本文讲的是如何高效防范勒索软件?这五个对策很重要,现阶段防御勒索软件的策略最为重要的一点就在于需要去领先于标准备份以及实时更新的病毒定义,并且不但要采取深度防御的全面安全策略来避免缴纳赎金还要能够试图去检测它。相信我,这对于你们的公司或者其他部门来说绝不仅仅是唯一的威胁,因此防范的重点在于通过检测来减少其所攻击的面,并且能够在其造成侵害的每个阶段进行监测和警报,形成多层次的检测预防机制非常重要。
下面,我们就正式开始来对如何防范勒索软件进行细致的讲解,并且我会试着指导你们来进行技术的控制和使用,从而能够更好的去检测和防范勒索软件。
衡量实际需求
那么首先我认为我们需要衡量一下贵公司或者说是贵单位的需求,也就是说你们希望能够达到什么样的预防效果。这主要基于有两个方面的问题需要在实施某些预防性控制策略之前就必须考虑到,一方面是没有任何一个单一的产品能够阻止勒索软件或者特定类型的威胁的各种不同变化,另一方面则是每个部门或者员工都会对此有不同的需求。比如开发团队可能需要的是专门针对应用程序的服务,他们需要考虑到如果因为勒索软件而中断,那么该如何去保证产品能够继续完成。会计和人力资源部门则需要通过宏来打开各种各样的电子表格和文档,IT和安全团队则主要是为用户提供支持,那么就需要防止勒索软件阻碍用户的正常需求?甚至还包括如果领导们要使用15个字符以上的密码或者5分钟的屏保锁定,这些都需要我们考虑到,然后来根据不同程度的需求进行不同的策略制定。
毫无疑问,我们的目标是使攻击者所需要付出的成本更高,工作更加艰巨,那么在实施这些策略之前还需要问问自己:
1.我们的业务能够接受多大程度的防范策略? 2.某些部门或者员工是否需要更多的防范策略? 3.如果我们无法阻止勒索软件,那么检测是否可以做到? 4.我怎么样才能发现问题所在?
入门资源
在最近的勒索软件流行网络研讨会上,我引用了17种不同的方法来帮助防止ransomware。该列表是由行业中的许多人共同贡献然后创造出来的的,他们就像我们一样,正在与ransomware进行战斗。这些技术都可以在你的深度防御计划中发挥作用。因此我强烈建议你去查看以下电子表格和影响矩阵,以便决定你的公司下一步的相关工作计划。
Ransomware电子表格
该电子表格由信息安全专家Florian Roth汇编而成的。他与各种机构的的其他一些专家们共同做出一些贡献,一起工作,以保持处在最前沿的状态:
矩阵
基于上述电子表格中那些最有影响力的对策,我制作了一个简单的对策矩阵。不过当你查阅此矩阵时,也需要考虑道其他工具及其在预防/检测威胁方面的有效性,然后根据你公司的环境构建自定义矩阵。
1:使用Microsoft Applocker阻止扩展类型。
当我在与许多组织谈论使用内置的Microsoft Applocker实用程序时,提到的问题基本都与“阻止”合法应用程序,影响业务和阻断工作有关。而在我尝试了大约30,000个不同的IOC路径后,我检测到了许多恶意,可疑以及不需要的软件。总结下来发现,恶意文件执行的最常见路径包括以下5个位置:
<drive letter> users appdata local temp <drive letter> users appdata local <drive letter> users appdata <drive letter> users appdata roaming <drive letter> programdata
Applocker也可以作为一个特定的文件扩展名被阻断。在这种情况下,我着重列举一下不能在上述5个位置执行的扩展类型:
.ade, .adp, .ani, .bas, .bat, .chm, .cmd, .com, .cpl, .crt, .hlp, .ht, .hta, .inf, .ins, .isp, .jar, .job, .js, .jse, .lnk, .mda, .mdb, .mde, .mdz, .msc, .msi, .msp, .mst, .ocx, .pcd, .ps1, .reg, .scr, .sct, .shs, .svg, .url, .vb, .vbe, .vbs, .wbk, .wsc, .ws, .wsf, .wsh, .exe, .pif, .pub
除此之外我创建并导出了Applocker策略,它可以帮助我去防止常见的路径中的威胁:https://github.com/MHaggis/hunt-detect-prevent/blob/master/Prevention/Applocker/applocker .XML
而在这里你要做的就是基于你的公司或者组织来进行对应的使用,并了解用户配置文件中哪些应用程序正在被执行。例如,WebEx会在每次启动时执行用户配置文件。
另外在用户配置文件和其他路径中可能会阻止许多扩展。这时就需要不同部门和员工去获得一种情境意识,然后对正常/不正常进行标准化,这样将有助于防止Applocker可能出现的许多不必要的情况。
2:使用Microsoft Office Suite禁用宏执行。
通过禁用宏执行来减少攻击面,这是拒绝大多数电子邮件威胁的关键。通过全局禁用Microsoft Office中的宏执行,并允许那些真正需要宏的用户,你完全可以限制可能受到威胁的系统范围。另外作为全局禁用宏的一种支持,Applocker可以防止用户配置文件中的恶意文件类型。
Microsoft本身不提供阻止宏的功能,因此你需要手动下载和导入ADMX文件,然后按照指南中提供的步骤进行操作。Office 2016本身就内置了宏执行封锁和GPO功能。
这里可以下载Office 2013 ADMX:https://www.microsoft.com/en-us/download/details.aspx?id = 35554
启用在GPO中阻止宏的配置可以这样操作:用户配置/管理模板/ Microsoft Office XXX 20XX /应用程序设置/安全/信任中心/受信任的位置
阻止整个组织的宏可能会让你看起来令人望而生畏,但如果你在了解了谁实际需要他们之后,你就可以禁用大多数用户的宏,并警告那些需要他们的人谨慎使用可疑附件的电子邮件。
3:Screen Microsoft Windows文件。
File Screening可以帮助你的企业文件服务器在ransomware感染期间进行文件覆盖。这是一种短期的预防性控制,因为ransomware会不断更改所使用的文件扩展名。一般来说,这是由于静态所造成的差距,需要每周更新才能继续阻止最新版本。许多网站目前都有这种更新,会提供ransomware使用的最新的“恶意”扩展,包括上面引用的ransomware电子表格。
另外还要随时间关注的其他方面包括工作站和服务器上的ACL。例如,“所有人”组是否需要?其实锁定关键共享上的ACL对于保护任何组织中的关键数据很重要。文件服务器上的最终后台程序必须每天、每周和每月来进行备份,至关重要的是备份必须是脱机存储的,并且你还要经常测试数据恢复。
为了让你能够更好的进行,这里有两篇博客文章,可以协助你使用文件筛选,并提供PowerShell脚本:
如何使用文件筛选来帮助阻止CryptoLocker 使用FSRM和PowerShell进行Ransomware保护
4:利用反篡改工具。
许多安全厂商都在提供快速简单的解决方案,以轻松挫败系统的大规模加密。这些解决方案背后的想法是将canary文件放在文件系统上,等待修改。我已经看到了这些工具的成功,以防止ransomware的未知变体,因此我强烈建议你去查阅他们,找到一个适合你公司的。
反篡改工具
https://ransomfree.cybereason.com/ http://www.bitdefender.com/solutions/anti-ransomware-tool.html https://go.kaspersky.com/Anti-ransomware-tool.html https://forums.malwarebytes.com/topic/177751-introducing-malwarebytes-anti-ransomware-beta/
5:进行内部培训。
事实上,在业务中最有价值的资产是你的公司。攻击者往往会通过电子邮件和电话进行钓鱼攻击,但最难的问题之一就是如何保证人的因素。我也希望我能提供最简单的方法来解决这个问题,但它就像信息安全中的一切 —— 这是一段没有终点的旅途,而不是即将到达的目的地。所以我一般推荐的过程是:
让你的同事尽快的通过电子邮件或办公室午餐时间来进行及时的学习,及时更新知识。 建立一个网站:提供来自安全行业的最新的消息以及网络钓鱼新闻。 经验教训:应该将恶意的那些攻击作为所有人的培训必修课。特别是利用现实世界中的攻击来教育每个人。 内部期刊:在公司内发布教育内容,每月刊载内容,并在内部网站上分享重要的提醒。 除此之外,现在有许多服务平台都可以为你提供安全意识的培训,包括培训视频,刊物内容,以及模拟网络钓鱼练习。我始终坚信培训人的意识是最佳预防措施之一。
关键业务外包
作为安全维护者,我们必须记住,ransomware不是我们面临的唯一问题。虽然它是嘈杂的,但只是问题的一部分。没有任何一种产品可以保护你的组织避免缴纳赎金。但是,审查和利用上面列出的五项对策将有助于减少攻击面。我们的最终目标是使攻击者的工作变得更加艰巨。随着新的攻击技术每天和每周生成,检测将成为监控和响应所有威胁类型的主要来源。
原文发布时间为:2017年5月8日
本文作者:Change
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。