Mejores prácticas para la prevención del Ransomware
Resolution
¿Qué es ransomware?
Ransomware es una familia de malware que intenta cifrar archivos en los ordenadores del usuario final y luego exige algún tipo de pago electrónico para recuperar los archivos cifrados.
El ransomware es una de las amenazas más comunes en el panorama de amenazas moderna; hay muchas variantes diferentes, una infección puede costar mucho dinero para recuperarse, y los actores responsables de las infecciones se impulsan a generar tantos ingresos como sea posible mediante la extorsión de sus víctimas.
Este artículo servirá como una guía general para algunas prácticas recomendadas para ayudar a mantener una red libre de infecciones ransomware.
¿Cómo se entrega ransomware?
Ransomware se entrega a los objetivos principalmente a través de estas avenidas:
- Correos electrónicos de phishing pueden contener archivos adjuntos maliciosos. Estos datos adjuntos no se entregan siempre en forma ejecutable; como proveedores de seguridad y seguridad buenas prácticas dictan que recibir ejecutables por correo electrónico es, en general, algo que queremos evitar, agentes de amenaza tienen que adaptarse a los cambios en el panorama. Esto puede hacerse por mecanismos indirectos. En Windows, por ejemplo, un agente malicioso puede optar por un método menos directo de la entrega: incrustar un archivo JavaScript alterado en un archivo y dependen del usuario final para el resto. Apertura de un archivo . JS archivo en un host de Windows iniciará el navegador predeterminado, y el JavaScript puede entonces llegar a un externo URL para agarrar un ejecutable, entregarlo a la víctima y ejecutarlo. En este punto, evitar que los usuarios reciban ejecutables por correo electrónico ya no es eficaz, ya que el ejecutable se entrega a través de HTTP .
- Explotar kits (como Angler, o Neutrino) se han sabido para entregar ransomware a los usuarios mediante la explotación de servidores web vulnerables y el alojamiento de scripts web maliciosos en ellos que explotan a los visitantes cuando se cumplen ciertos criterios, y luego entregar una carga maliciosa (Angler Exploit Kit artículo - Unit42)
- Ransomware dirigida ha sido observado y seguido recientemente, en que las organizaciones tenían externos frente a servidores web comprometidos por actores maliciosos para ganar un equilibrio, que procedió a asignar el medio ambiente y desplegó el archivo cryptor en masa. (Evolución del artículo de SamSa Malware - Unit42)
Prevención de ataques ransomware - Perfiles de seguridad
PAN-OS tiene protecciones en varios puntos de la cadena de muerte para abordar la infección ransomware y evitar que entre en una red. A Visión general de los perfiles de seguridad y su propósito está disponible aquí: policy Fundamentos de seguridad
1) Para combatir los kits de exploits y vulnerabilidades conocidas, existen numerosas firmas de vulnerabilidad en PAN-OS el contenido. Con el fin de proteger a los usuarios contra estos exploits, el uso de una protección de vulnerabilidad "estricta" policy puede ayudar y se recomienda. Como mínimo, asegurar las firmas están habilitadas con preventivo es necesaria una acción contra firmas de severidad crítica. A la postura estricta sobre los perfiles de protección contra vulnerabilidades ayudará a prevenir la exposición a los kits de exploits y ayudará a mantener a los servidores web externos a salvo de la explotación de vulnerabilidades conocidas.
Algunas firmas potencialmente relevantes incluyen las firmas etiquetadas por exploit-kit (consulte referencia 1 a continuación), XOR detección de ofuscación de malware, ejecución remota de código de Microsoft OLE Windows, detección maliciosa PE y detección de ofuscación de JavaScript.
Además, como JavaScript es un tipo de archivo no compatible para el bloqueo de archivos, es beneficioso investigar acciones en las firmas 39002 y 39003, que inspeccionan la presencia de archivos JavaScript dentro de SMTP los flujos.
Con el fin de mejorar la postura de seguridad recomendamos crear una excepción para la amenaza ID 's a continuación.Establecerlos en "denegar" que bloquearía el tráfico que coincide con estas firmas.
Sin embargo, se recomienda realizar pruebas en su entorno antes con una configuración de "alerta" para garantizar que el tráfico legítimo no esté bloqueado, aunque no hay muchos usos legítimos para .js archivos enviados en un correo electrónico.
Amenaza ID | Descripción |
38353 | Esta firma indica que se detecta un archivo malicioso MSO |
38590 | Esta firma indica que se detecta un archivo malicioso MSO |
38591 | Esta firma indica que se detecta un archivo malicioso MSO |
39002 | Esta firma detecta un archivo .js .wsf o .hta enviado directamente en un correo electrónico |
39003 | Esta firma detecta un archivo .js .wsf o .hta en una ZIP carpeta enviada por correo electrónico |
Para obtener más información sobre las firmas de vulnerabilidad disponibles, consulte ThreatVault 2.0.
(Exploit kit y categorías de perfil de vulnerabilidad de phishing | Perfiles de protección de vulnerabilidades)
2) Para evitar la entrega de cargas maliciosas, tiene un motor de PAN-OS análisis antivirus que puede inspeccionar los protocolos compatibles en los que se transfiere más comúnmente contenido viral, incluyendo: http, smtp, imap, pop3, ftp y smb. Garantizar que un perfil antivirus con acción preventiva se asigne a cualquier regla de seguridad que permita el tráfico de destino común (navegación web a Internet y acceso de correo electrónico, por ejemplo) debería tener idealmente un perfil antivirus asignado con acciones preventivas configuradas para la columna Acción y Wildfire Acción para los protocolos en los que se admite. (Consulte la sección Prevención - Actualizaciones dinámicas para obtener más información sobre cuál es la diferencia).
(Perfiles antivirus)
3) URL El filtrado se puede configurar para bloquear el acceso a las URL en categorías sospechosas como Malware /Phishing/Unknown/Dynamic DNS /Proxy-avoidance/Questionable/Parked, lo que impedirá que un host se acerque a través de HTTP un servidor web Palo Alto Networks ha visto host contenido sospechoso / malware.
(De los expertos: URL filtrado de implementación y solución de problemas )
4) Utilice la funcionalidad de bloqueo de archivos del PAN-OS dispositivo. PAN-OS es capaz de identificar tipos de archivos compatibles en secuencias de datos y tomar medidas en función de cómo los tenga configurados. Una táctica común de ransomware (y creadores de malware en general) es levantarse de nueva infraestructura para la entrega, durante un corto periodo de tiempo, y luego retíralo. Esto previene la filtración basada en reputación, como por la seguridad en tiempo de proveedores pueden clasificar infraestructura como malévolo, inteligente amenaza actores lo han retirado y están operando en otros lugares. Una solución a esto es combinar el bloqueo de archivos de tipos de carga malintencionados comunes (como PDF flash, , ejecutable y documentos de Office) con una regla de seguridad con el servicio / URL categoría establecido en "Desconocido" y el destino es la Internet pública. Esto evita eficazmente la transferencia de tipos de carga útil comunes independientemente de AV la detección simplemente porque su dispositivo no conoce el origen del PAN-OS archivo.
Tenga en cuenta que policy los cambios de este tipo deben configurarse cuidadosamente para garantizar que el tráfico legítimo no se afecte. Como Palo Alto Networks no puede analizar los sitios de intranet de la empresa, es importante asegurarse de que los registros de filtrado para la URL actividad de categoría Desconocida se revisen antes de promulgar un bloque de este tipo para evitar causar una interrupción del servicio para los usuarios internos. La creación de URL categorías personalizadas para sitios que no están categorizados actualmente por las redes de Palo Alto firewall puede prepararse para este paso.
Además, también puede ser relevante considerar el bloqueo de ciertos tipos de archivos SMTP sobre, ya que una parte significativa de las campañas ransomware aprovechan los correos electrónicos de phishing con archivos adjuntos maliciosos como un vector de infección.
Los tipos de archivo relevantes incluyen: Todos los PE tipos de archivo (exe, cpl, dll, ocx, sys, scr, drv, efi, fon, pif), HLP , , , LNK CHM BAT VBE .
Bloquear o alertar sobre tipos de archivos cifrados también puede ayudar a reducir la exposición (encrypted-zip).
Las alertas en todos los tipos de archivos que no están bloqueados para obtener visibilidad y análisis de registros pueden ser útiles.
(Consejos del campo: Perfil de bloqueo de archivos)
5) Algunas variantes de ransomware llegar a la infraestructura externa para recibir datos (como la entrada de la infraestructura declarada para generar claves de cifrado para cifrar sus archivos); Como tal, es importante configurar un perfil Anti-Spyware con una configuración "estricta" y asegurarse de que se aplica a las reglas de seguridad en las que el tráfico egresa a la Internet pública
(Perfiles Anti-Spyware)
Además, el perfil Anti-Spyware contiene acciones para cuando se detectan DNS consultas sospechosas. El antivirus y Wildfire el contenido contiene una lista de dominios que Palo Alto Networks ha identificado como potencialmente asociados con el tráfico malintencionado; los administradores de red pueden bloquear las solicitudes a estos DNS dominios con este perfil, o elegir hundir el tráfico a una dirección interna IP que han configurado para su posterior análisis. Los administradores verdaderamente dedicados verán el potencial aquí para hacer alguna configuración interesante; una vez que uno ha secuestrado DNS y redirigido a un sumidero, ponerse de pie un servidor web en esa dirección puede permitir al administrador inspeccionar lo que puede haber resultado de una búsqueda IP DNS exitosa.
(¿Cómo configurar DNS el sumidero | Cómo verificar la DNS función de sumidero está funcionando| Video Tutorial: Cómo configurar DNS Sinkhole)
6) Si tiene licencia, los envíos deben configurarse para permitir el envío de tipos de archivo Wildfirecompatibles a la Wildfire nube para su evaluación. Esto permitirá a las redes de Palo Alto firewall identificar nuevas variantes de malware, crear una firma para ellas y entregarlas en nuestras actualizaciones de contenido (consulte la sección Prevención - Actualizaciones dinámicas para obtener más información sobre la entrega de contenido)
(Enviar archivos para WildFire análisis | WildfireConfiguración, pruebas y supervisión )
7) PAN-OS admite el uso de listas dinámicas externas para su uso en una regla de seguridad para evitar la comunicación con destinos basados en fuentes reputacionales externas. Si bien Palo Alto Networks no cura actualmente su propia lista de fuentes aprobadas, hay una lista agregada de recursos para el consumo de los clientes disponible aquí.
(Utilice una lista de bloques dinámicos enPolicy | Cómo configurar la lista de bloques dinámicos ( DBL ) o la lista de bloques externos ( EBL )
8) El uso del SSLdescifrado es un factor importante a tener en cuenta a la hora de implementar las mejores prácticas; ninguna de las prevencións anteriores puede ocurrir si los flujos de datos que firewall atraviesan los están cifrados y no se pueden descifrar para la inspección. La inspección antivirus no funcionará en HTTPS secuencias o correo electrónico cifrado; URL El filtrado es el mejor esfuerzo contra el nombre común/ SNI en el certificado asignado al servidor web; El bloqueo de archivos no puede producirse si PAN-OS no se pueden identificar los archivos debido al protocolo que están atravesando que se están cifrando; Wildfire los envíos no pueden producirse si PAN-OS no se pueden identificar los tipos de archivo admitidos para el reenvío debido al protocolo que están atravesando que se están cifrando; Los perfiles de vulnerabilidad y Spyware no pueden inspeccionar y comparar el tráfico con firmas conocidas si el tráfico está cifrado. Esto hace que SSL el descifrado sea una parte integral de asegurar que una red no tenga puntos ciegos.
(SSL lista de recursos de descifrado)
9) En la medida de lo posible, permita una aplicación específica en la regla de seguridad. Si es posible, considere la posibilidad de bloquear el tráfico'unknown-tcp'y 'unknown-udp' y crear aplicaciones personalizadas para aplicaciones internas si es necesario.
10) AutoFocus (autofocus.paloaltonetworks.com) se puede utilizar para entender mejor los patrones de comportamiento de una variante particular de ransomware. Cuando detona ransomware, los artefactos que genera en el lado del host y de red son a menudo únicos para ayudar a identificar qué tipo de ransomware es; Esto puede incluir la extensión de archivo de los archivos encriptados, formato de las notas de rescate que se quedan con las instrucciones de recuperación y el tráfico de C2 a hosts externos de la web, sólo para nombrar unos pocos. Revisar las etiquetas comunes de la familia ransomware en AutoFocus puede ilustrar lo que es único a qué variante y puede ayudar a los usuarios a entender cómo se ve cada variante. Estar armado con este conocimiento hará que un administrador de la red esté mejor armado para abordar una posible infección.
AutoFocus también puede prestar contexto en cuanto a lo que ransomwares están apuntando a qué organizaciones, industrias, o sus pares. Esto puede permitir cierta medida de recopilación de datos proactiva antes de cualquier incidente y preparar mejor a los administradores para fortalecer sus defensas en preparación para cualquier ataque futuro.
Incluso se podrían combinar AutoFocus indicadores de compromiso con otras PAN-OS funciones preventivas como listas dinámicas externas para ayudar a aumentar su postura de seguridad.
(Consejos y AutoFocus FAQ trucos: | Cómo usar AutoFocus)
Prevención de ataques ransomware - Actualizaciones dinámicas
junto con la configuración adecuada de perfiles de PAN-OS seguridad, asegurarse de que el contenido más reciente está disponible en el dispositivo ayudará a mantener una red a salvo de las últimas amenazas.
(Administrar actualizaciones de contenido)
Palo Alto Networks proporciona contenido en numerosas formas:
- Para URL filtrar, PAN-DB se producen búsquedas /BrightCloud a medida que se accede a las URL (con el almacenamiento en caché de las mismas que expira después de un período). Como tal, no se requiere ninguna actualización programada para URL el filtrado.
- Las actualizaciones antivirus se producen aproximadamente una vez cada 24 horas, publicando temprano AM PST (Tenga en cuenta que se trata de una estimación, y el tiempo puede cambiar dependiendo de los procesos de garantía de calidad). Como tal, se recomienda configurar un PAN-OS dispositivo para actualizar el contenido antivirus al menos una vez al día. El contenido antivirus contiene firmas para archivos maliciosos conocidos y el contenido se genera como resultado del Wildfire análisis de espacio aislado de los ejemplos enviados. Los lazos de este contenido en el perfil de seguridad antivirus en la columna "Acción".
- Wildfire las actualizaciones (si tienen licencia) están disponibles aproximadamente cada 15 minutos. Como tal, se recomienda configurar un PAN-OS dispositivo para actualizar el contenido tan a menudo como sea Wildfire posible; esto garantizará que el dispositivo tenga las firmas más recientes en un momento dado y mantendrá actualizadas las capacidades de prevención. Este contenido se vincula al perfil de seguridad antivirus en la Wildfire columna "Acción".
- Las actualizaciones de aplicaciones y amenazas se producen aproximadamente una vez cada 7 días, lanzando el martes por la noche hasta el miércoles por la mañana (puede haber una actualización ocasional de contenido de emergencia también entre dos versiones semanales regulares). Como tal, se recomienda configurar un PAN-OS dispositivo para actualizar aplicaciones y amenazas al menos una vez a la semana. Tenga en cuenta que estos paquetes contienen actualizaciones de las capacidades de identificación de aplicaciones y se recomienda que los administradores revisen a fondo las notas de la versión para comprender completamente cualquier posible impacto o cambios de configuración necesarios antes de instalar el contenido. La porción de "Amenazas" de este paquete contiene actualizaciones de firmas de vulnerabilidad (atar en el perfil de seguridad de protección de vulnerabilidades) y actualizaciones de firmas de Spyware (atar en el perfil de seguridad Anti-Spyware).
Como una nota de cierre, merece la pena mencionar que copias de seguridad son la mejor defensa contra impacto grave en una red que ha sido infectada por ransomware. Mientras hay datos de copia de seguridad actualizados y seguros, recuperación después de la infección tendrá significativamente menos tensión en las partes afectadas y las organizaciones.