«Почему мой антивирус не поймал…?» или взгляд на WCRY/PetyaA/notPetya от представителя McAfee

Автор: Руслан Барабашин, CyberSecurity Account Manager, McAfee

Предвижу критику в свой адрес, типа PR во время чумы и реклама своей компании и т.д. но все равно не могу не написать. Жалею, что не написал это в мае, после WannaCry, может быть жертв Petya было бы меньше. Кто видит здесь только рекламу или является приверженцем решений других компаний и не воспринимает другие альтернативы, прошу не читайте. Те же, кто хочет найти решения проблемы защиты от разных типов ransomware и APT, то это для Вас. В течении последних нескольких лет многие вендоры предупреждали и рассказывали про целенаправленные атаки, APT, криптолокеры. Мы стараемся донести до наших клиентов информацию о том какие атаки мы видим по всему миру, их механизмы, что необходимо для защиты от современных видов угроз. Вендора не просто так выпускают новые продукты и технологии. Но не всегда нас слышат… и это приводит к тем последствиям, что мы наблюдаем.

Я не буду описывать саму атаку, подробных описаний и разборов очень много в сети. Выложу некоторые из них:

• от McAfee Labs: https://securingtomorrow.mcafee.com/mcafee-labs/new-variant-petya-ransom...
• от SOC Prime: https://socprime.com/en/blog/petya-a-notpetya-is-an-ai-powered-cyber-wea...

Также хотел бы напомнить, что Информационная Безопасность – это процесс. Процесс уменьшения рисков. Появляются новые угрозы, уязвимости, мы их находим, закрываем, используем новые продукты. Так же ИБ состоит из трех элементов – технологии, процессы и люди. Вендоры предоставляют технологии, обучение людей, но развитие этих людей, выстраивание процессов, выбор технологий – это за Вами. Если клиент выбирает из предоставленных инструментов самый простой, то как он надеется защищаться от сложных атак? Если закупки хотят купить BMW по цене DACIA, что они получают в конечном итоге?

Хочу поделиться моим опытом наблюдений компаний, которые не пострадали или пострадали минимально. В основном НЕ ПОСТРАДАЛИ компании, где соблюдались элементарные правила ИБ:

1. Пользователи не работают под правами администратора! Элементарная и бесплатная реализация, но почему-то во многих компаниях этим пренебрегают.
2. Правильное построение сети – сегментация, VLAN, ACL. Даже при попадании вируса в корпоративную сеть, может произойти заражение одного сегмента, но не всей компании! На одном форуме прочитал, что после атаки XDATA, в одной организации M.E.Doc вынесли в отдельный VLAN. Респект и уважение!
3. Блокировка ненужных сетевых и DNS соединений. Ваша компания работает с Китаем? Использует TOR? Нет? Тогда блокируем.
4. Закрытие неиспользуемых портов. Обе атаки использовали одни и те же порты для распространения. Необходимо было закрыть их при первой возможности.
5. Установка патчей и апдейтов ОС. Без комментариев… must have!
6. Использование полного арсенала антивирусных средств. Хотя сигнатурная защита не поможет справиться с такими атаками, но во многих антивирусных решениях есть дополнительны модули и настройки. Например, при помощи правил доступа (Access Protection Rule) можно запретить исполнение .exe файлов из %Temp% директории.

Не используйте антивирус при дефолтных настройках. Спросите интегратора, что необходимо настроить, прочитайте несколько статей на сайте вендора по рекомендациям и примерам!

• Отказ от неподдерживаемых производителем устаревших систем, таких как Windows XP.

Эти простые вещи должны быть в каждой компании. После этого можно двигаться дальше по усилению мер защиты и детектирования. Я предложу варианты для предотвращения подобных атак в дальнейшем. Т.к. я знаю решения McAfee, то описанные рекомендации будут базироваться на них. Но справедливости ради должен заметить, что McAfee не единственный вендор, который может предоставить сходные возможности.

Первое

Основной функционал, который должен стоять на абсолютно всех серверах, банкоматах и рабочих станция – это контроль приложений. Есть у некоторых вендоров, входит в антивирусные комплекты или продается, как отдельный продукт. У McAfee - это McAfee Application Control, система динамических белых списков, существует на рынке более 10 лет!

Только те программы, которые находятся в белом списке могут запускаться на данной машине. Все остальные – блокируются. Кроме того, McAfee Application Control защищает от переполнения буфера, от запускаемых скриптов и атак с использованием PowerShell. С помощью McAfee Application Control были заблокированы атаки WannaCry/Petya у многих наших клиентов. Для серверов данный продукт предоставляет максимальную защиту и минимальное потребление ресурсов. Пример, как отработал McAfee Application Control и заблокировал несколько попыток загрузки PSEXESVC.EXE

Подробную информацию можно найти здесь: https://www.mcafee.com/ru/products/application-control.aspx

Второе

Для рабочих станций, где приложения часто меняются, дополняются или пользователю предоставляются права неограниченно ставить любой софт, рекомендуем использовать антивирусные комплекты с новейшими разработками McAfee Dynamic Application Containment (DAC) и Real Protect. DAC позволяет запуск файлов с неподтвержденной репутацией в «контейнере» и при наличии подозрительного поведения заблокировать активность. RealProtect это безсигнатурный метод на основе машинного обучения, позволяющий определять вредоносные файлы посредством сравнения их характеристик с известными шаблонами опасного поведения .

По словам одного из моих клиентов, который тестировал в течении 2х месяцев в прошлом году данное решение, все криптолокеры, попавшие к ним в сеть были заблокированы. Также они избежали заражения WannaCry и Petya.

Также эффективность данного решения подтверждает последний отчет NSS Labs в тестах по Advanced Endpoint Protection от Февраля 2017г. McAfee ENS c DAC и RealProtect показал общую эффективность 98.98%. Кому интересен сам отчет и Security Value Map могу выслать.

Модули DAC/RealProtect входят в комплекты McAfee Complete Endpoint Threat Protection, McAfee Endpoint Protection for Business и в дополнительные комплект McAfee Endpoint Threat Defense. Здесь приведен пример блокирования и очистки продуктами DAC/RealProtect

Подробная информация здесь: https://www.mcafee.com/us/products/endpoint-protection/index.aspx

Третье

В последнее время многие забыли о старом добром IPS. IPS может не только останавливать эксплойты, он может блокировать использование уязвимостей, так называемый «виртуальный патчинг». Как известно, обе атаки использовали уязвимость CVE-2017-0144. Например, использование McAfee IPS не только для защиты периметра и ДМЗ, но и в разрез между сегментами сети, позволяет останавливать атаки внутри компании. Очень рекомендую использовать IPS перед серверными фермами и другими ценными активами компании.

Больше информации можно получить здесь: https://www.mcafee.com/ru/products/network-security/index.aspx

Далее, как следующий этап развития можно рекомендовать решения по детектированию угроз.

Четвертое

McAfee Advance Threat Defense (ATD) или «песочница». Для разбора файлов используется как динамический (запуск в защищенной среде), так и статический анализ (анализ кода). Позволяет с высокой точностью определять насколько вредоносен файл, какие действия производит вредоносный файл на системе, к каким IP и доменам дозванивается, что докачивает и т.д. Интегрируется, как с системами защиты рабочих станций и серверов, так с IPS, McAfee Web Gateway.

Сейчас технология доступна даже на виртуальных машинах по отличной цене, что делает её возможным для использования в SMB сегменте также. Песочница позволяет определять скрытые и целенаправленны атаки, которые не могут быть детектированы другими средствами. На днях была анонсирована интеграция с Cisco Email Security.

Пример части анализа PetyaA из McAfee ATD:

Пятое

McAfee Threat Intelligence Exchange (TIE) – Локальный сервер Threat Intelligence, который собирает информацию о репутации файлов, запускаемых на локальных машинах. Обновление репутации происходит автоматически, через глобальное облако репутации McAfee Global Threat Intelligent, либо через песочницу McAfee ATD, либо назначается вручную администратором. Также есть возможность подключить другие источники TI в стандартизованном формате STIX. Интеграцию с TIE поддерживают не только решения McAfee, но и другие производители, например, CheckPoint. Кстати в McAfee GTI репутация по PetyaA появилась очень быстро и клиенты у которых были настроены правила репутаций по GTI могли заблокировать атаку.

Все вышеперечисленные решения отлично вписываются в Aрхитектуру Aдаптивной Безопасности, описанной аналитическим агентством Гартнер в 2015 году.  

Давайте работать вместе для повышения безопасности! Together is Power!