Ransomware är ett allt större hot mot organisationer där hela verksamheten kan gå på knäna om det får spridning i nätverket. Wannacry är ett av de ransomware hittills som har fått störst spridning med över 200 000 infekterade datorer i över 150 länder.
Till skillnad från många andra ransomware krävde inte Wannacry att användaren själv exekverade någon kod utan förlitade sig på ett säkerhetshål i Windows som gjorde att koden kunde fjärrexekveras utan användarens vetskap. Vad finns det för metoder att skydda sig mot Wannacry och andra ransomware?
Läs också: Wannacry – det här behöver du veta om den massiva ransomware-attacken
1. Perimeterskydd
SMB är ett protokoll som aldrig ska lämna det interna nätverket. Det bör bara vara tillåtet internt och över virtuella privata nätverk, VPN. De flesta organisationer har någon form av brandvägg som ska filtrera vad som är tillåtet att komma in och ut mot Internet och där skall SMB inte vara tillåtet. Många har ett regelverk där allt tillåts utgående men bara specifika öppningar är gjorda för inkommande trafik. SMB använder följande portar:
UDP och TCP 137
UDP 138
TCP 139
UDP och TCP 445
Uppdatera ditt regelverk till att blockera portarna 137-139 samt 445 utgående och tillåt under inga omständigheter att trafik på dessa portar att komma in till ditt nätverk. Använd VPN om SMB måste användas mot andra kontor.
Här är riktlinjer från Microsoft för att blockera SMB trafik.
2. Patcha dina system
I mars 2017 publicerade Microsoft en kritisk säkerhetsbulletin MS17-010 som beskriver hur en sårbarhet i Server Message Block v1 (SMBv1) öppnar upp för en attack där någon kan skicka speciella meddelanden till SMB för att exekvera sin kod. Detta säkerhetshål är känt som Eternalblue. Wannacry använder sen en bakdörr kallad Doublepulsar för att installera den skadliga koden.
Det tog alltså knappt två månader från att denna patch blev publik till att attacken genomfördes. Kritiska säkerhetsuppdateringar måste installeras så snabbt som möjligt efter att de publiceras. Det är alltid irriterande för användare att behöva installera uppdateringar och starta om datorn men det är ändå inget i jämförelse med att råka ut för att få alla sina filer krypterade.
3. Sluta använd SMBv1
SMBv1 är ett protokoll med över 30 år på nacken. Det utvecklades i en tid då gemene man inte hade en dator och då internet var i sin linda. Oavsett om säkerhetsuppdateringar installeras eller inte kommer det alltid finnas sårbarheter i SMBv1 och det är ett protokoll som inte bör användas längre.
Det finns väldigt få legitima anledningar till att fortsätta använda SMBv1 och de flesta har det aktiverat utan att veta om det. Kontrollera så klart innan SMBv1 avinstalleras/avaktiveras att ni inte har ett lagringssystem eller applikation som är beroende av denna funktionalitet. Om detta är fallet är det hög tid att dessa system uppdateras. Läs mer om SMBv1 här.
4. Använd en filtrerad DNS tjänst
Många ransomware gör ett DNS-anrop mot vad som ser ut att vara ett slumpmässigt domännamn där de hämtar nyckeln som används för att kryptera dina filer. Genom att använda en filtrerad DNS-tjänst såsom OpenDNS kan dessa anrop blockeras vilket gör att ransomware inte kan kryptera dina filter. Detta är ett effektivt sätt att stoppa ransomware som är beroende av DNS-uppslag för att kryptera dina filer. Det finns också ransomware som använder TOR eller lokala mekanismer för att hämta nyckeln som används för kryptering vilket innebär att det skydd som din verksamhet använder behöver klara att hantera flera olika attackvektorer.
5. Installera skydd på dina klienter
Det finns ingen metod som kan skydda mot alla möjliga attacker. Säkerhet måste byggas i lager där flera hinder måste passeras för att en attack ska lyckas. Klienterna bör ha antivirus och antimalware-skydd installerat men helst ska detta skydd ha mer avancerade funktioner att upptäcka hot än vad traditionella AV-lösningar har haft. Tidigare har-AV mjukvara varit baserat på att förhindra virus genom att dess beteende träffar en signatur.
Läs också: Över 300 000 infekterade av Wannacry – men få betalar lösensumman
Dessa signaturer tar ofta ett tag att producera när ett nytt virus har uppstått. Mer moderna lösningar bör använda till exempel sandboxing, analys av beteende, kontroll av DNS-uppslag, kontroll om trafiken skall till en TOR-nod, att kontrollera med ett säkerhetsorgan om filen är ett känt hot osv.
Sandboxing innebär att den okända koden exekveras i en virtuell miljö och beteendet analyseras för att se om koden är skadlig eller inte. En del ransomware och andra virus exekveras inte om de upptäcker att de är i en sandbox. Detta tros vara en av anledningarna till att spridningen av Wannacry stoppades tills vidare då en person med alias MalwareTech registrerade domänen iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
När Wannacry fick kontakt med domänen exekverade den inte länge koden. Om ditt nuvarande AV inte har de funktioner som nämns ovan bör du överväga om det finns en ny version som har det eller om det är dags att byta lösning. Traditionella AV med endast igenkänning baserat på signaturer är inte tillräckligt i dagens it-landskap.
6. Komplettera brandväggen med IPS funktionalitet
Många moderna brandväggar har stöd för Intrusion Prevention System (IPS)- funktionalitet. Om din brandvägg inte har IPS-funktionalitet kan det vara värt att komplettera den med en separat IPS. Genom att identifiera beteendet i nätverkstrafiken kan då IPS blockera trafiken när den upptäcker att ett ransomware är på väg in i nätverket. Detta förutsätter dock att det finns en signatur utvecklad för att upptäcka detta hot. Signaturerna bör hämtas automatiskt via en prenumerationstjänst så att skyddet aktiveras så fort det finns en signatur tillgänglig. Att använda en IPS kräver ofta en viss intrimning då den också kan generera falska alarm. Det finns tillverkare av IPS som haft en signatur för att blockera denna typ av SMB-trafik i cirka en månad. Företag som haft uppdaterade IPS-signaturer har då klarat sig från Wannacry.
7. Segmentera ditt nätverk
Att behöva återställa de anställdas datorer från backup kan vara tillräckligt tidskrävande, omfattande och ansträngande för verksamheten. Att behöva göra samma sak med sina servrar kan vara en total katastrof och ha en oerhörd effekt på verksamhetens möjligheter att kunna tillhandahålla de tjänster som normalt är igång.
Om klienter och servrar befinner sig i samma subnät innebär det ofta att den trafiken inte passerar genom någon brandvägg och att det kan vara svårt att göra filtrering då trafiken inte passerar någon lager tre enhet. Om servrar och klienter befinner sig i olika subnät är det lättare att se till att trafiken passerar en brandvägg eller att använda en access-lista (ACL) som kan blockera trafik mellan segmenten.
8. Blockera trafik mot TOR noder
The Onion Router (TOR) är ett nätverk som används för kommunikation av hemlig art. Det är därför vanligt att detta nätverk används av kriminella för att skydda sin identitet när brott begås. Wannacry använder TOR för att försvåra att spåra den trafik som genereras av Wannacry. Att blockera TOR förhindrar dock inte att att Wannacry kan infektera din dator men i ett företagsnätverk är det inte troligt att det finns legitima skäl till att tillåta TOR-trafik.
Om TOR-trafik inte tillåts finns det en större chans att kunna spåra trafiken. Att blockera TOR kan vara omständligt då det gäller att uppdatera sitt regelverk när nya TOR-noder läggs till. En del leverantörer har stöd för att blockera TOR trafik och då räcker det att skapa en regel så kommer den att uppdateras automatiskt om nya noder läggs till.
Läs också: Här är säkerhetshålet i Windows som Wannacry-masken utnyttjar
Vad ska man göra om det värsta ändå inträffar? Ska man betala för att få sina filer upplåsta? De flesta experter är överens om att betala är fel väg att gå. Det finns ingen garanti för att du faktiskt får dina filer upplåsta. I vissa fall kan det också komma ett program som kan dekryptera dina filer om säkerhetsforskare har hittat svagheter i krypteringen i aktuellt ransomware.
Att betala kan vara en lösning men det är en stor chansning. Förutsatt att det finns aktuella backuper är det bästa att läsa in en sådan och återställa datorn. Gör sedan en post mortem och analysera hur ett ransomware kunde komma in i ditt nätverk. Åtgärda de svagheter som identifieras men tänk också över din säkerhetsstrategi för att öka möjligheten till att förhindra nästa hot som kommer. För det kommer alltid fler…
Den här artikeln publicerades för första gången i maj 2017.
Befattning: Sr Network Architect
Företag: Conscia Netsafe
Linkedin: www.linkedin.com/in/danieldib
Twitter: @danieldibswe
Epost: daniel.dib@netsafe.se
Hemsida: lostintransit.se
Expertområden: Nätverksdesign och säkerhet
Bakgrund: Kvalificerad erfarenhet från flera områden som t.ex. myndigheter, operatörer, kommuner och storföretagsmiljöer. Specialist på att bygga nätverk med snabb konvergens eller multicast transport.