Crypto-ransomware

«Alle» har sett, fått eller hørt om noen som har fått en eller annen form av Crypto-ransomware.
Historien er som regel lik, en klient ble infisert, denne klienten hadde tilgang til filserveren som igjen resulterte i mengder på mengder med ubrukelige krypterte filer.

f-this
( Fra IT-sjefen sitt kontor når han får beskjeden )

For de fleste så resulterer det i full heksejakt på den infiserte klienten, før man kjører en full restore fra backup.
Noen velger også å betale, som oftest fordi de ikke har backup eller tenker det er raskere enn å kjøre en full restore.

Og det gir oss ett problem. Angriperne får betalt, og de får betalt godt.

Det er faktisk så god butikk at de kommer med egen kundeservice som i mange tilfeller er bedre enn det man får fra legitime tjenester. For så lenge de leverer det de lover ved betaling, så vil vi fortsette å betale. De er faktisk avhengig av den tiltroen. For hadde vi visst at de ikke åpnet, hadde vi aldri betalt.
Og siden vi betaler så får de mer penger til å utvikle crypto-ransomwaren enda mer, det er som enhver annen bedrift. Går det i pluss så fortsetter man. Dette er en sirkel vi ikke ser slutten på før de faktisk ikke tjener særlig penger lengre.

Mange jeg har pratet med har resignert, og tenkt at dette er noe de må leve med. Ingen av de tradisjonelle løsningene de har klarer å stoppe alle mutasjonene.

shm1
( Følelsen med enda en dag med cryptolocker )

Den tankegangen fører som oftest til investering i enda bedre backupløsninger, som gjør at de enda raskere kan rulle tilbake når den infiserte klienten har blitt tatt hånd om.

Men vi snakker fortsatt om nedetid, og får mange mange av dem i måneden så kan det bli dyrt.

Jeg mener også det er en veldig passiv tankegang, det blir litt som om vi skal legge ned Politet og heller investere pengene i helsevesenet fordi vi ikke kan stoppe alt av voldskriminalitet.

Ja, vi må ha gode løsninger for backup, men vi må ikke bare tenke retroaktivt. Vi må også være proaktive og prøve å stoppe angrepet før det skjer.

Hvordan gjør vi så det?

Vel, som vi har allerede vært inne på, så er det klientene som blir infisert.
Gjerne via e-post kampanjer som er pakket pent inn med kjente norske merkenavn, der Posten kampanjen er det mest kjente. Alle har ett forhold til posten, og mange av oss venter pakker.
Da er det ikke så rart at denne kampanjen traff bredt, og førte til at svært mange IT-avdelinger måtte bruke en del overtidstimer på å rydde opp.

svindel-posten+advarer+mot+nye+virus+i+e-post
( Eksemplet er på engelsk, men det kom også versjoner på Norsk )

Hadde derimot klientene vært beskyttet godt nok, så hadde det meste blitt stoppet før det fikk gjort noen skade.

Min anbefaling er at man tar en titt på det som kalles «AMD» til bedriftens klienter og servere.
«AMD» står enkelt nok for «Advanced Malware Detection», og er løsninger for å se på oppførsel av programvare fremfor av-signaturer som ofte ikke klarer å holde følge med den raske utviklingen.

Slike «AMD» løsninger ser fort at noe ikke er helt på stell når PDFen du fikk på e-post prøver å gi seg flere rettigheter, laster ned filer, oppretter SSH tuneller eller mer.
traps-pdf

Palo Alto Networks har en løsning for dette som heter TRAPS:

Med Traps eller en annen AMD løsning på klientene dine er man mye bedre rustet til å stoppe Crypto-ransomware, og andre zero-day sårbarheter. Tiden er over der man må la seg bli infisert for deretter rydde opp, nå er tiden å bekjempe dem før de får gjort skade!

Så kan man gå på jobb og føle seg slik:

victory

Lykke til!

Zone Protection

Zone Protection er en viktig bit i puslespillet for å få ett godt oppsett på brannmuren. Men jeg ser ofte at dette blir glemt, noe jeg håper jeg kan endre på med denne blogg-posten!
Så hvor legger vi på Zone Protection? Jo, under Zones:

blogg_zone_prot_01

Dette er hentet fra min LAB som kjører 7.1 Beta, men det ser tilnærmet helt likt ut på 7.0.
Du ser hvor du velger profilen her. Profilen gjelder for innkommende trafikk, og ikke utgående. Derfor har vi en “External” profil på Untrust som står mot internett.

Men før vi kan legge den til her må vi lage en Zone Protection profile. Det gjør du under Network -> Network Profiles -> Zone Protection

blogg_zone_prot_02

Trykk “Add” og du får opp følgende skjermbilde:

blogg_zone_prot_03

Første valget er “Flood Protection” som beskytter deg mot akkurat den sier. Flooding av pakker. Her er info hentet fra SANS sitt dokument vedrørende “Best practice” på en Palo Alto Networks:

Recommendation:

The Alert, Activate, and Maximum settings for SYN Flood Protection depend highly on

the environment and device used. Traffic analysis should be performed on the specific

environment and firewall to determine accurate thresholds.

As a rough ballpark for most environments, an Activate value of 50% of the firewall’s

maximum “New sessions per second”/CPS is a conservative setting. The following is a list of

new sessions per second maximum for each platform:

PA-200 = 1,000 CPS

PA-500 = 7,500 CPS

PA-2000 series = 15,000 CPS

PA-3000 series = 50,000 CPS

PA-5000 series = 120,000 CPS

PA-7050 = 720,000 CPS

Les mer i dokumentet som du finner her: SANS Whitepaper Palo Alto

 

blogg_zone_prot_04

Så har vi “Reconnaissance Protection”, som kan være lurt å ha på Zonen som står mot internett. Sett på alert i første omgang, men så kan du vurdere å sette til Block eller Block-IP om du ser mye aktivitet fra enkelte hoster.

blogg_zone_prot_05

Siste fanen er “Packet Based Attack Protection” som har flere underfaner igjen. Den første ser vi er “IP Drop”.
Det første valget her er nok godt kjent for mange, som beskytter Zonen fra spoofete IP addresser.

Her er ett utsnitt fra hjelp (?) i høyre hjørne:

blogg_zone_prot_08

Denne typen info finner du under alle fanene, jeg tok med denne da denne er den viktigste fanen. (Merk IP Drop og TCP Drop er samme fane i 7.0).

blogg_zone_prot_06

Under “TCP Drop” har vi ett par viktige valg når det kommer til asynkron ruting. Standard verdiene for Non-SYN TCP og Asymmetric Path er “global” som betyr at den henter info fra det som er satt i CLI. Men om man har en Zone som man trenger å tillate asynkron ruting, så kan man gjøre det via denne funksjonen. På denne måten trenger du ikke å gjøre om dette for hele brannmuren via CLI.

blogg_zone_prot_07

Her bør man iallefall ha på “ICMP Large Packet”, slik at ingen sender ut masse data med hjelp fra ICMP 🙂

De siste fanene er selvforklarende om man jobber med IPv6.

MERK: Du vil ikke få logger fra Zone Protection så lenge trafikken blir stoppet\tillatt av default intra\inter-zone regler, da disse ikke logger!