SIEM e Gestão
de Logs
Defesa no
Servidor
(NAS)
Backup e
Recuperação
Treino e
consciencia-
lização
Resposta a
incidentes
Defesa da
Perímetro
Defesa da
Rede Defesa no Terminal
▰Equipamentos e ferramentas como firewalls, servidores, IDS,
filtros Web, sistemas operativos, entre outros, geram
informação em ficheiros de log.
▻A informação no ficheiro de log oferece pistas para detectar e resolver
problemas de malware
▻Possuir uma solução que é capaz de integrar e processar toda esta
informação de logs (SIEM - Security Information and Event Management) pode
ser muito útil para detectar e erradicar rapidamente o problema
▻A centralização desta informação ajuda igualmente a identificar as causas do
problema, e a sua posterior análise
27. Categorias de Mitigações
27
Backup e
Recuperação
Defesa no
Servidor
(NAS)
SIEM e Gestão de
Logs
Treino e
consciencia-
lização
Resposta a
incidentes
Defesa da
Perímetro
▰Backup e Plano de Recuperação
▰Snapshots de Armazenamento
▰Testes de Backup e de Recuperação
Defesa da
Rede Defesa no Terminal
28. Backup e Recuperação
▰Organização deve possuir pontos de recuperação e tempos
de recuperação muito bem definidos para cada activo
▻Ajuda a determinar quais a tecnologias e procedimentos de backup que
devem ser usados
▰Devem existir políticas e procedimentos documentados
para descrever:
▻Planeamento de backups, como é que os dados devem ser copiados e
recuperados, quem é responsável pelos mesmos
▻Deve existir pessoal treinado nesta área.
28
Backup e Plano de Recuperação
29. Backup e Recuperação
▰Planos de recuperação de desastres são muitas vezes
ignorados até que aconteça um desastre == má política!
▰Backup e recuperação devem ser testados de uma forma
rotineira para garantir que os sistemas operam correctamente e
que o staff os consegue operar
▰Não esperar até que não esteja a ser realizado backup a um
servidor crítico depois de um ataque de ransomware ou outro
ataque ocorra
▰Testes de rotina podem melhorar o tempo de recuperação no
caso de incidente.
29
Testes de Backups e Recuperação
30. Categorias de Mitigações
30
Treino e
consciencia-
lização
Defesa no
Servidor
(NAS)
SIEM e Gestão de
Logs
Backup e
Recuperação
Resposta a
incidentes
Defesa da
Perímetro
Defesa da
Rede Defesa no Terminal
▰Apesar de poderem existir um conjunto de medidas técnicas de
proteção, o utilizador é sempre o “elo mais fraco”
▰Um utilizador bem treinado é sempre uma das formas mais
eficazes de defesa
▻Reconhecer emails ou links suspeitos e reportar os mesmos para investigação
▰Quanto mais cedo estes problemas forem reportados mais
cedo podem ser detectados, corrigidos e contidos na
organização (p.e. através de medidas técnicas)
31. Categorias de Mitigações
31
Resposta a
incidentes
Defesa no
Servidor
(NAS)
SIEM e Gestão de
Logs
Backup e
Recuperação
Treino e
consciencia-
lização
Defesa da
Perímetro
▰Planos de Resposta a Incidentes
▰Simulação de Incidentes
Defesa da
Rede Defesa no Terminal
32. Resposta a Incidentes
▰Pior atitude: “depois de casa arrombada, trancas na
porta”
▰Organizações devem ter planos para:
▻Definir como reagir ao incidente
▻Quem vai ser responsável pelas fases de detecção, contenção,
erradicação e recuperação
▰Conhecimento dos planos por parte do staff
▰Treino dos planos
32
Planos de Resposta a Incidentes
https://www.sans.org/reading-room/whitepapers/incident/incident-handlers-handbook-33901
33. Resposta a Incidentes
▰Quando ocorre um incidente o mesmo deve ser
detectado e contido o mais depressa possível
▰Para estar preparado para isto é importante
treinar cenários de incidente
▻Começar por testar com cenários de ataques mais simples
como malware ou phishing aos utilizadores (usando a string de
testes da EICAR*, p.e.)
33*European Institute of Computer Anti-Virus Research
Simulação de Incidentes
35. 35
Russia’s Top
Religious Official
Sprays Holy Water
on Computers to
Fend Off
Ransomware Virus
E se estas recomendações não resultarem?
https://heatst.com/tech/russias-secret-weapon-against-ransomware-virus-holy-water/
36. 36
… e se mesmo assim falhar…
… o melhor é usar
um verdadeiro
procedimento de
emergência!
37. Prevenir o
“ransomware”
Guia OWASP para prevenção de “ransomware”
Carlos Serrão
carlos.serrao@iscte.pt
@pontocom
ISCTE - Instituto Universitário de Lisboa
7.Junho.2017