Download - Како сам преживео напад CryptoLockera
![Page 1: Како сам преживео напад CryptoLockera](https://reader033.vdocuments.net/reader033/viewer/2022051301/5a64c2ab7f8b9a900f8b4889/html5/thumbnails/1.jpg)
Kako sam preživeo napad CryptoLocker-a
Aleksandar Pavlović
Lead system engineer
![Page 2: Како сам преживео напад CryptoLockera](https://reader033.vdocuments.net/reader033/viewer/2022051301/5a64c2ab7f8b9a900f8b4889/html5/thumbnails/2.jpg)
Informacioni sistem
• Informacioni sistem zasnovan na vSphere platformi, 100% virtuelizovana infrastruktura
• 1500 korisnika
• ~ 200 virtuelnih mašina
• ~ 100 VDI korisnika
• Visok stepen konsolidacije servisa
• D2D backup – retencija 7 dana, jedna kopija backup-a
• Filtriranje mrežnog saobraćaja do L4 nivoa
![Page 3: Како сам преживео напад CryptoLockera](https://reader033.vdocuments.net/reader033/viewer/2022051301/5a64c2ab7f8b9a900f8b4889/html5/thumbnails/3.jpg)
Struktura napada
• NM4 cryptolocker – prvi put detektovan 26. aprila 2017. godine
• Napadnuti servisi: email server, backup server, infrastrukturni serveri
• Naknada za ključ - 3 bitcoin-a (8000 USD) po VM
• AES-256 enkripcija
• Sekvencijalni proces enkripcije fajlova
![Page 4: Како сам преживео напад CryptoLockera](https://reader033.vdocuments.net/reader033/viewer/2022051301/5a64c2ab7f8b9a900f8b4889/html5/thumbnails/4.jpg)
Potencijalni uzroci
• Socijalni inženjering - nedovoljna svest zaposlenih o informatičkoj sigurnosti
• Infekcija kroz drugi maliciozni softver
• Nedostatak sistema za filtriranje na mrežnom sloju
• Delegacija prava pristupa
• Neuređen proces primene zakrpa
![Page 5: Како сам преживео напад CryptoLockera](https://reader033.vdocuments.net/reader033/viewer/2022051301/5a64c2ab7f8b9a900f8b4889/html5/thumbnails/5.jpg)
Email server
• Microsoft Exchange Server 2010 (Windows Server 2008 R2) – jedna instanca
• Broj korisnika ~1500 aktivnih mailbox-ova
• Veličina mailbox baza ~ 2 TB
• Antispam servis u formi agenta za MS Exchange
![Page 6: Како сам преживео напад CryptoLockera](https://reader033.vdocuments.net/reader033/viewer/2022051301/5a64c2ab7f8b9a900f8b4889/html5/thumbnails/6.jpg)
Backup server
• Veeam Backup and Replication v9 (Windows Server 2008 R2) kaoprimarni alat za backup virtuelne infrastrukture
• Lokalni diskovi kao repozitorijum za čuvanje podataka
• 7 dana retencija – kombinacija forever inc. i reverse inc. tipa backup-a
• Jedna kopija backup-a
![Page 7: Како сам преживео напад CryptoLockera](https://reader033.vdocuments.net/reader033/viewer/2022051301/5a64c2ab7f8b9a900f8b4889/html5/thumbnails/7.jpg)
Dinamika napada
• (čet. 18 h) - početak kriptovanja email servera
• (pet. 8 h) - primećen problem u radu email servera
• (pet. 10 h) - primećen problem u radu backup servera
• (pet. 11 h) - mrežna izolacija servera i korisničkih VM i radnih stanicatrenutak u kom je detektovana stvarna razmera napada
započeto preventivno isključenje virtuelne infrastrukture
![Page 8: Како сам преживео напад CryptoLockera](https://reader033.vdocuments.net/reader033/viewer/2022051301/5a64c2ab7f8b9a900f8b4889/html5/thumbnails/8.jpg)
Dinamika napada
• (sub.) – uvodni sastanak na kom je prezentovan plan aktivnosti i obaveza angažovanih osoba
• procena statusa svih serverskih i klijentskih VM
• (ned.) – kloniranje zaraženih virtuelnih mašina
• (pon. uto.) – pokušaj oporavka mail servera iz backup-a.• utvrđeno da na mail serveru postoje maliciozni fajlovi
• pokretanje procedure za Disaster Recovery Exchange servera
![Page 9: Како сам преживео напад CryptoLockera](https://reader033.vdocuments.net/reader033/viewer/2022051301/5a64c2ab7f8b9a900f8b4889/html5/thumbnails/9.jpg)
Preventivne mere
• Definisanje politike sigurnosti na nivou organizacije
• Edukacija zaposlenih na temu informatičke sigurnosti
• Unapređenje sigurnosti email saobraćaja:• Filtriranje email saobraćaja naprednim rešenjima
• Sandboxing mehanizmi za zaštitu email saobraćaja
• Korišćenje SPF, DKIM, DMARC – smanjenje spoofing saobraćaja
![Page 10: Како сам преживео напад CryptoLockera](https://reader033.vdocuments.net/reader033/viewer/2022051301/5a64c2ab7f8b9a900f8b4889/html5/thumbnails/10.jpg)
Preventivne mere
• Unapređenje sigurnosti filtriranjem korisničkog saobraćaja na višim slojevima:• App i URL filtering
• Unapređenje sigurnosti klijenata:• Definisanjem polisa na nivou antivirusnog rešenja
• Definisanjem GPO na nivou AD (korisničke šifre, mapirani diskovi)
• File serveri?
• Anti ransomware rešenja
![Page 11: Како сам преживео напад CryptoLockera](https://reader033.vdocuments.net/reader033/viewer/2022051301/5a64c2ab7f8b9a900f8b4889/html5/thumbnails/11.jpg)
Preventivne mere
• Uvođenje centralizovanog backup rešenja na nivou serverske infrastrukture i radnih stanica
• Pravljenje backup kopija i arhivskih kopija -> 3-2-1 pravilo
• Udaljene kopije
• Verifikacija backup-a
![Page 12: Како сам преживео напад CryptoLockera](https://reader033.vdocuments.net/reader033/viewer/2022051301/5a64c2ab7f8b9a900f8b4889/html5/thumbnails/12.jpg)
Činjenice
• 43% kompanija koje pretrpe katastrofu, nikada ne uspeju da ponovo započnu biznis
• 25% kompanija iz SMB segmenta nema udaljenu kopiju svojih podataka
• 87% kompanija smatra da bi gubitak poslovnih podataka negativno uticao na poslovanje
• 23% kompanija smatra da bi gubitak poslovnih podataka ostavio katastrofalne posledice na poslovanje
![Page 13: Како сам преживео напад CryptoLockera](https://reader033.vdocuments.net/reader033/viewer/2022051301/5a64c2ab7f8b9a900f8b4889/html5/thumbnails/13.jpg)
Zaključak
• Ukupan downtime 1+3 radna dana
• Jedan dan izgubljenih podataka (email servis)
• Email proxy appliance je keširao pristigle mejlove
• Segmentirana mreža sa stanovišta serverske infrastrukture
• Striktno definisane access liste
• Redizajniran backup sistem
![Page 14: Како сам преживео напад CryptoLockera](https://reader033.vdocuments.net/reader033/viewer/2022051301/5a64c2ab7f8b9a900f8b4889/html5/thumbnails/14.jpg)
Zaključak
• Sveobuhvatno i kontinuirano unapređenje informatičke sigurnosti
• Uvođenje udaljenih kopija backup-a za najbitnije servise