Используйте стратегию нулевого доверия, чтобы противостоять WannaCry

Posted on 24/05/2017
DISCLAIMER: this article is older than one year and may not be up to date with recent events or newly available information.
Микросегментация с VMware NSX разделяет ЦОД на множество отсеков, препятствуя распространению вымогательских атак, подобных WannaCry

12 мая 2017 года в СМИ стали появляться сообщения об атаках вымогательского зловреда WannaCry, направленных на организации по всему миру. Это один из самых крупных эпизодов активности вымогательского ПО на сегодняшний день. Полицейская служба Европейского союза (Европол) зарегистрировала более 200 тысяч атак в более чем 150 странах, однако полный масштаб кампании еще не был установлен. Среди жертв вымогателя — организации из всех отраслей.

WannaCry нацелен на устройства Microsoft Windows, он захватывает контроль над компьютерными системами через критическую уязвимость в сетевом протоколе прикладного уровня (SMB) Windows. Он также использует протокол удаленного управления (RDP) как один из векторов распространения атаки. WannaCry шифрует данне на захваченных системах и требует выкуп для возврата данных и контроля над устройством. Зловред распространяется по горизонтали через SMB и RDP и повторяет этот сценарий на других устройствах сети. Анализ WannaCry, произведенный группой реагирования US-CERT, можно найти здесь, с подробным анализом от Malware Bytes можно ознакомиться здесь.

Один из ключевых аспектов повышения уровня цифровой безопасности в организациях и уменьшения вероятности успеха подобных атак — это использование модели минимальных полномочий («нулевого доверия») путем внедрения безопасности прямо в центр сети ЦОДа. Суть концепции «нулевого доверия» состоит в том, чтобы допускать лишь необходимые коммуникации между системами. Для этого необходимо использовать межсетевой экран с отслеживанием состояния соединений (Stateful Firewall), предполагая, что весь сетевой трафик является недоверенным. Это значительно снижает площадь распространения атаки.

Микросегментация с VMware NSX предоставляет необходимый уровень безопасности, эффективно разделяя ЦОД на сегменты для противостояния распространению вымогательских атак, подобных WannaCry.

Далее мы рассмотрим, как NSX может помочь:

  • Противостоять распространению таких зловредов, как WannaCry;
  • Обеспечить мониторинг сетевой активности и распространения атаками;
  • Идентифицировать зараженные системы;
  • Минимизировать дальнейшие риски через микросегментационный подход.
Стадии атаки WannaCry

Прежде чем дать рекомендации по противостоянию атаке, давайте вспомним жизненный цикл WannaCry.

Вооружение:

WannaCry использует эксплойт EternalBlue, который попал к хакерам вследствие утечки из агентства национальной безопасности США. С его помощью злоумышленники используют уязвимость MS17-010 в системе Windows. Попадая на устройство, WannaCry шифрует данные системы, включая файлы офисных программ, базы данных, электронные письма, общие сетевые ресурсы, используя ключи шифрования RSA-2048 с шифрованием AES-128, которые чрезвычайно сложно расшифровать. WannaCry завершает стадию блокировки, публикуя на рабочем столе пользователя сообщение с требованием заплатить выкуп в биткоинах, эквивалентный сумме $300 или более, чтобы вернуть доступ к данным.

Установка / Эксплуатация уязвимости / Шифрование / Контроль и управление:

WannaCry проходит через каждую открытую сессию RDP на зараженной операционной системе, пытаясь распространиться на другие системы. Как только вымогатель попал в сеть, он пытается связаться с центром управления, чтобы захватить контроль и зашифровать данные. Код имеет как прямой, так и прокси-доступ в Интернет. Следующим шагом для червя является установка сервиса под названием «mssecsvc2.0» с отображаемым именем «Служба Microsoft Security Center (2.0)». Червь загружает крипто-модуль при установке службы и переходит к шифрованию системы.

Распространение:

WannaCry проникает внутрь периметра организации через фишинговые письма или другими способами и сканирует все системы по сегментам, распространяясь горизонтально внутри ЦОД. Сканирование не ограничивается системами, активно передающими информацию, но также распространяется и на IP-адреса, полученные путем перехвата широковещательного трафика и DNS запросов. Как только WannaCry получает список IP-адресов, он проверяет порт 445 с помощью случайно сгенерированного фиктивного IP-адреса. Если соединение с портом 445 в уязвимой системе происходит успешно, WannaCry начинает заражать и шифровать систему. В дополнение к этому, зловред сканирует всю подсеть /24 (10 IP-адресов за раз), пытаясь найти дополнительные уязвимые системы.

Предотвращение атаки с VMware NSX

NSX может использоваться для разделения ЦОДа, чтобы предотвратить горизонтальное распространение вымогательской атаки, подобной WannaCry, и обеспечить безопасность сети по модели «нулевого доверия».

Следующие рекомендации, расположенные в порядке приоритета, должны помочь создать микросегментированную среду, которая способна остановить распространение WannaCry.

  1. Отслеживайте трафик по 445 порту с помощью межсетевого экрана NSX. Это обеспечит видимость для SMB-трафика, который может включать трафик атаки или попытки атаки. При обнаружении инфекции действия NSX Firewall Allow или Block, а также журнал событий NSX могут быть проанализированы в SIEM или в анализаторе сетевого поведения.
  2.  Разрешите перенаправление в правилах NSX Firewall, чтобы любой трафик, направленный на критические системы, попадал в интегрированное в NSX IPS-решение, распознающее индикаторы атаки. Даже если зловредное ПО просочилось через периметр, атака может быть обнаружена с помощью анализа горизонтального трафика.
  3. Создайте NSX Security Group для всех виртуальных машин, использующих операционную систему Windows, чтобы вычислить потенциально уязвимые машины. Это действительно легко сделать в NSX, поскольку вы можете группировать виртуальные машины, основываясь на таких признаках, как ОС, вне зависимости от их IP-адресов.
  4. Активируйте встроенный мониторинг активности процессов (NSX Endpoint Monitoring, доступно начиная с версии 6.3) в виртуальных машинах, чтобы обнаружить процесс mssecsvc0. Если процесс был обнаружен, проверьте, пытаются ли эти виртуальные машины устанавливать соединения по протоколу SMB.
  5. Задайте правила межсетевого экрана, чтобы заблокировать/мониторить весь трафик, направленный на порт 445 в /24 подсети любой виртуальной машины, найденной в этом списке.
  6. Используйте NSX Endpoint Monitoring, чтобы выяснить, используется ли mssecssvc0 в системах, на которые еще не установлены обновления безопасности. NSX также может обнаружить начало новой атаки.

Дополнительные превентивные меры включают блокировку RDP-коммуникаций между системами и блокировку всех desktop-to-desktop коммуникаций в среде VDI. С NSX Firewall этот уровень требований может быть реализован одним правилом.

Построение архитектуры защищенного ЦОДа с микросегментацией NSX

С микросегментацией NSX организации могут внедрить модель «нулевого доверия». Для сред, использующих NSX, распределенный межсетевой экран дает контроль над безопасностью для каждого vNIC каждой VM. Это контролирует коммуникации между виртуальными машинами (даже если они в одном сетевом сегменте), в отличие от традиционной модели межсетевых экранов, в которой коммуникации внутри сегмента обычно не контролируются, что позволяет вредоносному ПО легко горизонтально распространяться. С архитектурой «нулевого доверия», предлагаемой NSX, любые неразрешенные потоки будут блокироваться по умолчанию, вне зависимости от того, какие сервисы были использованы виртуальной машиной. В таких условиях зловреды, подобные WannaCry, не смогут распространяться, соответственно, снижается вероятность негативных последствий для ЦОДа и всей организации.

Узнайте подробнее о возможностях VMware NSX: http://www.vmware.com/ru/products/nsx.html 

Подписывайтесь на @VMware_rus в Twitter и на нашу страницу в Facebook, чтобы всегда быть в курсе анонсов и новостей.


Category: Uncategorized

Tags: , ,

Related Articles

Posted on 27/10/2017 by blogsadmin

Как решения VMware помогают повысить уровень обслуживания клиентов: опыт Банка Грузии

Мы всегда с гордостью делимся успехами, которых заказчики достигают с нашими решениями. Проект в, реализованный в Банке Грузии — яркий пример своевременного и эффективного взаимодействия. В Банке Грузии работают 6 000 сотрудников, более 200 из которых заняты в ИТ-подразделении. Миссия ИТ — поддерживать клиентов, инвесторов и сотрудников банка благодаря экспертизе, преданности своему делу и инновациям. […]

1 minute read
Posted on 12/07/2017 by blogsadmin

Кросс-облачный подход: как убедиться, что вы все делаете правильно?

Ричард Манро (Richard Munro), технический директор по облачным сервисам в регионе EMEA, VMware, рассказывает о важной роли  VMware’s Cross—Cloud Architecture в ускорении облачной трансформации заказчиков. Вне зависимости от масштаба стратегии, которой вы придерживаетесь — всегда есть риск потерять концентрацию, отвлечься и принять неверное решение. Это справедливо и для кросс-облачного подхода, который помогает всем направлениям бизнеса […]

1 minute read
Posted on 28/03/2019 by vmwarerussia

Решение проблемы со сложностью приложений в многооблачных средах

При оценке воздействия технологий на организацию обычно учитывается их влияние на инфраструктуру и платформы: локальные и внешние среды, облако, центры обработки данных, сети и, возможно, вычисления на периметре сети. Таким же образом можно оценить значимость и эффективность с учетом преимуществ оптимизации расходов, обеспечения адаптивности, ускорения выхода на рынок, усиления безопасности, соответствия нормативным требованиям и расширения […]

1 minute read

Comments

No comments yet

Add a comment

Your email address will not be published.

*

This site uses cookies to improve the user experience. By using this site you agree to the privacy policy