SlideShare a Scribd company logo

Како сам преживео напад CryptoLockera

Регистар националног Интернет домена Србије - РНИДС
Регистар националног Интернет домена Србије - РНИДС

Презентација даје хронолошки приказ типичног ransomware напада на важне информационе сервисе, догађаје који су претходили нападу, као и мере које су предузете како би се санирале последице напада. Истакнути су уочени пропусти у организацији и мерама сигурности и дате су генералне препоруке у циљу унапређења сигурности важних информационих система.

Internet
1 of 14
Download to read offline
Kako sam preživeo napad CryptoLocker-a Aleksandar Pavlović Lead system engineer
Informacioni sistem • Informacioni sistem zasnovan na vSphere platformi, 100% virtuelizovana infrastruktura • 1500 korisnika • ~ 200 virtuelnih mašina • ~ 100 VDI korisnika • Visok stepen konsolidacije servisa • D2D backup – retencija 7 dana, jedna kopija backup-a • Filtriranje mrežnog saobraćaja do L4 nivoa
Struktura napada • NM4 cryptolocker – prvi put detektovan 26. aprila 2017. godine • Napadnuti servisi: email server, backup server, infrastrukturni serveri • Naknada za ključ - 3 bitcoin-a (8000 USD) po VM • AES-256 enkripcija • Sekvencijalni proces enkripcije fajlova
Potencijalni uzroci • Socijalni inženjering - nedovoljna svest zaposlenih o informatičkoj sigurnosti • Infekcija kroz drugi maliciozni softver • Nedostatak sistema za filtriranje na mrežnom sloju • Delegacija prava pristupa • Neuređen proces primene zakrpa
Email server • Microsoft Exchange Server 2010 (Windows Server 2008 R2) – jedna instanca • Broj korisnika ~1500 aktivnih mailbox-ova • Veličina mailbox baza ~ 2 TB • Antispam servis u formi agenta za MS Exchange
Backup server • Veeam Backup and Replication v9 (Windows Server 2008 R2) kao primarni alat za backup virtuelne infrastrukture • Lokalni diskovi kao repozitorijum za čuvanje podataka • 7 dana retencija – kombinacija forever inc. i reverse inc. tipa backup-a • Jedna kopija backup-a
Dinamika napada • (čet. 18 h) - početak kriptovanja email servera • (pet. 8 h) - primećen problem u radu email servera • (pet. 10 h) - primećen problem u radu backup servera • (pet. 11 h) - mrežna izolacija servera i korisničkih VM i radnih stanica trenutak u kom je detektovana stvarna razmera napada započeto preventivno isključenje virtuelne infrastrukture
Dinamika napada • (sub.) – uvodni sastanak na kom je prezentovan plan aktivnosti i obaveza angažovanih osoba • procena statusa svih serverskih i klijentskih VM • (ned.) – kloniranje zaraženih virtuelnih mašina • (pon. uto.) – pokušaj oporavka mail servera iz backup-a. • utvrđeno da na mail serveru postoje maliciozni fajlovi • pokretanje procedure za Disaster Recovery Exchange servera
Preventivne mere • Definisanje politike sigurnosti na nivou organizacije • Edukacija zaposlenih na temu informatičke sigurnosti • Unapređenje sigurnosti email saobraćaja: • Filtriranje email saobraćaja naprednim rešenjima • Sandboxing mehanizmi za zaštitu email saobraćaja • Korišćenje SPF, DKIM, DMARC – smanjenje spoofing saobraćaja
Preventivne mere • Unapređenje sigurnosti filtriranjem korisničkog saobraćaja na višim slojevima: • App i URL filtering • Unapređenje sigurnosti klijenata: • Definisanjem polisa na nivou antivirusnog rešenja • Definisanjem GPO na nivou AD (korisničke šifre, mapirani diskovi) • File serveri? • Anti ransomware rešenja
Preventivne mere • Uvođenje centralizovanog backup rešenja na nivou serverske infrastrukture i radnih stanica • Pravljenje backup kopija i arhivskih kopija -> 3-2-1 pravilo • Udaljene kopije • Verifikacija backup-a
Činjenice • 43% kompanija koje pretrpe katastrofu, nikada ne uspeju da ponovo započnu biznis • 25% kompanija iz SMB segmenta nema udaljenu kopiju svojih podataka • 87% kompanija smatra da bi gubitak poslovnih podataka negativno uticao na poslovanje • 23% kompanija smatra da bi gubitak poslovnih podataka ostavio katastrofalne posledice na poslovanje
Zaključak • Ukupan downtime 1+3 radna dana • Jedan dan izgubljenih podataka (email servis) • Email proxy appliance je keširao pristigle mejlove • Segmentirana mreža sa stanovišta serverske infrastrukture • Striktno definisane access liste • Redizajniran backup sistem
Zaključak • Sveobuhvatno i kontinuirano unapređenje informatičke sigurnosti • Uvođenje udaljenih kopija backup-a za najbitnije servise

Recommended

Napadi na VPVA - zoss
Napadi na VPVA - zossNapadi na VPVA - zoss
Napadi na VPVA - zossTeam61
 
Developers’ mDay 2021: Jelena Opačić, mCloud – Dobrodošlica
Developers’ mDay 2021: Jelena Opačić, mCloud – DobrodošlicaDevelopers’ mDay 2021: Jelena Opačić, mCloud – Dobrodošlica
Developers’ mDay 2021: Jelena Opačić, mCloud – DobrodošlicamCloud
 
Cloud i Disaster recovery - Vesna Redžić, Coming
Cloud i Disaster recovery - Vesna Redžić, ComingCloud i Disaster recovery - Vesna Redžić, Coming
Cloud i Disaster recovery - Vesna Redžić, ComingABBYY Effective Business Day
 
Klijent Server Sistemi - Ljubomir Lazic
Klijent Server Sistemi - Ljubomir LazicKlijent Server Sistemi - Ljubomir Lazic
Klijent Server Sistemi - Ljubomir LazicZeki Zeki
 
Nikola Petrov-Bezbednost WordPress sajtova - Uvod u WordPress
Nikola Petrov-Bezbednost WordPress sajtova - Uvod u WordPress Nikola Petrov-Bezbednost WordPress sajtova - Uvod u WordPress
Nikola Petrov-Bezbednost WordPress sajtova - Uvod u WordPressDamir Bodor
 
Smart e government 2013
Smart e government 2013Smart e government 2013
Smart e government 2013Saša Đorđević
 
Getting application production ready
Getting application production readyGetting application production ready
Getting application production readyIgor Talic
 
Evolucija cyber pretnji i razvoj cyber
Evolucija cyber pretnji i razvoj cyberEvolucija cyber pretnji i razvoj cyber
Evolucija cyber pretnji i razvoj cyberDejan Jeremic
 

Recommended

Napadi na VPVA - zoss
Napadi na VPVA - zossNapadi na VPVA - zoss
Napadi na VPVA - zossTeam61
 
Developers’ mDay 2021: Jelena Opačić, mCloud – Dobrodošlica
Developers’ mDay 2021: Jelena Opačić, mCloud – DobrodošlicaDevelopers’ mDay 2021: Jelena Opačić, mCloud – Dobrodošlica
Developers’ mDay 2021: Jelena Opačić, mCloud – DobrodošlicamCloud
 
Cloud i Disaster recovery - Vesna Redžić, Coming
Cloud i Disaster recovery - Vesna Redžić, ComingCloud i Disaster recovery - Vesna Redžić, Coming
Cloud i Disaster recovery - Vesna Redžić, ComingABBYY Effective Business Day
 
Klijent Server Sistemi - Ljubomir Lazic
Klijent Server Sistemi - Ljubomir LazicKlijent Server Sistemi - Ljubomir Lazic
Klijent Server Sistemi - Ljubomir LazicZeki Zeki
 
Nikola Petrov-Bezbednost WordPress sajtova - Uvod u WordPress
Nikola Petrov-Bezbednost WordPress sajtova - Uvod u WordPress Nikola Petrov-Bezbednost WordPress sajtova - Uvod u WordPress
Nikola Petrov-Bezbednost WordPress sajtova - Uvod u WordPressDamir Bodor
 
Smart e government 2013
Smart e government 2013Smart e government 2013
Smart e government 2013Saša Đorđević
 
Getting application production ready
Getting application production readyGetting application production ready
Getting application production readyIgor Talic
 
Evolucija cyber pretnji i razvoj cyber
Evolucija cyber pretnji i razvoj cyberEvolucija cyber pretnji i razvoj cyber
Evolucija cyber pretnji i razvoj cyberDejan Jeremic
 
Дигитална виталност: Употреба дигиталних канала комуникације код предузећа у ...
Дигитална виталност: Употреба дигиталних канала комуникације код предузећа у ...Дигитална виталност: Употреба дигиталних канала комуникације код предузећа у ...
Дигитална виталност: Употреба дигиталних канала комуникације код предузећа у ...Регистар националног Интернет домена Србије - РНИДС
 
IPv6 in cellular networks - Jordi Palet
IPv6 in cellular networks - Jordi PaletIPv6 in cellular networks - Jordi Palet
IPv6 in cellular networks - Jordi PaletРегистар националног Интернет домена Србије - РНИДС
 
IPv6 deployment planning Jordi Palet
IPv6 deployment planning Jordi PaletIPv6 deployment planning Jordi Palet
IPv6 deployment planning Jordi PaletРегистар националног Интернет домена Србије - РНИДС
 
IPv6 transition and coexistance - Jordi Palet
IPv6 transition and coexistance - Jordi PaletIPv6 transition and coexistance - Jordi Palet
IPv6 transition and coexistance - Jordi PaletРегистар националног Интернет домена Србије - РНИДС
 
DNS систем и безбедност
DNS систем и безбедностDNS систем и безбедност
DNS систем и безбедностРегистар националног Интернет домена Србије - РНИДС
 
DNSSEC implementation in Russia
DNSSEC implementation in Russia DNSSEC implementation in Russia
DNSSEC implementation in Russia Регистар националног Интернет домена Србије - РНИДС
 
.COM je kul ali i mi smo!
.COM je kul ali i mi smo!.COM je kul ali i mi smo!
.COM je kul ali i mi smo!Регистар националног Интернет домена Србије - РНИДС
 
Едукативни инфографици
Едукативни инфографици Едукативни инфографици
Едукативни инфографици Регистар националног Интернет домена Србије - РНИДС
 
Спамовање лудом радовање
Спамовање лудом радовањеСпамовање лудом радовање
Спамовање лудом радовањеРегистар националног Интернет домена Србије - РНИДС
 
Избор правог интернет хостинга
Избор правог интернет хостингаИзбор правог интернет хостинга
Избор правог интернет хостингаРегистар националног Интернет домена Србије - РНИДС
 
5 предности .RS домена
5 предности .RS домена5 предности .RS домена
5 предности .RS доменаРегистар националног Интернет домена Србије - РНИДС
 
4 корака до доброг интернет сајта
4 корака до доброг интернет сајта4 корака до доброг интернет сајта
4 корака до доброг интернет сајтаРегистар националног Интернет домена Србије - РНИДС
 
Кораци до доброг интернет домена
Кораци до доброг интернет доменаКораци до доброг интернет домена
Кораци до доброг интернет доменаРегистар националног Интернет домена Србије - РНИДС
 
Analiza odnosa IT stručnjaka prema domenima
Analiza odnosa IT stručnjaka prema domenimaAnaliza odnosa IT stručnjaka prema domenima
Analiza odnosa IT stručnjaka prema domenimaРегистар националног Интернет домена Србије - РНИДС
 
DNS систем и безбедност
DNS систем и безбедностDNS систем и безбедност
DNS систем и безбедностРегистар националног Интернет домена Србије - РНИДС
 
Malware - Малициозни софтвер
Malware - Малициозни софтверMalware - Малициозни софтвер
Malware - Малициозни софтверРегистар националног Интернет домена Србије - РНИДС
 
Прича о три домена - Мирјана Тасић
Прича о три домена - Мирјана Тасић Прича о три домена - Мирјана Тасић
Прича о три домена - Мирјана Тасић Регистар националног Интернет домена Србије - РНИДС
 
Stuxnet вирус - настајање и последице
Stuxnet вирус - настајање и последицеStuxnet вирус - настајање и последице
Stuxnet вирус - настајање и последицеРегистар националног Интернет домена Србије - РНИДС
 
.СРБ IDN domain brief history
.СРБ IDN domain brief history.СРБ IDN domain brief history
.СРБ IDN domain brief historyРегистар националног Интернет домена Србије - РНИДС
 
Велики Интернет за мали бизнис
Велики Интернет за мали бизнис Велики Интернет за мали бизнис
Велики Интернет за мали бизнис Регистар националног Интернет домена Србије - РНИДС
 

More Related Content

More from Регистар националног Интернет домена Србије - РНИДС

More from Регистар националног Интернет домена Србије - РНИДС (20)

Дигитална виталност: Употреба дигиталних канала комуникације код предузећа у ...
Дигитална виталност: Употреба дигиталних канала комуникације код предузећа у ...Дигитална виталност: Употреба дигиталних канала комуникације код предузећа у ...
Дигитална виталност: Употреба дигиталних канала комуникације код предузећа у ...
 
IPv6 in cellular networks - Jordi Palet
IPv6 in cellular networks - Jordi PaletIPv6 in cellular networks - Jordi Palet
IPv6 in cellular networks - Jordi Palet
 
IPv6 deployment planning Jordi Palet
IPv6 deployment planning Jordi PaletIPv6 deployment planning Jordi Palet
IPv6 deployment planning Jordi Palet
 
IPv6 transition and coexistance - Jordi Palet
IPv6 transition and coexistance - Jordi PaletIPv6 transition and coexistance - Jordi Palet
IPv6 transition and coexistance - Jordi Palet
 
DNS систем и безбедност
DNS систем и безбедностDNS систем и безбедност
DNS систем и безбедност
 
DNSSEC implementation in Russia
DNSSEC implementation in Russia DNSSEC implementation in Russia
DNSSEC implementation in Russia
 
.COM je kul ali i mi smo!
.COM je kul ali i mi smo!.COM je kul ali i mi smo!
.COM je kul ali i mi smo!
 
Едукативни инфографици
Едукативни инфографици Едукативни инфографици
Едукативни инфографици
 
Спамовање лудом радовање
Спамовање лудом радовањеСпамовање лудом радовање
Спамовање лудом радовање
 
Избор правог интернет хостинга
Избор правог интернет хостингаИзбор правог интернет хостинга
Избор правог интернет хостинга
 
5 предности .RS домена
5 предности .RS домена5 предности .RS домена
5 предности .RS домена
 
4 корака до доброг интернет сајта
4 корака до доброг интернет сајта4 корака до доброг интернет сајта
4 корака до доброг интернет сајта
 
Кораци до доброг интернет домена
Кораци до доброг интернет доменаКораци до доброг интернет домена
Кораци до доброг интернет домена
 
Analiza odnosa IT stručnjaka prema domenima
Analiza odnosa IT stručnjaka prema domenimaAnaliza odnosa IT stručnjaka prema domenima
Analiza odnosa IT stručnjaka prema domenima
 
DNS систем и безбедност
DNS систем и безбедностDNS систем и безбедност
DNS систем и безбедност
 
Malware - Малициозни софтвер
Malware - Малициозни софтверMalware - Малициозни софтвер
Malware - Малициозни софтвер
 
Прича о три домена - Мирјана Тасић
Прича о три домена - Мирјана Тасић Прича о три домена - Мирјана Тасић
Прича о три домена - Мирјана Тасић
 
Stuxnet вирус - настајање и последице
Stuxnet вирус - настајање и последицеStuxnet вирус - настајање и последице
Stuxnet вирус - настајање и последице
 
.СРБ IDN domain brief history
.СРБ IDN domain brief history.СРБ IDN domain brief history
.СРБ IDN domain brief history
 
Велики Интернет за мали бизнис
Велики Интернет за мали бизнис Велики Интернет за мали бизнис
Велики Интернет за мали бизнис
 

Како сам преживео напад CryptoLockera

  • 1. Kako sam preživeo napad CryptoLocker-a Aleksandar Pavlović Lead system engineer
  • 2. Informacioni sistem • Informacioni sistem zasnovan na vSphere platformi, 100% virtuelizovana infrastruktura • 1500 korisnika • ~ 200 virtuelnih mašina • ~ 100 VDI korisnika • Visok stepen konsolidacije servisa • D2D backup – retencija 7 dana, jedna kopija backup-a • Filtriranje mrežnog saobraćaja do L4 nivoa
  • 3. Struktura napada • NM4 cryptolocker – prvi put detektovan 26. aprila 2017. godine • Napadnuti servisi: email server, backup server, infrastrukturni serveri • Naknada za ključ - 3 bitcoin-a (8000 USD) po VM • AES-256 enkripcija • Sekvencijalni proces enkripcije fajlova
  • 4. Potencijalni uzroci • Socijalni inženjering - nedovoljna svest zaposlenih o informatičkoj sigurnosti • Infekcija kroz drugi maliciozni softver • Nedostatak sistema za filtriranje na mrežnom sloju • Delegacija prava pristupa • Neuređen proces primene zakrpa
  • 5. Email server • Microsoft Exchange Server 2010 (Windows Server 2008 R2) – jedna instanca • Broj korisnika ~1500 aktivnih mailbox-ova • Veličina mailbox baza ~ 2 TB • Antispam servis u formi agenta za MS Exchange
  • 6. Backup server • Veeam Backup and Replication v9 (Windows Server 2008 R2) kao primarni alat za backup virtuelne infrastrukture • Lokalni diskovi kao repozitorijum za čuvanje podataka • 7 dana retencija – kombinacija forever inc. i reverse inc. tipa backup-a • Jedna kopija backup-a
  • 7. Dinamika napada • (čet. 18 h) - početak kriptovanja email servera • (pet. 8 h) - primećen problem u radu email servera • (pet. 10 h) - primećen problem u radu backup servera • (pet. 11 h) - mrežna izolacija servera i korisničkih VM i radnih stanica trenutak u kom je detektovana stvarna razmera napada započeto preventivno isključenje virtuelne infrastrukture
  • 8. Dinamika napada • (sub.) – uvodni sastanak na kom je prezentovan plan aktivnosti i obaveza angažovanih osoba • procena statusa svih serverskih i klijentskih VM • (ned.) – kloniranje zaraženih virtuelnih mašina • (pon. uto.) – pokušaj oporavka mail servera iz backup-a. • utvrđeno da na mail serveru postoje maliciozni fajlovi • pokretanje procedure za Disaster Recovery Exchange servera
  • 9. Preventivne mere • Definisanje politike sigurnosti na nivou organizacije • Edukacija zaposlenih na temu informatičke sigurnosti • Unapređenje sigurnosti email saobraćaja: • Filtriranje email saobraćaja naprednim rešenjima • Sandboxing mehanizmi za zaštitu email saobraćaja • Korišćenje SPF, DKIM, DMARC – smanjenje spoofing saobraćaja
  • 10. Preventivne mere • Unapređenje sigurnosti filtriranjem korisničkog saobraćaja na višim slojevima: • App i URL filtering • Unapređenje sigurnosti klijenata: • Definisanjem polisa na nivou antivirusnog rešenja • Definisanjem GPO na nivou AD (korisničke šifre, mapirani diskovi) • File serveri? • Anti ransomware rešenja
  • 11. Preventivne mere • Uvođenje centralizovanog backup rešenja na nivou serverske infrastrukture i radnih stanica • Pravljenje backup kopija i arhivskih kopija -> 3-2-1 pravilo • Udaljene kopije • Verifikacija backup-a
  • 12. Činjenice • 43% kompanija koje pretrpe katastrofu, nikada ne uspeju da ponovo započnu biznis • 25% kompanija iz SMB segmenta nema udaljenu kopiju svojih podataka • 87% kompanija smatra da bi gubitak poslovnih podataka negativno uticao na poslovanje • 23% kompanija smatra da bi gubitak poslovnih podataka ostavio katastrofalne posledice na poslovanje
  • 13. Zaključak • Ukupan downtime 1+3 radna dana • Jedan dan izgubljenih podataka (email servis) • Email proxy appliance je keširao pristigle mejlove • Segmentirana mreža sa stanovišta serverske infrastrukture • Striktno definisane access liste • Redizajniran backup sistem
  • 14. Zaključak • Sveobuhvatno i kontinuirano unapređenje informatičke sigurnosti • Uvođenje udaljenih kopija backup-a za najbitnije servise