Apuntes de contramedidas para RANSOMWARE

~ JOG@

El siguiente resumen fue realizado a partir del informe publicado en el mes de febrero del presente año, por el CERT de España, asociado al Centro Criptológico Nacional – CNN y al final agregue otras contramedidas que se han probado con más de 15 muestras de ransomware, en las que he tenido la oportunidad de apoyar en su erradicación y/o recuperación.

¿Qué es un Ransomware? Técnicamente hablando, es un tipo de malware (como los virus informáticos) que cifra archivos con extensiones conocidas (ej. Excel – xls, Word – docx, etc…) usando algoritmos criptográficos (ej. RSA), en su mayoría del método asimétricos, lo que indica que tienen dos claves (una publica y otra privada) y posteriormente crea unos archivos (imágenes, archivos de texto, entre otros), con la información que solicita el pago para decifrar, por medio de plataformas anónimas, como TOR y monedas electronicas como Bitcoins. En otras palabras de usuario final, «daña la información y solicita pagar para recuperarla.»  Sus primeras apariciones publicas o masivas se dieron desde el 2013, con el archi reconocido CryptoLocker. (SophosLabs, 2015).

VECTORES COMUNES DE ATAQUE:

  1. Correo Spam o Phishing.
  2. Web Exploit Kits (ej. Blackhole, PEK…)
  3. Código malicioso (ej. RAT)
  4. Servicio RDP (Escritorio Remoto de Windows)
  5. Anuncios publicitarios (ej. Banners pornográficos).

MEDIDAS DE SEGURIDAD PREVENTIVAS

  1. Copias de Seguridad: No en unidades de red mapeadas o discos duros externos, se recomienda mejor usar un software automatizado o directamente desde el sistema operativo, ej. “Copias de Seguridad y Restauración” (Panel de Control -> Sistema y Seguridad -> Hacer una copia de seguridad del equipo).
  2. Usar VPN como método de acceso remoto. De nada sirve si tenemos todos los “fierros de seguridad perimetral” FW/ Proxy /IPS/IDS/ y cuando el usuario se lleva el endpoint para la casa no los usan.
  3. Usar sistemas anti-Spam y mail scanners a nivel de correo electrónico, para minimizar la posibilidad de infección por el vector de ataque de correo que es uno de los más comunes.
  4. Mantener actualizado el sistema operativo, los programas instalados (en especial el Anti-malware), plugins de los navegadores (especialmente Java, Flash, Adobe Acrobat).
  5. Usar herramientas o utilidades extras de seguridad que ayuden a mitigar la explotación de vulnerabilidades, por ejemplo con la herramienta EMET (activando DEP, EAF, ASLR, SEHOP, NPA…).
  6. Uso de software para control de aplicaciones o de lista blanca: Estos protegen contra programas no autorizados en la lista. AppLocker en Windows, McAfee Application Control, Bit9 Parity Suite, entre otras.
  7. Establecer políticas o mecanismos para impedir la ejecución de archivos en carpetas comúnmente usadas por este malware (App Data, Local App Data…), ej. Herramientas como CryptoPrevent, o CryptoLocker Prevention Kit, permiten crear fácilmente dichas políticas.
  8. Usar bloqueadores de JavaScript para el navegador, ej. Privacy Manager.
  9. Bloquear el tráfico relacionado con dominios y servidores C2 mediante los IPS/IDS de perímetro.
  10. Mantener listas de control de acceso – ACL para unidades de red mapeadas: esto reduce la propagación del malware a nivel de toda la red.
  11. Mostrar extensiones de archivos conocidos, con el fin de identificar archivos ejecutables o con extensiones aleatorias que no corresponden al tipo de archivo.
  12. Usar la herramienta Anti Ramsom, para monitorear e internar bloquear el proceso de cifrado monitoreando archivos de prueba “honey files” que crea en el PC, además de que hace un volcado de memoria del proceso para buscar la clave de cifrado y mata el proceso.
  13. Usar máquinas virtuales para evitar técnicas anti-debugin y anti-virtualización.
  14. Evitar el uso masivo de cuentas con permisos de administrador local o de dominio.
  15. Restringir ejecución de .exe en rutas conocidas por medio de directivas de seguridad o GPO o reglas del IPS de host. Se recomienda rutas como %AppData%, %UserProfile%\ %Temp%
  16. Prevenir aprobar o usar con permisos de administrador local o del dominio.
  17. Usar programas de concienciación en seguridad de la información (ej. Securing The Human of SANS), con el fin de que los usuarios aprendan a identificar técnicas básicas de ingeniería social entre otras amenazas y vulnerabilidades informáticas.

MEDIDAS DE SEGURIDAD REACTIVAS

Luego de que se detecta una infección por causa de un Ransomware, se recomienda seguir los siguientes pasos:

  1. Desconectar cable de red, dispositivos de almacenamiento externos (ej. memorias USB) y unidades de red mapeadas.
  2. Verificar si el proceso o ejecutable sigue en ejecución o esta inyectado como un hilo de un proceso valido del sistema operativo.
  3. Realizar un volcado de memoria del proceso.
  4. Si no se ha identificado el proceso, se recomienda apagar manualmente el PC y arrancarlo en “Modo Seguro” (tecla F8 al inicio).
  5. Realizar copia de seguridad del equipo afectado.
  6. Comunicar el incidente de seguridad (de tipo código malicioso) al Equipo de Seguridad de la Información o de respuesta a incidentes de la organización o del país (ej. ColCERT).
  7. Valorar el escenario para ver si es posible recuperar los archivos cifrados.
    1. Existe un backup completo de la información en el host afectado.
    2. Existe una herramienta o la clave privada para descifrar los archivos.
    3. Existe un Shadow Volume Copy para restaurar el sistema operativo
    4. Existe forma de recuperar los archivos usando técnicas o software forense
    5. Conservar los archivos cifrados para ver si en un futuro se pueden descifrar.

Se podría hacer un procedimiento o checklist con los anteriores pasos.

Finalmente, no se recomienda por ningún motivo hacer el pago, en primer lugar porque esto motiva a que los atacantes sigan distribuyendo este malware y en segundo porque no se garantiza que los archivos sean descifrados.

ANEXO: Tabla de variante Ransomware conocidas y posible recuperación.

TablaRansomware

CONTRAMEDIDAS ADICIONALES (Con base a la experiencia):

  • Crear o mejorar las políticas de seguridad o lineamientos con base al Backup, ya que es la que permite cumplir en cascada las metas y recuperarse más fácilmente ante una infección.
  • Crear procedimientos o canales claros y simples para que los clientes, usuarios finales o mesa de servicio, reporten incidentes de este tipo (Código Malicioso, tipo Ransomware) de manera eficaz.
  • Crear nuevas reglas en el Antivirus o IPS de Host, para que detecte cuando se estén cambiando extensiones comunes a estos archivos de forma masiva, por ejemplo para el Ransomware que convierte a formato MP3., incluir en la regla archivos con extensiones comunes, (*.docx.mp3, *.xls.mp3,  *.html.mp3, entre otras) o detectar creación de archivos “Help_*”
  • Ejecutar en un Sandbox el malware para analizar su comportamiento y crear nuevas reglas de correlación en el SIEM u otras medidas adicionales en la infraestructura (Firewalls, WAF, IPS/IDS…), según los patrones identificados.
  • Compartir muestras de las variantes y/o análisis del malware, con colegas de otras organizaciones  afectadas, para aprender de su experiencia y evitar un impacto mayor.
  • Recuerden que este tipo de malware también aplica para otros sistemas operativos o activos de información, como es el caso de KeRanger para MAC OSX o los que Atacan Sitios Web, principalmente CMS populares (ej. Joomla, WordPress, Magento, o librerías (ej. JQUERY), coming soon in Smartphones and others (LoT?)… por lo que la copia de seguridad o Backup en un lugar seguro (ej. Centro Alterno de Datos, o  desconectado de la red en una jaula de faraday, jejeje), sigue siendo la mejor contramedida para recuperarse a un incidente de este tipo.

¿Que otras contramedidas conocen o han tenido la oportunidad de implementar?

Saludos,

@JOGAcrack

Publicado por JOG@