CryptoLocker - Jak předejít “útoku” pomocí technologií v operačním systému?

Útočníci hledají nové cesty jak znemožnit uživatelům jejich život, jak získat nějaké jmění. V poslední době se internetem šíří hrozba pod názvem CryptoLocker. Výsledkem jeho činnosti jsou zašifrované soubory na lokálních / výměnných / síťových discích. Pokud nezaplatíte požadovanou částku, je smazán klíč použitý pro šifrování. Nepomůže změna data v BIOSu,… Projevem “infekce” je nemožnost otevřít běžně využívané soubory doc, .docx, .xls, .xlsx, .ppt, .pst, .dwg, .rtf, .dbf, .psd, .raw, .pdf a další. Přijít k tomuto viru je možné v současné době několika možnými způsoby: 1) otevřením přílohy v mailu a spuštěním obsahu přílohy. 2) přístupem na nakaženou webovou stránku. 3) v poslední době stažením a instalací nakaženého kodeku / video ovladače. Tedy jak vidno, ono se o infekci nebo virus v pravém slova smyslu nejedná, stejně tak nejsou využívání žádné známé bezpečnostní chyby v operačním systému, vše je s “laskavým svolením” uživatele. V současné době neexistuje cesta jak navrátit zašifrované soubory do své nezašifrované podoby. Ochranou je prevence: 1) chodit tam a otevírat pouze to co vím, že je bezpečné 2) provádět offline zálohy 3) aktuální antivirové řešení Nicméně je ještě jedna cesta, jak se tomuto napadení, resp. zašifrování souborů bránit - k dispozici již od Windows XP - Software Restriction Policies / AppLocker. Vycházejme z předpokladu, že škodlivý kód je spouštěn z EXE souboru, který dorazí emailem,… (co se situace týká, kdy škodlivý kód je “přibalen” k běžnému SW, pak toto řešení nepomůže, resp. pomůže, ale ovladač,.. nebude spuštěn jako celek). Je možné nadefinovat pravidla pro SRP / AppLocker následovně:

  • %localAppData%*.exe - blokuje spouštění z C:\Users\%username%\AppData\Local

    • %localAppData%**.exe - blokuje spouštění z C:\Users\%username%\AppData\Local*
    • %Temp%\Rar\.exe - blokuje spouštění v TEMP, souborů otevíraných pomocí WinRAR
    • %Temp%\7z\.exe - blokuje spouštění v TEMP, souborů otevíraných pomocí 7zip
    • %Temp%\wz\.exe - blokuje spouštění v TEMP, souborů otevíraných pomocí WinZip
    • %Temp%*.zip*.exe - blokuje spouštění v TEMP, souborů otevíraných pomocí Windows Explorer
    • %localAppData%\Microsoft\Windows\INetCache*.exe - blokuje spouštění souborů v IE temp
    • %localAppData%\Google\Chrome\User Data\Default\Cache*.exe - blokuje spouštění souborů v Chrome temp (pozn. cache je v binární formě, je nepravděpodobné, že by se vyskytl přímo exe soubor)
    • %localAppData%\Mozilla\Firefox\Profiles*.exe - blokuje spouštění souborů v FF temp (pozn. cache je v binární formě, je nepravděpodobné, že by se vyskytl přímo exe soubor)

    Výsledek pak může vypadat např. takto:

    Výhodou řešení je, že je snadno nasaditelné pomocí skupinových politik i v rámci organizací. Pokud bychom chtěli být ochráněni ještě lépe, je vhodné nasadit tzv. Application Whitelisting, tedy nastavit SRP/Applocker tak, aby umožňoval spouštět pouze vyjmenovaný software. Ostatně toto je preferovaná metoda NSA - více v dokumentu http://www.nsa.gov/ia/_files/os/win2k/Application_Whitelisting_Using_SRP.pdf

Autor: Ondřej Výšek

Ondřej je Microsoft MVP od roku 2004, v roce 2008 založil komunitní web optimalizovane-it.cz. Za svou IT karieru, jenž započala v roce 1993 prošel celou řadou pozic, od konzultanta, přes architekt, až po vytváření vizí a strategií zákazníků. V prostředích, ve kterých pomáhal byly desítky, ale i stovky tisíc uživatelů a systémů. V posledních letech se zabývá především cloudovými technologiemi Microsoft 365 a Azure ve společnosti KPCS CZ.

Next Post Previous Post