ENS 10.7 baja la cortina del ransomware


La protección contra ransomware y la respuesta a incidentes es una batalla constante para TI, ingenieros de seguridad y analistas en circunstancias normales, pero con la cantidad de personas que trabajan desde casa durante la pandemia de COVID-19, ese desafío alcanza nuevas alturas. ¿Cómo se asegura un nivel equivalente de protección de malware adaptable dentro o fuera de la red corporativa? ¿Cómo se habilitan los servicios remotos de forma segura? ¿Cuánto tiempo le llevará recuperar los sistemas remotos del usuario final y los datos cifrados por ransomware?

A medida que los trabajadores remotos y los ingenieros de TI utilizan cada vez más el Protocolo de escritorio remoto (RDP) para acceder a los recursos internos, los atacantes encuentran más debilidades para explotar. Los atacantes explotan los débiles controles de autenticación o seguridad e incluso recurren a comprar contraseñas RDP en los mercados clandestinos. Explotar estas debilidades puede proporcionarle al administrador del atacante acceso y una ruta fácil para instalar ransomware u otros tipos de malware, y luego encontrar su camino en la red corporativa. Para ver algunos ejemplos de cómo los atacantes están explotando las debilidades de RDP, consulte publicaciones de blog adicionales de McAfee Advanced Threat Research (ATR)

En este blog, le mostraremos cómo puede aprovechar Endpoint Security o ENS, la Plataforma de protección de puntos finales (EPP) de McAfee, liderada por algunas de las nuevas capacidades en ENS 10.7 y MVISION Endpoint Detection and Response (EDR), para hacer precisamente eso.

ENS 10.7, con módulos de prevención de amenazas, firewall, control web y protección adaptable frente a amenazas respaldados por Global Threat Intelligence (GTI), ofrece capacidad de defensa en profundidad adaptable contra las técnicas utilizadas en ataques de ransomware dirigidos. Para obtener más ejemplos de estas técnicas, consulte el blog reciente de McAfee ATR en LockBit. El emparejamiento de ENS 10.7 con MVISION EDR brinda a los analistas de SOC un poderoso conjunto de herramientas para identificar rápidamente los intentos de robar credenciales y avanzar lateralmente hacia la red.

Finalmente, McAfee ePolicy Orchestrator (ePO) proporciona una consola de administración central para políticas de seguridad de punto final, recopilación de eventos e informes sobre sus sistemas protegidos dentro o fuera de la red corporativa. Exploremos algunos de los pasos defensivos clave que puede tomar para reducir su riesgo contra el ransomware dirigido.

Prevenga el acceso inicial con la prevención de amenazas

El módulo de Endpoint Security Threat Prevention contiene varias capacidades que incluyen escaneo de firmas y prevención de exploits a través del bloqueo de comportamiento y análisis de reputación, para evitar que un atacante obtenga acceso al sistema. El primer paso es asegurarse de tener el nivel mínimo de seguridad establecido. Esto incluye seguir las mejores prácticas para las políticas de escaneo en acceso y bajo demanda, los archivos y el motor DAT actualizados y el contenido de prevención de exploits, así como el acceso de Global Threat Intelligence habilitado. Los ataques de ransomware dirigidos también pueden aprovechar las técnicas de explotación sin archivos que podrían evitar los análisis de firmas basados ​​en archivos y las verificaciones de reputación. Las reglas de prevención de exploits se pueden configurar para registrar o bloquear el comportamiento de PowerShell.

Sin embargo, PowerShell es una herramienta de administración de sistema legítima y recomendamos un período de observación y prueba antes de configurar cualquiera de estas reglas para bloquear. Para algunas prácticas recomendadas, puede revisar esta guía como punto de partida o consultar con el soporte para los últimos documentos.

Restrinja RDP como un vector de ataque inicial con el firewall de Endpoint Security

Si se necesita RDP para acceder a recursos internos en un servidor o para solucionar problemas de un sistema remoto, la mejor práctica es restringir el acceso al servicio utilizando un firewall. Esto evitará que los atacantes aprovechen RDP como el vector de acceso inicial. ENS 10.7 contiene un firewall con estado totalmente administrado a través de McAfee ePolicy Orchestrator (ePO). Puede crear políticas para restringir el acceso RDP a un cliente remoto a solo direcciones IP autorizadas, restringir el uso de salida para evitar el movimiento lateral por RDP o bloquear el acceso a ese puerto por completo. Aquí hay un configuración de ejemplo restringir acceso entrante a un sistema remoto en RDP.

  1. Abra su política de reglas de firewall y localice la regla predeterminada en Herramientas de red.

  1. Si está utilizando un puerto no estándar para RDP, ajuste el puerto local para esta regla adecuadamente.
  2. Modifique la regla agregando direcciones IP autorizadas como redes remotas (estas son las direcciones remotas autorizadas para conectarse a sus puntos finales).

  1. Guarde los cambios y aplique la política a los puntos finales para restringir el acceso a RDP.

Para una seguridad adicional, cree una regla idéntica pero configure para bloquear en lugar de permitir, colóquela debajo de la regla anterior y elimine las direcciones IP remotas (de modo que se aplique a todas las conexiones RDP que no coincidan con la regla anterior).

  1. Establezca esta regla como una intrusión para que registre todos los eventos denegados y los reenvíe a ePO.

Los analistas de seguridad en el SOC pueden monitorear e informar sobre intentos de acceso no autorizados a través de paneles de control de ePO. Los registros de eventos son útiles para alertas tempranas, análisis de tendencias y para la detección y respuesta de amenazas.

Puede encontrar más información sobre las características del firewall de Endpoint Security aquí.

Prevenir el acceso a sitios web maliciosos con control web

Los atacantes a menudo aprovechan los pozos de agua y el phishing con enlaces a sitios maliciosos para obtener acceso inicial o infiltrarse aún más en la red. Cuando un usuario está en la red corporativa, a menudo está detrás de un proxy web como McAfee Web Gateway. Sin embargo, muchos de sus clientes móviles se dirigen directamente a Internet y no a través de la VPN corporativa. Esto crea más exposición a las amenazas basadas en la web. El módulo de Control web de Endpoint Security monitorea la actividad de búsqueda y navegación web en las computadoras cliente y protege contra las amenazas en las páginas web y en las descargas de archivos.

Utiliza McAfee ePO para implementar y administrar Control web en sistemas cliente. La configuración controla el acceso a los sitios en función de su clasificación de seguridad, la reputación de Global Threat Intelligence, el tipo de contenido que contienen y su URL o nombre de dominio. Los ajustes de configuración le permiten ajustar la sensibilidad para que sea más o menos restrictiva en función de su apetito de riesgo.

Si es cliente de McAfee Web Gateway o Web Gateway Cloud Service, debe usar McAfee Client Proxy (MCP). MCP trabaja con Control web para enrutar el tráfico al proxy correcto y proporcionar una capacidad de defensa en profundidad para la protección web para usuarios dentro o fuera de la red corporativa.

Los anteriores son solo algunos ejemplos del uso de Endpoint Security Threat Prevention, Web Control y Firewall para restringir los vectores de ataque iniciales. Para obtener más información sobre las mejores prácticas de Endpoint Security para restringir los vectores de entrada iniciales, visite aquí.

Veamos algunos pasos más importantes para proteger los sistemas contra ransomware dirigido.

Bloquear las joyas de la corona de seguridad

Si un atacante ingresa al sistema a través de cuentas robadas RDP o vulnerabilidad, puede intentar modificar, eliminar o deshabilitar el software de seguridad. En ePO, debe asegurarse de que la autoprotección esté activada para evitar que los servicios y archivos de McAfee en el punto final o el sistema del servidor se detengan o modifiquen.

Asegúrese de que ENS esté configurado para requerir una contraseña para la desinstalación.

Los analistas de seguridad deben estar en alerta máxima para cualquier sistema que tenga desactivada la autoprotección. ePO contiene una consulta predeterminada titulada Endpoint Security: estado de cumplimiento de autoprotección que se puede utilizar para completar un panel de monitoreo continuo o se puede empaquetar en un informe diario.

Interrumpa y visualice el comportamiento del atacante con la Protección adaptable frente a amenazas (ATP)

ATP agrega varias capacidades más, como el aprendizaje automático, la inteligencia de amenazas, el escaneo de scripts y el análisis del comportamiento de las aplicaciones, para interrumpir las técnicas de ataque dirigido, incluidos los ataques basados ​​en archivos o sin archivos.

ATP identifica las amenazas al observar comportamientos y actividades sospechosas. Cuando ATP determina que el contexto de una ejecución es malicioso, bloquea la actividad maliciosa y, si es necesario, remedia (consulte la sección Remediación mejorada a continuación). ¿Como funciona esto? El escáner Real Protect inspecciona actividades sospechosas en los sistemas del cliente y utiliza técnicas de aprendizaje automático para detectar patrones maliciosos. El escáner Real Protect puede escanear un script transmitido por la red, determinar si es malicioso y, si es necesario, detener el script. El escaneo de secuencias de comandos de Real Protect se integra con AMSI para proteger contra secuencias de comandos no basadas en navegador, como PowerShell, JavaScript y VBScript.

Para obtener más información sobre cómo ATP remedia las amenazas, consulte la guía del producto aquí.

Una de las características más nuevas de ENS 10.7 es Story Graph. Story Graph proporciona una representación visual de las detecciones de amenazas. A continuación se muestra un ejemplo de un escenario de ataque simulado sin archivos donde un documento de Word, entregado a través de phishing, aprovecha una macro y PowerShell para proporcionar comando y control, luego elevar privilegios y realizar movimientos laterales.

La visualización proporciona un análisis de línea de tiempo y un contexto alrededor del evento. Capturó correctamente el comportamiento de ataque, incluida la comunicación a una dirección IP de atacante externo. Con esta visualización, un administrador o analista de seguridad puede determinar rápidamente que ATP detuvo rápidamente el comportamiento malicioso, evitando la actividad de seguimiento prevista por el atacante. El contexto adicional, como el proceso de origen y una dirección IP de descarga, se puede utilizar para futuras investigaciones utilizando otras fuentes de registro, por ejemplo. Es importante tener en cuenta que en este ejemplo, si el módulo de Prevención de amenazas, como se describió anteriormente, se configuró para bloquear todo el comportamiento de PowerShell, este ataque se habría detenido antes en la cadena. Lea más para ver cómo se ve este escenario de ataque en MVISION EDR.

Para obtener más información sobre cómo ATP protege contra ataques sin archivos, visite aquí.

Usar un documento de Word y PowerShell es solo un ejemplo de ataques de enmascaramiento en archivos comunes. Para obtener más ejemplos de estas técnicas, consulte el blog de ATR sobre el ransomware LockBit.

ATP ofrece recuperación automática de archivos con corrección mejorada

Si alguna vez has visto una nota de rescate, como la de Wanna Decryptor a continuación, sabrás cuán grande puede ser un problema. Le costará tiempo, dinero y probablemente conducirá a la pérdida de datos.

Si esto sucede en un sistema de usuario remoto, dará lugar a un tiempo de inactividad prolongado, usuarios frustrados y presentará desafíos importantes para la recuperación.

Una de las nuevas capacidades de ENS 10.7 es la remediación mejorada. Esta característica monitorea cualquier proceso con una reputación desconocida y respalda los cambios realizados por esos procesos. Si los procesos exhiben un comportamiento malicioso según lo determinado por el análisis y la reputación del aprendizaje automático, la corrección mejorada revierte automáticamente los cambios realizados en el sistema y los documentos a un estado anterior.

Puede ver cómo los archivos impactados por el ransomware pueden restaurarse a través de Remediación mejorada en este video.

(incrustar) https://www.youtube.com/watch?v=OwJSZT2U4kM (/ incrustar)

La corrección mejorada requiere que ATP esté habilitado y las políticas para la contención dinámica de aplicaciones estén configuradas. El escaneo dinámico de Real Protect también debe estar habilitado en el sistema. Real Protect Dynamic aprovecha el aprendizaje automático en la nube para identificar comportamientos sospechosos y es necesario para determinar la reputación de un archivo que se utiliza para desencadenar una acción de corrección mejorada.

Para obtener información sobre cómo configurar ATP, consulte la guía del producto aquí. Para obtener más prácticas recomendadas sobre cómo ajustar las reglas de Contención de aplicaciones dinámicas, revise el artículo de la base de conocimiento aquí.

Una vez que se establecen las políticas, asegúrese de habilitar "Remediación mejorada" y "Supervisar y corregir archivos eliminados y modificados"

Si un archivo es condenado por Real Protect Dynamic y Enhanced Remediation está habilitado con la configuración anterior, la recuperación se realiza automáticamente. La configuración "Supervisar y corregir archivos eliminados o modificados" debe estar habilitada para garantizar que los archivos modificados por el ransomware se restablezcan al estado anterior.

Para obtener más información sobre cómo funciona la remediación mejorada, consulte la guía del producto aquí.

Monitoreo continuo con ePO Protection Workspace

Ahora que tiene implementados controles de protección con Prevención de amenazas y Protección adaptable contra amenazas, puede monitorear el uso del Panel de cumplimiento en ePO para garantizar que todos los clientes administrados se mantengan actualizados.

Además, los eventos activados por ATP se pueden enviar a ePO. Los analistas de SOC deben monitorear estos eventos y usar el Gráfico de historia también para obtener capacidad de investigación adicional. Para obtener más información sobre cómo informar y consultar eventos en ePO, consulte la guía del producto aquí.

Monitoreo proactivo y caza con MVISION EDR

Una de las primeras preguntas que un cazador de amenazas debe responder cuando se descubre una nueva amenaza es "¿estamos expuestos?" Por ejemplo, es posible que tenga una política que ya prohíba o restrinja el RDP, pero ¿cómo sabe que se aplica en cada punto final? Con MVISION EDR, puede realizar una búsqueda en tiempo real en todos los sistemas administrados para ver lo que está sucediendo en este momento. La captura de pantalla siguiente muestra una búsqueda en tiempo real para verificar si RDP está habilitado o deshabilitado en un sistema. Esto proporciona una visión de los sistemas potencialmente en riesgo y también puede ser un contexto útil como parte de una investigación.

La búsqueda en tiempo real también puede identificar sistemas con conexiones activas en RDP …

MVISION EDR también mantiene un historial de conexiones de red entrantes y salientes desde el cliente. Realizar una búsqueda histórica de tráfico de red podría identificar sistemas que se comunicaron activamente en el puerto 3389 a direcciones no autorizadas, lo que podría detectar intentos de explotación.

Para un analista de seguridad, los proveedores de EDR ofrecen varios beneficios para acelerar la detección y respuesta ante amenazas. Para obtener más información sobre esos beneficios, consulte la guía del producto aquí. En nuestro escenario de ataque simulado sin archivos descrito anteriormente, el gráfico de la historia reveló una conexión de PowerShell a una dirección IP externa. Supongamos que un administrador de ePO de alerta creó un ticket para una mayor investigación. Un primer paso del analista podría ser la búsqueda de la actividad de la red.

La búsqueda en tiempo real en EDR de esa actividad de red se ve así …

Una búsqueda histórica de la misma actividad de PowerShell en EDR ahora revela los comandos codificados utilizados en el vector de entrada inicial …

EDR también permite el monitoreo proactivo por parte de un analista de seguridad. El Panel de Monitoreo ayuda al analista en el SOC a clasificar rápidamente el comportamiento sospechoso. En este caso, el ataque aprovechó Word y PowerShell para obtener acceso y aumentar los privilegios. El escenario de ataque desencadenó una serie de amenazas altas y proporciona mucho contexto para que el analista tome una determinación rápida de que se ha intentado un ataque, lo que requiere una acción adicional …

Nuestra investigación sobre ataques de ransomware dirigidos revela que si un atacante explota con éxito a un cliente, sus próximas acciones involucran escalada de privilegios y movimiento lateral (vea nuestro blog en LockBit). Nuevamente, puede usar MVISION EDR para detectar rápidamente estas técnicas.

El Panel de alertas en EDR lo ayudará a identificar rápidamente los intentos de escalada de privilegios y otras técnicas de ataque según lo definido por el marco MITER ATT & CK.

El movimiento lateral suele ser el siguiente paso y eso puede implicar muchas técnicas diferentes. Nuevamente, el Panel de alertas identifica técnicas de movimiento lateral con detalles sobre la actividad específica que activó la alerta.

Conclusión

Ransomware y RDP son una combinación peligrosa. La protección de sus usuarios finales remotos requiere una configuración de línea de base segura y buena de Endpoint Security con un firewall y autoprotección habilitados y acceso a capacidades adaptables, como la protección adaptable frente a amenazas con corrección mejorada. La función Remediación mejorada solo está disponible a partir de la versión ENS 10.7, por lo que si está ejecutando versiones anteriores de ENS o incluso VSE (yikes), entonces es hora de actualizar.

Sin embargo, evitar que el ransomware dirigido tenga un impacto en el negocio requiere más que prevención. Tanto ePO como EDR brindan la capacidad de detección proactiva, investigaciones más rápidas y búsqueda continua.

Finalmente, la adaptabilidad requiere inteligencia de amenazas. Los investigadores y laboratorios de McAfee Advanced Threat están monitoreando activamente el panorama de amenazas y actualizando continuamente los sistemas McAfee Global Threat Intelligence. Asegúrese de que Endpoint Security y otros productos de McAfee estén utilizando GTI para obtener la protección más reciente.

Para obtener más información sobre ataques y técnicas de ransomware dirigidos, consulte el blog de ATR.

Para obtener más detalles sobre cómo asegurar el acceso RDP en general, puede consultar un blog anterior de McAfee.





Enlace a la noticia original