Zsarolóvírus-reagálási ellenőrző lista

Amennyiben egy szervezetet zsarolóvírus támadás ér, a károk minimalizálása érdekében rendkívül fontos az azonnali cselekvés. Mindenekelőtt javasoljuk egy részletes incidenskezelési terv kidolgozását a biztonsági események kezeléséhez, amelyhez figyelmébe ajánljuk az amerikai kormányzati kiberügynökség, a Cybersecurity and Infrastructure Security Agency által közzétett alábbi tanácsok figyelembevételét is:

1. Határozzuk meg, hogy mely rendszereket érinthette a vírus, és ezeket a lehető leghamarabb szigeteljük el a hálózattól!

1. Amennyiben több rendszer vagy alhálózat érintettsége is fennáll, kapcsoljuk le a hálózatot a kapcsoló (switch) szintjén! Könnyen előfordulhat, hogy egy incidens során nem lesz lehetséges az egyes rendszerek önálló lekapcsolása.

2. Ha a hálózat lekapcsolása nem lehetséges azonnal, keressük meg a hálózati (pl. Ethernet) kábelt, és húzzuk ki az érintett eszközöket a hálózatból, vagy távolítsuk el azokat a Wi-Fi hálózatról a fertőzés megfékezése érdekében.

3. A kezdeti hozzáférés után a támadók sok esetben megpróbálják figyelemmel kísérni a szervezet tevékenységét és a belső kommunikációt, azt vizsgálva, hogy továbbra is észrevétlenek maradtak-e. Gyanú esetén ügyeljünk az összehangolt cselekvésre és használjunk az informatikai hálózaton kívüli kommunikációs módszereket, (például telefonhívás) annak érdekében, hogy ne hozzuk a támadók tudomására, hogy lelepleződtek. Ha a támadók észlelik, hogy megkezdtük az elhárítási lépéseket, mindent meg fognak tenni annak érdekében, hogy a hálózaton belül további hozzáféréseket szerezzenek ─ ami már most is egy gyakori taktika ─, vagy még azelőtt élesítik a zsarolóprogramot, mielőtt a hálózatokat offline állapotba helyeznénk.

2. Csak abban az esetben áramtalanítsuk az érintett eszközöket, amennyiben nincs más lehetőségünk leválasztani azokat a hálózatról!

3. Priorizáljunk az érintett rendszerek helyreállítási és visszaállítási sorrend meghatározásához!

1. A helyreállítandó kritikus rendszerek azonosítása és rangsorolása, valamint az érintett rendszerekben tárolt adatok jellegének megerősítése.

  1. A helyreállítás és visszaállítási prioritások meghatározását lehetőleg egy előre meghatározott assetlista alapján végezzük, amely tartalmazza az emberi egészségügyi, biztonsági, termelői és más szempontból kritikus információs rendszereket, valamint az ezektől függő további rendszereket!
  2. Vegyük számba azon rendszereket és az eszközöket is, amelyekről úgy véljük, hogy nem érintettek a fertőzésben, így a helyreállítás és visszaállítás szempontjából hátrébb sorolhatóvá válnak!

4. Egyeztessünk a helyreállítást végző csapattagokkal, hogy a kivizsgálás során ki tudjunk alakítani egy kezdeti képet arról, hogy mi is történt pontosan. Mindezt dokumentáljuk!

5. Vonjunk be releváns külső szereplőket is (például a NBSZ NKI Nemzeti CSIRT szakértőit, külsős informatikai szolgáltatást nyújtó partnereket, kiberbiztonsági szervezeteket), hogy kiderítsük, mivel tudnak hozzájárulni az incidens hatásainak enyhítéséhez, az arra való reagáláshoz, illetve a helyreállítás és visszaállítás segítéséhez!

1. Osszuk meg a rendelkezésére álló információkat, hogy a lehető legidőszerűbb és leghatékonyabb segítséget kaphassuk! A kivizsgálás státuszáról rendszeresen tájékoztassuk a vezetőséget!

6. Készítsünk rendszerképet a fertőzött eszközökről (például szerverek és egyes munkaállomások)! Gyűjtsünk össze minden releváns naplófájlt, valamint mintát az „előfutár” malware binárisokból és a veszélyeztetettségre utaló jelekből (pl. gyanús IP címek, registry-bejegyzések vagy szokatlan fájlok).

1. Gondoskodjunk a digitális bizonyítékok (pl. rendszermemória, Windows biztonsági naplófájlok, tűzfal naplópufferekben lévő adatok) megőrzéséről azok elvesztése vagy módosulásának megelőzése érdekében!

7. Konzultáljunk az NBSZ NKI-val a rendelkezésre álló lehetséges dekódolókkal kapcsolatban, ugyanis lehetséges, hogy a nálunk fertőzést okozó ransomware-hez érhető el dekriptáló kulcs, amellyel visszaszerezhetjük a titkosított fájlokat!

8. Tájékozódjunk az azonosított ransomware variánsról és a javasolt további hálózatvédelmi lépésekről megbízható útmutatók és források segítségével!

1. Tiltsuk le az ismert zsarolóvírus bináris állományok végrehajtását; ez minimálisra csökkenti a rendszereket ért károkat és hatásokat!

9. Azonosítsuk a kezdeti fertőzésben érintett rendszereket és felhasználói fiókokat! (Ebbe beletartozhatnak az e-mail fiókok is.)

10. Vegyünk számba minden olyan kapcsolódó rendszert, amit a támadók jogosulatlan hozzáférésre használhattak! A zsarolóvírus támadások során hitelesítő adatok tömeges kiszivárgásával kell számolnunk. A jogosulatlan hozzáférések elleni intézkedéseket például az alábbiakat foglalhatják magukban:

1. Virtuális magánhálózatok, távoli hozzáférési kiszolgálók, SSO és felhőalapú vagy más nyilvános assetek letiltása.

11. További javasolt intézkedések – szerveroldali adattitkosítást azonosító lépések:

1. Abban az esetben, ha a szerveroldali adatokat egy fertőzött munkaállomás titkosítja, a gyors azonosítási lépések szükségesek:

  1. Ellenőrizzük a munkamenetek és megnyitott fájlok listáját a kapcsolódó szervereken, hogy meghatározzuk a fájlokhoz hozzáférő felhasználókat és rendszereket!

2. Ellenőrizzük a titkosított fájlok vagy váltságdíjfizetési felszólítások (ransom note) fájltulajdonságait, hogy beazonosíthassuk a fájl tulajdonjogához kapcsolódó felhasználókat és csoportokat.

3. Ellenőrizzük a TerminalServices-RemoteConnectionManager eseménynaplóját a sikeres RDP hálózati kapcsolatok ellenőrzéséhez!

4. Ellenőrizzük a Windows biztonsági naplót, az SMB eseménynaplókat és minden olyan kapcsolódó naplófájlt, amely hitelesítést vagy hozzáférési eseményeket tartalmazhat.

5. Futtassuk a Wiresharkot az érintett kiszolgálón egy szűrővel a fájlok aktív írásában vagy átnevezésében részt vevő IP címek azonosításához (pl. „smb2.filename contains cryptxxx”).

12. Végezzük el a meglévő behatolásészlelő és -megelőző rendszerek (vírusirtó, IDS, IPS stb.) és esemény naplók vizsgálatát! Ennek során fény derülhet a támadás korábbi szakaszaiban részt vevő további rendszerekre vagy rosszindulatú szoftverekre vonatkozó bizonyítékokra.

1. Egy zsarolóvírusos esemény egy korábbi, nem észlelt hálózati támadás eredménye lehet. Keressük az ún. dropperek ─ „előfutár” rosszindulatú szoftverek ─ nyomait! Sok zsarolóvírus-fertőzés olyan rosszindulatú szoftverekből ered, mint a TrickBot, a Dridex vagy például az Emotet.

  1. E fejlett malware-ek üzemeltetői gyakran tovább értékesítik a hálózatokhoz szerzett hozzáférést, emellett ezeket a hozzáféréseket gyakran szenzitív adatok kiszivattyúzására is használják, majd a hálózat váltságdíjmentessé tétele előtt az adatok nyilvános közzétételével fenyegetőznek, hogy tovább zsarolják az áldozatot, és fizetésre kényszerítsék.
  2. A rosszindulatú szereplők gyakran kézzel telepített zsarolóprogram-változatokat helyeznek el a hálózaton, hogy elhomályosítsák a veszélyeztetés utáni tevékenységüket. Az újrafertőződés megelőzése érdekében a biztonsági másolatokból történő visszaállás előtt azonosítani kell az ilyen dropper malware-eket.

13. Végezzünk kiterjesztett elemzést kívülről befelé és a belülről kifelé irányuló perzisztencia mechanizmusok azonosításához!

1. A kívülről befelé irányuló perzisztencia magában foglalhatja a külső rendszerekhez való hitelesített hozzáférést csaló fiókokon keresztül, hátsó ajtókat a peremrendszereken, külső sebezhetőségek kihasználását stb.

2. A belülről kifelé irányuló prezisztencia magában foglalhatja a belső hálózaton beültetett rosszindulatú szoftvereket vagy különféle módosításokat (pl. a Cobalt Strike-hoz hasonló kereskedelmi pentester eszközök használata; a PsTools eszközkészlet használata, (beleértve a PsExec-et is), rosszindulatú szoftverek távoli telepítésére és vezérlésére, valamint a Windows rendszerekre vonatkozó információk gyűjtésére vagy távoli kezelésére; PowerShell szkriptek használata).

3. Az azonosítás magában foglalhatja a végpontok észlelési és reagálási megoldásainak telepítését; a helyi és tartományi fiókok ellenőrzését; a központosított naplózási rendszerekben talált adatok vizsgálatát vagy az egyes rendszerek mélyebb forenzic elemzését, miután a támadó tevékenysége feltérképezésre került.

14. A rendszerek újjáépítése a kritikus (például egészségügyi, biztonsági és termelői) szolgáltatások rangsorolása alapján, lehetőség szerint előre konfigurált rendszerképeket használva.

15. A környezet teljes megtisztítása és újjáépítése után ─ beleértve a kapcsolódó érintett fiókokat és a rosszindulatú perzisztencia mechanizmusok eltávolítását vagy helyreállítását ─ jelszó-visszaállítást szükséges végezni az összes érintett rendszeren, valamint a kapcsolódó sebezhetőségek patchelését. Ez a hibajavítások telepítése mellett, a szoftverek új verzióra történő frissítését és egyéb biztonsági óvintézkedések megtételét is magában foglalhatja.

16. A kijelölt informatikai vagy informatikai biztonsági hatóság a megállapított kritériumok alapján ─ amelyek magukban foglalhatják a fenti lépések megtételét vagy külső segítség igénybevételét ─ a zsarolóvírus incidenst befejezettnek nyilvánítja.

17. A rendszerek újrakapcsolása és az adatok visszaállítása offline, titkosított biztonsági mentésekből a kritikus szolgáltatások rangsorolása alapján. Ügyeljünk arra, hogy a helyreállítás során ne fertőzzük meg újra a tiszta rendszereket! Ha például a helyreállítás céljából új virtuális helyi hálózatot hoztak létre, gondoskodjunk arról, hogy az üzemeltetők ehhez csak megtisztított rendszereket adjanak hozzá!

18. Dokumentáljuk az incidensből és a kapcsolódó válaszlépésekből levont tanulságokat, a szervezeti irányelvek, tervek és eljárások frissítése és finomítása, valamint a jövőbeni gyakorlatok irányítása érdekében!

19. Osszuk meg az incidens következtében levont tanulságokat és az azonosított indikátorokat az NBSZ NKI-val is, ezzel segítve az általános érvényű jó gyakorlatok terjesztését!

Forrás: https://www.cisa.gov/stopransomware/ransomware-guide