
Deveria haver uma citação gasta de Nietzsche sobre força, mas não a escrevemos.
Um dia isso pode acontecer com qualquer administrador de sistema - ele chega ao trabalho de manhã, verifica a infraestrutura e descobre que no servidor de arquivos, em vez de dados do usuário, há um arquivo e um arquivo de texto com pedido de resgate. O que fazer, como viver e como prevenir a recorrência, entendemos este artigo.
É considerado um caso que aconteceu com a infraestrutura de uma empresa construída em um PC com Windows. Então, nosso herói descobriu pela manhã que no servidor de arquivos, em vez de arquivos do usuário, o arquivo data.zip e readme.txt. O arquivo era protegido por senha e o livro didático tinha um requisito padrão para transferir uma quantia pesada para uma carteira bitcoin, enviar uma confirmação da transferência para o e-mail especificado e receber uma senha em resposta. Como nossos ancestrais nos legaram, eles não entraram em negociações com terroristas, mas o tempo passou e os dados tiveram que ser restaurados.
Quando a situação aconteceu, o pool de tarefas aumentou:
- Recuperar dados
- Definir rota de hacking
- Previna a recorrência
Com a recuperação de dados, tudo é simples - uma cópia noturna é o nosso tudo. Por precaução, examinamos o utilitário para recuperar arquivos excluídos, mas em vão, o Eraser obviamente funcionou no disco. Portanto, decidimos lançar uma cópia de backup e avançar para o ponto sobre como estabelecer a rota de hacking.
Começamos examinando as "evidências". As datas de criação dos arquivos são quase as mesmas e do criador - o administrador local, nada mais interessante. Vamos passar para o sistema operacional. Além do administrador, os usuários possuem uma incompreensível usuário Kelly com direitos administrativos. Já mais interessante! Nós olhamos mais longe. Configurações de rede alteradas - os endereços do Google são especificados como DNS. Isso é muito bom, mas o servidor de arquivos não tem uma conexão direta com a Internet, portanto, não está claro como o invasor conseguiu acessá-lo. Sim, você pode acessar o servidor via RDP, mas este RDP não parece externo. Estamos procurando mais longe.
A empresa possui um servidor de terminal para funcionários que trabalham remotamente. Nós o examinamos. Há muitos logins de força bruta nos logs de segurança, mas nada mais suspeito. Não há usuários desnecessários no sistema, as configurações não foram alteradas, tudo está limpo.
Como estamos falando de funcionários remotos, levantamos as listas desses funcionários e vemos como seus locais de trabalho são configurados. Alguns deles trabalham no servidor de terminal já examinado e alguns em seus PCs. E aqui o ponto de entrada foi encontrado. No PC de um dos designers, havia um usuário local Kelly com direitos administrativos e em sua pasta de download estava o kit de distribuição do WinRar com o qual os dados foram arquivados e havia um apagador para apagar. Ok, nós encontramos o ponto, mas como você entrou no carro e como você entrou no servidor de arquivos?
Uma inspeção detalhada da máquina do projetista revelou que a autenticação em nível de rede não estava habilitada nas configurações de acesso remoto e, além disso, as atualizações não eram instaladas no sistema operacional há muito tempo. Portanto, provavelmente o vetor de ataque foi o seguinte: faça a varredura da porta atrás da qual o acesso RDP está suspenso e investigue-a em busca de vulnerabilidades no nível de verificação do usuário. Em seguida, utilizando uma vulnerabilidade do sistema, execute o código que inicia o usuário Kelly e efetue o login no PC. Depois disso, um arquivador é lançado no PC, o Eraser - e cabe a ele pesquisar a infraestrutura e executar ações maliciosas. Vale ressaltar aqui que, nesse caso específico, a empresa saiu mais barato - os funcionários entraram apenas na hora de restaurar arquivos de uma cópia de backup e pronto. Bem, o administrador, é claro, caiu na distribuição por negligência.Mas os invasores podem ir além - bancos de dados ou documentos com dados não podem ser criptografados, mas colocados fora de alcance. E, finalmente, os próprios backups - é bom que eles não os tenham atingido.
Agora, o mais importante é como não se tornar o herói de tal artigo. Tudo é muito simples aqui: o principal é a vigilância. Confira a lista de verificação:
- Todos os sistemas operacionais têm todas as atualizações mais recentes
- Controle todos os pontos de entrada na infraestrutura
- Não use senhas simples
- Para autenticação de senha, implemente uma política para usar apenas senhas seguras
- Expanda o logon por certificados, se possível
- Renomear contas administrativas sempre que possível
- Use o princípio do menor privilégio
- Firewall interno
- Antivírus corporativo
- Cópia de dados offline
- Monitore a maior atenção ao seu perímetro e reaja
O que se entende por essas recomendações.
As atualizações dos sistemas operacionais não apenas adicionam funcionalidade, mas também eliminam vulnerabilidades que podem ser exploradas por invasores. É importante entender que você não deve apenas atualizar o sistema operacional, mas todo o software que é usado no local de trabalho.
Ao controlar os pontos de saída para o exterior, queremos dizer que é sempre necessário saber quem, por que motivo e como entra na rede da empresa a partir do interior. Não deve haver situações em que o RDP esteja saindo da máquina do contador em uma porta padrão.
Centenas e milhares de artigos, postagens e notas foram escritos sobre a necessidade de usar senhas seguras. Mas as pessoas são divididas entre aquelas cujas senhas foram detectadas e aquelas que as alteraram para outras mais seguras. Digamos de novo - o comprimento é de oito caracteres, o uso obrigatório de letras maiúsculas e minúsculas, números e caracteres especiais. O ideal é usar um gerador, que há muitos, tanto na rede quanto embutido no gerenciador de senhas mais próximo.
E quando falamos de senhas seguras, a política não deve ser consultiva, mas obrigatória. As Políticas de Grupo do Active Directory permitem que os scripts obriguem os usuários a alterar suas senhas em intervalos especificados. Além disso, uma política é definida para o comprimento mínimo da senha e o número de senhas usadas para que o usuário não use duas senhas seguras para políticas, simplesmente alterando-as à medida que se tornam obsoletas.
Senhas fortes são boas, é claro, mas ainda melhores - acesso de certificado. Sim, é mais difícil de implantar, inconveniente em alguns lugares, mas é seguro. Pense nisso, talvez o custo de implementação de uma infraestrutura de PKI seja menor do que o custo de recuperação de dados perdidos em um ataque de hacker.
Renomear registros administrativos ajuda contra ataques de dicionário em contas como Administrador, Admin, Administrador e Admin, que estão presentes nos sistemas por padrão e raramente são bloqueados. Renomear contas administrativas com um conjunto aleatório de letras e números evitará esse tipo de ataque. Obviamente, essa etapa implicará na introdução, se não de um gerenciador de senhas global, pelo menos de um registro de senhas.
O princípio do menor privilégio nos ensina a não conceder direitos desnecessários para executar as tarefas atribuídas. Um serviço que, por exemplo, limpa perfis de usuário de arquivos temporários, na verdade não precisa de direitos administrativos para o servidor de arquivos, ele só precisa de direitos para excluir arquivos no armazenamento de perfis. Além disso, é para a remoção. Você também não precisa de permissão para alterar arquivos. Isso o salvará do problema que surgirá em caso de comprometimento de credenciais, ambas as contas de serviço, e geralmente reduzirá a frente de ataque em sua infraestrutura.
O princípio do menor privilégio também se aplica à presença de um firewall ativado nas máquinas e servidores dos usuários. Deixamos apenas o necessário e desligamos ou proibimos o resto. Se possível, não respondemos às conexões de entrada. Nada mais é o seu lema.
Use um antivírus. Sim, os usuários e administradores de sistema sempre reclamam que o antivírus interfere em seu trabalho, diminui o desempenho e isso é um desperdício extra do dinheiro da empresa e do poder de computação dos computadores. Mas a falta de antivírus mais cedo ou mais tarde cumprirá seu papel e um dia o usuário executará o arquivo da carta e descriptografá-los custará muito mais do que uma licença corporativa para o complexo antivírus.
Foi mencionado acima que é bom não termos chegado aos backups. Você deve sempre ter uma cópia retirada da infraestrutura e o acesso a essas cópias deve ser o mais limitado possível. É caro manter essas cópias atualizadas, mas os usuários ficarão mais felizes com arquivos, mesmo que trimestralmente, do que com a perda total de dados.
E, finalmente, leia os logs de acesso - eles contêm muitas coisas interessantes. Implementar um sistema de prevenção de intrusão completo é caro, mas você pode fazer muito com suas próprias mãos. Analise os endereços de onde vem a varredura de porta ou força bruta de credencial. Verifique regularmente as máquinas e servidores dos usuários em busca de malware.
Obviamente, mesmo a adesão total a essas recomendações não dará a você 100% de garantia contra hacks, mas pelo menos reduzirão a porcentagem de risco. E não se esqueça de treinar seus funcionários, pois mesmo o sistema mais seguro fica indefeso e com total desconhecimento das consequências de determinadas ações. Se um funcionário inseriu suas contas em um formulário de phishing, não importa o quão seguro seja o sistema, o funcionário já foi comprometido. Se o acesso for fornecido a partir de uma máquina infectada, você mesmo lança um malware em sua rede. Tenha sempre cuidado, o descaso com a segurança pode causar danos significativos não só ao colaborador, mas também à empresa como um todo.
Agora, um pouco sobre por que isso não foi feito neste caso. Aqui, também, tudo é simples, como um lápis TM - o local de trabalho do designer foi implantado com uma montagem pirata. Por favor, não cometa esses erros fatais. Em primeiro lugar, é ilegal e, em segundo lugar, você desperdiça mais recursos ao limpar as consequências de tal negligência para com sua infraestrutura de TI. Cuide de você e de seus dados. E se você tem algo a acrescentar no checklist ou na situação como um todo, então você é bem-vindo nos comentários.
Publicidade
Nossa empresa oferece servidores seguros com proteção DDoS gratuita. A capacidade de usar um Windows Server licenciado em planos com 2 GB de RAM ou superior, criar backups de servidor automaticamente ou com um clique.
Usamos drives de servidor extremamente rápidos da Intel e não economizamos em hardware - apenas equipamentos de marca e alguns dos melhores data centers da Rússia e da UE. Apresse-se para verificar.
