Combatendo Ransomware com auxilio do Kaspersky Security for Windows Server.

Olá, nas últimas semanas tens se falado bastante sobre Ransomware e está cada vez mais comum escutar relatos de vítimas deste tipo de infecção. Mas o que é Ransomware Bernardo? Bem, é um malware que restringe o acesso ao sistema e é cobrado um valor para resgatar os documentos criptografados. Esse valor, é cobrado através de Bitcoin, uma moeda virtual baseada em um protocolo aberto e independente de uma autoridade central. Tornando desta maneira uma forma complexa de invasão, tendo sua criptografia quase impossível de ser quebrada e seu ataque difícil de ser rastreado.

Neste post sairei do padrão do Blog, comentarei sobre uma excelente ferramenta que já utilizo a 3 anos, Kasperksy Enterprise Security. Sou grande apaixonado pela parte de Segurança e grande fã desta solução.

Antes de demonstrar o processo de configuração desta ferramenta, teremos que ter ciência de que apenas a solução não é o suficiente para prevenir esta forma de ataque. Devemos:

1- Não utilizar softwares não originais, cracks e ativadores (Pirataria também é crime);
2- Utilizar vlan para dispositivos moveis e visitantes na sua rede;
3- Manter sempre seus softwares atualizados;
4- E-mails na Nuvem (ex.: Office 365), quando não for possível, usar regras de controle para spam;
5- Utilizar GPOs para bloqueios de USB ou um Endpoint com para ter o mesmo controle (Kaspersky fornece este recurso);
6- Evitar a pratica de colocar usuários como administrador local nas estações (recomendo a leitura deste artigo do Nathan Pinotti Link);
7- Utilizar política de senha complexas em contas de usuários do domínio (Senhas Fortes, recomendo a leitura deste artigo do Nathan Pinotti Link);
8- Soluções de antivírus para workstations e servers, com política de atualização(Kaspersky Security Center, BitDefender entre outros);
9- Avaliar as políticas de acessos em compartilhamentos;
10- Evitar a utilização de permissões com “controle total” e o usuário “todos” em acesso NTFS as pastas compartilhadas;
11- Realizar o monitoramento de portas e serviços abertos/ativos que podem expor a segurança, deixar aberto e ativos apenas os essenciais, uma ótima pratica é realizar a alteração de portas padrões de serviços como RDP, FTP, etc;
12- Criar várias camadas de backup com rotatividade de mídias, incluindo-se opções em nuvem (Recomendo Backup do tipo 321, dois backups físicos em ambientes separados e um nas nuvens);
13- Bloquear acessos à compartilhamentos externos em Dropbox, Google Drive, Onedrive etc (expõe à riscos);
14- Gerenciar e Bloquear acessos à sites via proxy com filtros de conteúdo;
15- Manter firewall ativos nas estações e servidores;
16- Possuir firewall de borda entre a internet e a rede interna;
17- Ativar auditorias de falhas em login do domínio;
18- Conscientizar usuários dos riscos;
19- Manter o ambiente (servidores e estações) atualizados, recomento a utilização de um WSUS para este fim.

Mas e se cheguei aqui porque já fui infectado…….

Bem neste caso recomendo que dê uma leitura neste Artigo do Flavio Pereira, ele demostra e mostra algumas ferramentas onde é possível recuperar arquivos de alguns tipos de Ransomware.

Agora que já sabemos um pouco de Ransomware e como se prevenir, demonstrarei o processo para habilitar a prevenção dentro do Kaspersky Security For Windows, função disponível na última atualização disponível.

Nessa documentação utilizarei:

KSC: Kaspersky Security Center 10 (10.3.407)
KES: Kaspersky Endpoint Security 10 for Windows (10.2.1.23)

Acesse seu Kaspersky Security Center e realize o download do Kaspersky Security 10 for Windows Server (K4WS) versão 10.0.0.486, devido este não estar incluso na instalação default do KSC. Com o KSC aberto, navegue “Servidor de Administração > Avançado > Pacotes de Instalação”. Neste local será apresentado todos os pacotes que estão disponíveis para instalação. Clique em “Ações Adicionais > Versão atual de aplicativos da Kaspersky Lab”.

Veremos os pacotes disponíveis para o KS 10 for Windows. Por enquanto não há versões disponíveis em PT-br. Logo teremos que realizar o download da versão inglesa.

Image for post
Image for post

Clique no link para o endereço web para realizar o download e aguarde o termino. Após o termino inicie o instalador.

Image for post

Clique em Next e aguarde a extração.

Após o termino será apresentada a janela do instalador. Nesse momento precisaremos instalar o Plug-in para realizarmos a integração do Kaspersky for Windows Servers com o KSC, deixando toda a administração centralizada.

Image for post

Clique em “Install Kaspersky Security Plug-in”. A instalação é bem simples, basta clicar em Next e aguardar o termino.

Image for post

Para o próximo passo, é preciso criar um grupo onde colocaremos os servidores que utilizarão o Kaspersky for Windows Server e criaremos uma nova política para este grupo.

Image for post

Criei um grupo chamado “SERVERS-ANTICRYPTOR”.

Image for post

Entre no grupo recém-criado e clique na aba “Políticas” e posteriormente clique no botão “Criar uma Política”.

Image for post

Na próxima janela será preciso informar para qual aplicativo essa política será utilizada. Selecionaremos “Kaspersky Security 10 for Windows Servers”.

Image for post

A próxima janela perguntará se deseja utilizar um arquivo de configuração já existente ou se irá criar um novo, deixe selecionado New e clique em next.

Image for post

Na próxima janela, clique em next, e posteriormente verifique se está marcado para ser uma política ativa e clique em Finish.

Image for post

Pronto sua política está criada. Com as configurações default.

Image for post

Caso queira apenas testar a solução, deixo abaixo meu Setup e comentarei alguns pontos importantes que configurei.

Obs: Caso for colocar em ambiente de produção, aconselho ler as documentações da Kaspersky antes, procurando entender o processo de cada opção, evitando assim possíveis problemas.
Acesse a Politica recém-criada e clique em Propriedades.

Image for post

Neste momento, clique em Settings da opção “Real-Time File Protection”, habilite “ User KSN for Protection “, que é uma infraestrutura da Kaspersky dedicada ao processamento de cyber segurança.

Image for post

Outro ponto importante, é habilitar o monitoramento de scripts maliciosos. Em Scripts Monitoring clique em Settings, depois habilite a primeira opção, “Allow”.

Image for post

Agora chegou ao ponto chave. Configuraremos o Anti-Cryptor. Clique em Server Control > Anti-Cryptor > Settings.

Image for post

É necessário manter os cadeados fechados para que as tasks funcionem, conforme a imagem acima.

Agora será preciso informar quais shares ficarão protegidos pela solução. Como esta solução normalmente é configurada em FileServers, então deixaremos a primeira opção selecionada, onde todos os shares ficarão protegidos, porém, você também tem a opção de escolha.

Image for post

Nosso próximo passo será configurar o período que o host infectado ficará bloqueado para acessar os shares. Desta forma, se a estação estiver com algum Ramsoware, automaticamente o Kaspersky cortará o acesso da estação com todos os shares do servidor. No exemplo abaixo deixei apenas 1 (um) dia, pode até parecer muito, mas acho que é tempo suficiente para a equipe de TI descobrir o caso e agir, claro, dependendo do tamanho do ambiente.

Image for post

Precisaremos criar 3 tarefas nesse momento:
1) Uma para ativação da aplicação;
2) Outra para realizar o update do Database. Colocando para fazer depois que sair uma nova atualização no KSC;
3) Realizar o Update das configurações dos módulos.

Image for post

Instalando Kaspersky For Windows Server.

Se no seu servidor não tiver já instalado o Agente do Kasperksy Security Center, realize a instalação, caso contrário prossiga.

Nesse ponto, precisaremos instalar o K4WS. A instalação poderá ser feita via Deploy, através do próprio KSC, ou também, instalando de forma manualmente no servidor, utilizando o instalador que fizemos download no início desta documentação.

Image for post

Aguarde a conclusão da instalação, o ícone aparecerá perto do relógio. Vale notar que não há console de gerenciamento, tudo é feito via KSC, porem caso queira acessar o console, basta instalar o Kaspersky Security Console.

Lembre-se de mover seu servidor para dentro desse grupo no console do KSC.

Nota que o ícone da Kaspersky deverá ficar vermelho. Caso fique cinza, será necessário rodar as Tarefas criadas anteriormente.

Image for post

Na imagem acima, podemos notar que está rodando a versão recém instalada, e o Anti-Cryptor também está rodando.

Obs1: Tive problema para instalar a licença, não estava executando a tarefa. Instalei o console e vi que estava apresentando o seguinte erro.

Image for post

Para corrigir, baixei e instalei o seguinte fix disponibilizado pela Kaspersky.

Critical Fix (KB12662)

Após efetuar a instalação rodei novamente a tarefa e o serviço foi iniciado normalmente.

Pronto seu Anti-Cryptor está configurado e funcionando.

Image for post

Obs2: Em outros dois servidores, tive que instalar mais dois Fix, devido ao serviço do Kaspersky Security não está querendo ser iniciado. São eles:

Critical Fix AntiCryptor 4 (KB12644) Critical Fix ProductCore 3 (KB13017)

Recomendo Leitura:
Kaspersky Security For Windows 10
https://support.kaspersky.com/kes10fs/install
https://support.kaspersky.com/12652

Melhores Práticas
https://business.kaspersky.com/practical-guide/4752/
http://media.kaspersky.com/pdf/guard-against-crypto-ransomware-kaspersky-guide.pdf

Tem alguma duvida? Compartilhe conosco comentando.

Originally published at https://www.bernardolankheet.com.br on September 16, 2016.

Monitoring, DevOps Student and content creation!

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store