Upload
dokiet
View
218
Download
0
Embed Size (px)
Citation preview
RansomwareLamejorestrategiaparadetectarlo
enServidores
DanielaFda.ArroyoBarocio
Copyright 2016 Trend Micro Inc.
Copyright2016TrendMicroInc.2
Ransomware on server
LasmúlDplescapasdelRansomware
URL
Compromised website
Download ransomware
Exploit kit
Ransomware executable
Attachment
Document
JavaScript
Ransomware on endpoint
ExposureLayer Infec4onLayer
Execution: encrypt files and ransom
Execution: encrypt shared files & folders and ransom
Lateral Movement
Copyright2016TrendMicroInc.3
Server Security
Email Security Endpoint Security
LasmúlDplescapasdelRansomware
Document
JavaScript
Ransomware executable
URL
Download ransomware
Attachment
Web Security
Network Security
Endpoint Security
Exploit kit
Compromised website
Ransomware on endpoint
Execution: encrypt files and ransom
Ransomware on server
Lateral Movement Execution:
encrypt shared files & folders and ransom
Copyright2016TrendMicroInc.4
Usuarios
Obje4vosdelRansomware
LosequiposdelosusuariossonelpuntodeaccesomáscomúnLaspáginaswebqueexplotanvulnerabilidadesyloscorreosdephishingdirigidosonlosvectoresdeataquepreferidos
Copyright2016TrendMicroInc.5
Usuarios
Obje4vosdelRansomware
RedCorpora4va
Tambienusadocomoposiblepuntodeentradau4lizandocarpetascompar4dasElRansomwaresereplicaaotrosusuariosyalosservidoresu4lizandolared
Copyright2016TrendMicroInc.6
Usuarios
Obje4vosdelRansomware
RedCorpora4va
Servidores
Másdestruc4vosymásrentablesLamayoríadelransomwareparaservidoresexplotavulnerabilidadesconocidasU4lizanmovimientolateralparallegaralosservidores
Copyright2016TrendMicroInc.7
Ransomwareeneldatacentermoderno
• UnenfoquemulDcapaquehagamássenDdoparadisminuirelriesgoentodalaempresa
• Lamayoríadelosataquessonalosusuarios,peropuedenpropagarseatodoslosserversmedianterecursoscomparDdos
• Algunosataquesrecientes(Ej.SAMSAM)seaprovechandesistemasvulnerablesonoparchados,obligandoalasempresasapagarunrescatepararecuperarsuoperación
Copyright2016TrendMicroInc.8
https://krebsonsecurity.com/2016/09/ransomware-getting-more-targeted-expensive/ https://www.fbi.gov/news/stories/incidents-of-ransomware-on-the-rise
Copyright2016TrendMicroInc.11
ProtecciónparaservidoresanteransomwareTrendMicroprovee:• AnD-malwareywebreputaDon• BlindajedeVulnerabilidades(intrusionprevenDon)• Detección y prevención de movimientos laterales paradetenerlapropagaciónmediantelaprevencióndeintrusos
• EspecíficamenteparaRansomware:– Detección y alertas ante comunicación de Comando y control
(C&C)– Defensa en file serversWindows & Linux ante infecciones de
ransomwarequeprovengandeusuariosyquerealicencambiossospechososenarchivoscomparDdos
• Monitoreo y alertamiento ante cambios y accesos noautorizadosalosservidores
Copyright2016TrendMicroInc.12
AnD-malwareyreputaciónweb
• PrevieneelaccesoaURLsmaliciosas,inclusoconransomware
• ProtecciónanDmalwareenDemporealensistemasWindows&Linux,basadoenunainteligenciaglobaldeamenazas
Copyright2016TrendMicroInc.14
BlindajedeVulnerabilidades
• Detecciónyprevencióndeataquesmediantevulnerabilidadesdesofwareyaplicaciones(Ej.ElrecienteataqueavulnerabilidadenservidoresJBOSS)
• EscaneoAutomá4co,recomendacionesydesplieguedereglasespecificasparacadaSistemaOperaDvoyaplicación
• ‘ParcheoVirtual’devulnerabilidadeshastaquepuedaaplicarelparchedelfabricante,siesqueésteexisteomigrarsuSistemaOperaDvo
Copyright2016TrendMicroInc.15
Elfabricanteyanodasoporte…
http://www.trendmicro.es/media/wp/protecting-eos-systems-wp-en.pdf
“TrendMicrosecomprometeasoportarlaproteccióndeWindowsServer2003hastael2020yasípermi4runamigraciónfluida”
Copyright2016TrendMicroInc.16
Haycasosqueliteralmentesondevidaomuerte
https://www.hackread.com/ransomware-attack-on-nhs-system/
Copyright2016TrendMicroInc.17
DetecciónyPrevencióndemovimientoslateralesLasreglasdePrevencióndeIntrusospermiteprevenirymonitorear:• Movimientoslateralesdelosatacantesparaevitarquelleguenamásservidores
• Herramientasdelatacante:especialmentetráficoenlareddeherramientasdeadministraciónremota(RATs)
• TípicamenteuDlizadasporlosatacantespara“regresar”ytomarelcontroldelosservidores
Copyright2016TrendMicroInc.18
DetecciónyPrevenciónCommand&Controlanteransomware
Command and Control server
OtrosServers File Servers
EstasreglasenDeepSecurityDetectanyBloqueaneltraficoC&C
Copyright2016TrendMicroInc.19
RansomwareenfileserversDetecciónyPrevencióntemprana
Ransomware Infecta al
usuario final
EndPoints tienen montadas unidades hacia recursos compartidos
Ransomware c i f ra archivos en carpetas c o m p a r t i d a s a u n cuando el servidor no esté infectado
File Server - Windows or Linux
(Samba)
Detección: Rule 1007596 – Identifica actividad sospechosa que renombre las extensiones de archivos en carpetas compartidas - Detecta el renombre de hasta 50
extensiones relacionadas con ransomware.
- Provee detección temprana
Detección y Protección: Rule 1007598 – Identifica actividad sospechosa que este renombrando archivos Actividades en recursos compartidos: - La regla previene el renombrado después de N
renombres en T1 segundos, detiene por T2 segundos
- Ej. Si Deep Security detecta 10 archivos renombrados en 60 seconds, se detiene cualquier actividad de renombre por Ej.24 hrs
Copyright2016TrendMicroInc.20
Monitoreoyalertamiento
Los atacantes suelen ocultar su acDvidadmodificando la configuración de lasherramientasdedetección.Un sistema de monitoreo de integridadpodránoDficarloscambiostanprontocomoseproduzcan.
Accesosnoautorizadosaservidores
Cambiosnoautorizados
LogInspecDonpermiteidenDficareventosseseguridadimportantesennuestroservidores
Copyright2016TrendMicroInc.21
https://www.hackread.com/locky-ransomware-infecting-healthcare-industry/ https://www.helpnetsecurity.com/2016/09/22/ransomware-rising/
IndustriasafectadasporRansomware
Copyright2016TrendMicroInc.22
Noestádemásrecordar:
EducaciónyConcien4zaciónMejoresPrác4cas,Simulación,Entrenamientos
EstrategiatecnológicarobustacontraelRansomwareImplementarmejoresprác4casparalatecnologíatradicionalycomplementarcontecnologíaespecializada
NoPagarelRescatePagaralientaalosatacantesynogaran4zaladevolucióndelosdatos
MantenerlosparchesaldíaMinimizarlaposibilidaddeexploitdevulnerabilidades
ClasificaciónyControldelaInformaciónLimitarelaccesoalainformacióncrí4ca
RespaldosyRestauraciónAutomá4co:3copias,2formatos,1ubicacióndiferente
Copyright2015TrendMicroInc.23
ConDnuidaddelNegocio…LomásimportanteeslaconDnuidaddelnegocio
• ¿Somoscapacesdesostenerlaoperacióndelnegociosinopodemosaccederaciertossistemas?¿PorcuántoDempo?
• ¿Algunavezlohemosprobado?• ¿Conocemoslasuperficiedeataquedenuestrosservidores?• ¿Puedoconocerencualquiermomentolasvulnerabilidadesde
misservidores?NOSEAOTRAVICTIMA