Ransomware

Jak chronić się przed ransomware z pomocą McAfee Endpoint Security Threat Protection

Marcin Borsuk
Placeholder for Marcin BorsukMarcin Borsuk

Marcin Borsuk , Security Expert , Nomios Poland sp. z o.o.

Do przeczytania w 5 min.
McAfee MVISION Endpoint Security

Share

Co to jest Ramsomware?

W maju 2017 roku w mediach pojawiły się informacje o nagłym i rozległym ataku złośliwego oprogramowania WannaCry, wprowadzając nowe wyrażenie do powszechnego użytku publicznego – ransomware. Atak globalny pozwolił zdobyć rozgłos, natomiast zagrożenia tego typu pojawiały się już o wiele wcześniej, jak również po 2017 roku nie przestały istnieć. Wysoce profesjonalna branża produkująca szkodliwe oprogramowanie dla zysku, nieustannie wprowadza innowacje i stara się albo obejść znane środki bezpieczeństwa albo wykorzystać niezabezpieczone lub przestarzałe systemy.

Niniejszy artykuł ma na celu przedstawić możliwość poszerzenia ochrony o kolejną warstwę, która znajduje się w podstawowym oprogramowaniu firmy McAfee chroniącym stacje robocze tj. McAfee Endpoint Security Threat Prevention. Koncentrując się na module Access Protection mam świadomość, że istnieją nowsze i lepsze rozwiązania tzw. next generation w walce z ramsomwarem, natomiast chciałbym pokazać, że wykonując kilka zalecanych działań możemy znacząco wzmocnić ochronę przed coraz powszechniejszym zagrożeniem, za pomocą rozwiązania znajdującego się w podstawowym oprogramowaniu chroniącym stacje robocze. Zrozumienie działania modułu Access Protection pozwala administratorowi systemu zdefiniować działania wspierające ochronę stacji roboczych w dalszej eksploatacji. Dlatego niniejszy artykuł poza przedstawieniem możliwości zwiększenia ochrony przed zagrożeniami typu ramsomware, ma również być wstępem lub bardziej zaproszeniem do poznania konfiguracji modułu Access Protection.

Więc czym jest moduł Access Protection?

Można go określić jako pierwszą linię obrony przed złośliwym oprogramowaniem chroniącym system kliencki przed niepożądanymi zmianami ograniczając dostęp do określonych:

  • plików
  • udziałów
  • kluczy rejestru
  • wartości rejestru
  • procesów
  • usług

Ochrona dostępu wykorzystuje zarówno reguły zdefiniowane przez firmę McAfee, jak i reguły zdefiniowane przez użytkownika do zgłaszania i/lub blokowania dostępu do chronionych elementów.

Z doświadczenia zalecam postępować bardzo ostrożnie z regułami typu Access Protection przy tworzeniu własnych reguł. W skrajnych przypadkach ustawienia mogą wpłynąć na działanie całego systemu klienckiego, uniemożliwiając np. zalogowanie się użytkownika do systemu. Stąd sugeruje by przeprowadzać testy każdej zmiany w niniejszych regułach w trybie tylko raportowania.

Jak walczyć z ramsomware

Wykorzystując wspomniany już moduł Access Protection, firma McAfee przygotowała dokument wspierający w walce z zagrożeniami typu – ramsomware nazwany: „Combating Ramsomware Rev J” dostępnym tutaj:

Czytaj teraz

W powyższym dokumencie zawarte zostały informacje pozwalające zdefiniować reguły wspierające walkę z zagrożeniami typu ramsomware. Reguły te zostały podzielone na trzy grupy:

  • reguły sugerowane – zalecane mające działać w środowisku klienckim,
  • reguły umiarkowanie agresywne – mogące zapobiegać przed niektórymi dodatkowymi wariantami zagrożenia, mogą mieć wpływ na biznes w przypadku niepoprawnej konfiguracji,
  • reguły ułatwiające śledzenie systemów, na których istnieje podejrzenie infekcji – maja na celu śledzić, a nie zapobiegać infekcji lub szyfrowaniu.

Jak zrobić to krok po kroku.

Posiadając już artykuł i nasze środowisko powinniśmy rozpocząć od utworzenia nowej polityki w centralnej konsoli zarządzającej McAfee ePolicy Orchestrator.

W McAfee ePolicy Orchestrator w celu utworzenia nowej polityki, przejdź do Menu -> Policy Catalog.

Placeholder for Obraz1Obraz1

W oknie Policy Catalog wybieramy w oknie z lewej strony produkt Endpoint Security Threat Prevention oraz kliknąć przycisk New Policy, pozwalający nam utworzyć nowa regułę.

Placeholder for Obraz2Obraz2

W oknie Create a new policy należy wybrać lub wprowadzić następujące dane:

  • Category – umożliwia wybranie kategorii polityk, których dotyczą ustawienia.
  • Create a policy based on this existing policy – jaka ma zostać wykorzystana polityka konfiguracyjna przy tworzeniu nowej polityki – kopiowane są ustawienia ze wskazanej polityki konfiguracyjnej.
  • Policy Name – nazwa tworzenie polityki konfiguracyjnej.
  • Notes – opis tworzonej polityki.
Placeholder for Obraz3Obraz3

Wybieramy OK.

Centralna konsola zarządzająca utworzy nowa politykę konfiguracyjną i automatycznie nas przeniesie do dalszej konfiguracji stworzonej polityki.

Placeholder for Obraz4Obraz4

Po utworzeniu polityki konfiguracyjnej typu Access Protection możemy rozpocząć wprowadzanie danych zawartych w dokumencie Combating Ramsomware Rev. J. W ramach niniejszego artykułu opiszę poszczególne kroki, jakie należy wykonać by zdefiniować pierwszą regułę dla zagrożenia Cryptolocker v.IV.

Placeholder for Obraz5Obraz5

W nowo utworzonej polityce konfiguracyjnej należy kliknąć przycisk Show Advanced.

Pojawią się wszystkie dostępne opcje, przejdźmy to grupy opcji Rules i wybierzmy Add by dodać nową regułę.

Placeholder for Obraz6Obraz6

W oknie definiowana reguły Rule wprowadzamy na początku:

  • Name – nazwę reguły.
  • Actions – określamy akcję jaka ma zostać podjęta, dostępne są dwie akcje: blokowanie oraz raportowanie.
Placeholder for Obraz7Obraz7

Następnie musimy zdefiniować wszystkie pliki wykonywalne, które będą monitorowane. Aby dodać plik wykonywalny należy kliknąć przycisk Add.

W oknie Executable należy wprowadzić opis pliku wykonywalnego, status włączenia (czyli zawiera się lub jest wykluczony – można wykluczyć tu procesy z ochrony reguły) oraz nazwy pliku lub ścieżki. Ewentualnie jest możliwość dodania hash MD5 oraz sygnatury podpisu elektronicznego. Po wprowadzeni danych wykonujemy zapis wprowadzonych konfiguracji klikając Save.

Placeholder for Obraz8Obraz8

Zdefiniowaliśmy już jaki proces, natomiast pozostało nam do zdefiniowania w pod regule akcję niedopuszczoną lub monitorowaną. Należy w części Subrule kliknąć Add.

Placeholder for Obraz9Obraz9

W oknie Subrule należy wprowadzić następujące wartości:

  • Name – należy wprowadzić nazwę pod reguły.
  • Subrule type – należy wybrać typ pod reguły, do wyboru mamy.
  • Files – pliki.
  • Registry key – klucz rejestru.
  • Registry value – wartość rejestru.
  • Processes – procesy.
  • Services – usługi.
  • Operations – operacje jakie nie można wykonać.
  • Change read-only or hidden attributes – zmiana atrybutów plików do odczytu lub ukryty.
  • Create – tworzenie.
  • Delete – usunięcie.
  • Execute – wykonanie.
  • Change permissions – zmiana uprawnień.
  • Read – czytanie.
  • Rename – zmiana nazwy.
  • Write – zapis.
Placeholder for Obraz10Obraz10

W tabeli Targets należy wprowadzić cel podreguły. Dodajemy Target klikając Add. Czyli w naszym przypadku według reguły określamy, że nie można tworzyć lub wykonywać plików o nazwie *decrypt_instruction*.* przez jakiekolwiek procesy.

Do wyboru mamy zawarcie lub wykluczenie zdefiniowanego pliku lub dysku.

Placeholder for Obraz11Obraz11

Po zdefiniowaniu wszystkich ustawień kliknąć Save zamykając okno Subrule target. Następnie kolejny raz klikamy Save zamykając okno Subrule. Żeby zaakceptować zmiany w regule należy kliknąć Save zapisując regułę.

Pojawi się ona w tabeli Rules w polityce.

Placeholder for Obraz12Obraz12

Pozostaje zapisać całą politykę klikając Save i zastosować na stacjach roboczych.

W przypadku pozostałych reguł zdefiniowanych w dokumencie Combating Ramsomware Rev. J należy postępować analogicznie. Mam nadzieję, że zawarte informację w niniejszym artykule pozwolą poznać lub odświeżyć wiedzę i wzbudzić należne zainteresowanie, tym mało popularnym modułem. W swojej karierze widziałem niniejszy moduł wykorzystywany nie tylko jako element ochrony, ale również jako np. element kontroli aplikacji uruchamianych w środowisku. Dużo zależy od koncepcji administratora i tego co chce uzyskać.

Skontaktuj się z nami

Chcesz dowiedzieć się więcej na ten temat?

Nasi eksperci i opiekunowie handlowi są do Twojej dyspozycji. Zostaw swoje dane, a my wkrótce się z Tobą skontaktujemy.

Zadzwoń teraz
Placeholder for Portrait of french manPortrait of french man
Updates

Więcej aktualizacji