Un gusano controla mi red, ¿y ahora qué?
Puede que haya visto los informes respecto que el servicio de Ambulancias de Nueva Zelanda tuvo que volver a procesar manualmente las llamadas después que un gusano afectó a una cantidad de sus sistemas (http://computerworld.co.nz/news.nsf/news/mystery-virus-disrupts-st-johns-ambulance-service). Esto me hizo pensar sobre que se necesita que suceda para enfrentar este tipo de situación, pero primero la escena.
La mayoría de las organizaciones tendrán controles básicos de seguridad. Tendrán políticas, firewalls, antivirus en los equipos de escritorio y puede que también en los servidores. Software de escaneo en el correo y el tráfico web, y posiblemente incluso control USB. Así que primeramente ¿cómo consiguió ingresar el gusano? Esto es pura especulación, basada en experiencias previas y de ninguna forma relacionado en nada con el caso de las ambulancias de Nueva Zelanda. Hablamos aqui hipotéticamente. Entonces ¿que pudo haber pasado?
Hay unos pocos vectores de ataque en los que puedo pensar y sin duda ud. podría agregar otro a estos.
Asi que si la prevención es difícil, deberá enfrentar la realidad que lo que le sucedió a las ambulacias de NZ puede sucederle a uno. Si no se puede impedir se debe detectar. ¿Como se puede identificar el hecho que uno tiene un problema? El peor escenario, que un tercero se lo diga. En el Storm Center solemos contactarnos con ISPs, Corporaciones y si, algunas veces con agencias del gobierno para darles malas noticias, usualmente quedan un poco sorprendidos. Es mucho mejor encontrar por uno mismo estas cosas. Hace que las explicaciones al CEO sean mucho más cómodas.
¿Qué se debería buscar? Se puede mirar en los logs del firewall para ver que tráfico interno está rebotando en el firewall. Examinar los logs del proxy para buscar conexiones a lugares interesantes (inserte aquí sus paises favoritos). Busque múltiples conexiones desde múltiples dispositivos en su red hacia unos pocos lugares de destino. Examine los registros del servidor y de AD para encontrar intentos de logon. Puede que reciba quejas que las cosa están lentas, así que supervise las llamadas a la mesa de ayuda. Los sistemas que dejan de funcionar tambien pueden ser una pista. Si puede emplear una hora, 30 minutos, o incluso menos para mirar diariamente los logs, entonces estará en una mejor posición para identificar alguna rareza. Una vez detectada puede reaccionar.
Encontró el guano, ¿ya hora qué?, apagar el dispositivo lo contendrá, pero es poco probable hacer feliz a la administración, especialmente si empieza a apagar servidores críticos. Debe hacer otra cosa. Los equipos e escritorio pueden ser un poco más sencillos de contener. Puede moverlos a un area de sandbox o entorno aislado. Ponerlos en esta Vlan contenida y harán menos daño al resto de la organización. Idealmente este es un proceso automatizado, pero si no hay mas remedio alguien con los dedos rápidos tambien puede hacerlo. Si se da cuenta que está saliendo (el gusano) de su entorno, necesitará cambiar las reglas del firewall o del IDP/IPS.
Para la erradicación, de forma realista la una opción segura es reconstruirlo. Volver a aplicar una imagen, reinstalar el sistema desde un medio conocido como bueno. Podría intentar el proceso de eliminación documentado por un proveedor de antivirus o de otra organización, pero recuerde que inicialmente no fue detenido. Debido a que el estado de la máquina es desconocido en verdaderamente mejor reconstruirlo, lo siento.
Poniendo todo lo anterior en el contexto del proceso de manejo de incidentes.
Preparación
Adicionalmente a las políticas y los controles de seguridad de base mencionados antes, quizás quiera considerar lo siguiente:
Traducción: Raúl Batista - Segu-Info
Autor: Mark Hofman- Shearwater
Fuente: ISC - Sans
La mayoría de las organizaciones tendrán controles básicos de seguridad. Tendrán políticas, firewalls, antivirus en los equipos de escritorio y puede que también en los servidores. Software de escaneo en el correo y el tráfico web, y posiblemente incluso control USB. Así que primeramente ¿cómo consiguió ingresar el gusano? Esto es pura especulación, basada en experiencias previas y de ninguna forma relacionado en nada con el caso de las ambulancias de Nueva Zelanda. Hablamos aqui hipotéticamente. Entonces ¿que pudo haber pasado?
Hay unos pocos vectores de ataque en los que puedo pensar y sin duda ud. podría agregar otro a estos.
- Opción 1: una laptop estuvo desconectada de la red corporativa por un tiempo, puede no haber recibido parches o mantenida actualizada con parches y el antivirus. Se infectó cuando se conectó a Internet en un lugar inseguro. Cuando se la trajo de vuelta al entorno corporativo (por ejemplo enchufada a la red o conectada mediante VPN) el malware dio un pequeño salto para divertirse y comenzó a propagarse.
- Opción 2: El usuario navega una página web y es víctima de una descarga silenciosa. El malware se descarga y comienza a propagarse.
- Opción 3: Se abre un correo electrónico y el malware es descargado y ejecutado.
Asi que si la prevención es difícil, deberá enfrentar la realidad que lo que le sucedió a las ambulacias de NZ puede sucederle a uno. Si no se puede impedir se debe detectar. ¿Como se puede identificar el hecho que uno tiene un problema? El peor escenario, que un tercero se lo diga. En el Storm Center solemos contactarnos con ISPs, Corporaciones y si, algunas veces con agencias del gobierno para darles malas noticias, usualmente quedan un poco sorprendidos. Es mucho mejor encontrar por uno mismo estas cosas. Hace que las explicaciones al CEO sean mucho más cómodas.
¿Qué se debería buscar? Se puede mirar en los logs del firewall para ver que tráfico interno está rebotando en el firewall. Examinar los logs del proxy para buscar conexiones a lugares interesantes (inserte aquí sus paises favoritos). Busque múltiples conexiones desde múltiples dispositivos en su red hacia unos pocos lugares de destino. Examine los registros del servidor y de AD para encontrar intentos de logon. Puede que reciba quejas que las cosa están lentas, así que supervise las llamadas a la mesa de ayuda. Los sistemas que dejan de funcionar tambien pueden ser una pista. Si puede emplear una hora, 30 minutos, o incluso menos para mirar diariamente los logs, entonces estará en una mejor posición para identificar alguna rareza. Una vez detectada puede reaccionar.
Encontró el guano, ¿ya hora qué?, apagar el dispositivo lo contendrá, pero es poco probable hacer feliz a la administración, especialmente si empieza a apagar servidores críticos. Debe hacer otra cosa. Los equipos e escritorio pueden ser un poco más sencillos de contener. Puede moverlos a un area de sandbox o entorno aislado. Ponerlos en esta Vlan contenida y harán menos daño al resto de la organización. Idealmente este es un proceso automatizado, pero si no hay mas remedio alguien con los dedos rápidos tambien puede hacerlo. Si se da cuenta que está saliendo (el gusano) de su entorno, necesitará cambiar las reglas del firewall o del IDP/IPS.
Para la erradicación, de forma realista la una opción segura es reconstruirlo. Volver a aplicar una imagen, reinstalar el sistema desde un medio conocido como bueno. Podría intentar el proceso de eliminación documentado por un proveedor de antivirus o de otra organización, pero recuerde que inicialmente no fue detenido. Debido a que el estado de la máquina es desconocido en verdaderamente mejor reconstruirlo, lo siento.
Poniendo todo lo anterior en el contexto del proceso de manejo de incidentes.
Preparación
Adicionalmente a las políticas y los controles de seguridad de base mencionados antes, quizás quiera considerar lo siguiente:
- Sin permisos de administrador local
- Segmentación de la red
- IDS/IPS
- Monitoreo y análisis de Logs (ACLs, o firewalls internos)
- VLANS privadas
- Darknet
- Busque actividad de red inusual
- Examine archivos de log
- Familiarícese con su entorno
- Mover el dispositivo a una VLAN aislada
- Apagarlo
- Implementar reglas de firewall, ACLs y otros cambios de configuración que reducen la capacidad de hacer daño.
- Desafortunadamente reconstruir es la opción más segura.
- Algunos proveedores pueden tener un proceso de remoción
- Identificar como entró y desarrollar una estrategia para tapar el agujero
- Reponer los sistemas de forma controlada.
- Monitorear la actividad, vigilar si regresa
- Aprender las lecciones :-)
- Reparar los problemas identificados
- Implementar los controles que idealmente le permitan prevenir, o al menos detectarlo la próxima vez.
Traducción: Raúl Batista - Segu-Info
Autor: Mark Hofman- Shearwater
Fuente: ISC - Sans
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!