�ݺ�ߣ

Kako sam preživeo napad
CryptoLocker-a
Aleksandar Pavlović
Lead system engineer

Informacioni sistem
• Informacioni sistem zasnovan na vSphere platformi, 100%
virtuelizovana infrastruktura
• 1500 korisnika
• ~ 200 virtuelnih mašina
• ~ 100 VDI korisnika
• Visok stepen konsolidacije servisa
• D2D backup – retencija 7 dana, jedna kopija backup-a
• Filtriranje mrežnog saobraćaja do L4 nivoa

Struktura napada
• NM4 cryptolocker – prvi put detektovan 26. aprila 2017. godine
• Napadnuti servisi: email server, backup server, infrastrukturni serveri
• Naknada za ključ - 3 bitcoin-a (8000 USD) po VM
• AES-256 enkripcija
• Sekvencijalni proces enkripcije fajlova

Potencijalni uzroci
• Socijalni inženjering - nedovoljna svest zaposlenih o informatičkoj
sigurnosti
• Infekcija kroz drugi maliciozni softver
• Nedostatak sistema za filtriranje na mrežnom sloju
• Delegacija prava pristupa
• Neuređen proces primene zakrpa

Email server
• Microsoft Exchange Server 2010 (Windows Server 2008 R2) – jedna
instanca
• Broj korisnika ~1500 aktivnih mailbox-ova
• Veličina mailbox baza ~ 2 TB
• Antispam servis u formi agenta za MS Exchange

Backup server
• Veeam Backup and Replication v9 (Windows Server 2008 R2) kao
primarni alat za backup virtuelne infrastrukture
• Lokalni diskovi kao repozitorijum za čuvanje podataka
• 7 dana retencija – kombinacija forever inc. i reverse inc. tipa backup-a
• Jedna kopija backup-a

Dinamika napada
• (čet. 18 h) - početak kriptovanja email servera
• (pet. 8 h) - primećen problem u radu email servera
• (pet. 10 h) - primećen problem u radu backup servera
• (pet. 11 h) - mrežna izolacija servera i korisničkih VM i radnih stanica
trenutak u kom je detektovana stvarna razmera napada
započeto preventivno isključenje virtuelne infrastrukture

Dinamika napada
• (sub.) – uvodni sastanak na kom je prezentovan plan aktivnosti i
obaveza angažovanih osoba
• procena statusa svih serverskih i klijentskih VM
• (ned.) – kloniranje zaraženih virtuelnih mašina
• (pon. uto.) – pokušaj oporavka mail servera iz backup-a.
• utvrđeno da na mail serveru postoje maliciozni fajlovi
• pokretanje procedure za Disaster Recovery Exchange servera

Preventivne mere
• Definisanje politike sigurnosti na nivou organizacije
• Edukacija zaposlenih na temu informatičke sigurnosti
• Unapređenje sigurnosti email saobraćaja:
• Filtriranje email saobraćaja naprednim rešenjima
• Sandboxing mehanizmi za zaštitu email saobraćaja
• Korišćenje SPF, DKIM, DMARC – smanjenje spoofing saobraćaja

Preventivne mere
• Unapređenje sigurnosti filtriranjem korisničkog saobraćaja na višim
slojevima:
• App i URL filtering
• Unapređenje sigurnosti klijenata:
• Definisanjem polisa na nivou antivirusnog rešenja
• Definisanjem GPO na nivou AD (korisničke šifre, mapirani diskovi)
• File serveri?
• Anti ransomware rešenja

Preventivne mere
• Uvođenje centralizovanog backup rešenja na nivou serverske
infrastrukture i radnih stanica
• Pravljenje backup kopija i arhivskih kopija -> 3-2-1 pravilo
• Udaljene kopije
• Verifikacija backup-a

Činjenice
• 43% kompanija koje pretrpe katastrofu, nikada ne uspeju da ponovo
započnu biznis
• 25% kompanija iz SMB segmenta nema udaljenu kopiju svojih
podataka
• 87% kompanija smatra da bi gubitak poslovnih podataka negativno
uticao na poslovanje
• 23% kompanija smatra da bi gubitak poslovnih podataka ostavio
katastrofalne posledice na poslovanje

Zaključak
• Ukupan downtime 1+3 radna dana
• Jedan dan izgubljenih podataka (email servis)
• Email proxy appliance je keširao pristigle mejlove
• Segmentirana mreža sa stanovišta serverske infrastrukture
• Striktno definisane access liste
• Redizajniran backup sistem

Zaključak
• Sveobuhvatno i kontinuirano unapređenje informatičke sigurnosti
• Uvođenje udaljenih kopija backup-a za najbitnije servise

�ݺ�ߣ

Како сам преживео напад CryptoLockera

More Related Content

Како сам преживео напад CryptoLockera