Blog Eksperta

McAfee Endpoint Security Threat Protection - Jak chronić się przed ransomware?

Jak walczyć z Ramsomware wykorzystując moduł Access Protection dostępny w McAfee Endpoint Security Threat Protection.

Co to jest Ramsomware?

W maju 2017 roku w mediach pojawiły się informacje o nagłym i rozległym ataku złośliwego oprogramowania WannaCry, wprowadzając nowe wyrażenie do powszechnego użytku publicznego – ransomware. Atak globalny pozwolił zdobyć rozgłos, natomiast zagrożenia tego typu pojawiały się już o wiele wcześniej, jak również po 2017 roku nie przestały istnieć. Wysoce profesjonalna branża produkująca szkodliwe oprogramowanie dla zysku, nieustannie wprowadza innowacje i stara się albo obejść znane środki bezpieczeństwa albo wykorzystać niezabezpieczone lub przestarzałe systemy.

Niniejszy artykuł ma na celu przedstawić możliwość poszerzenia ochrony o kolejną warstwę, która znajduje się w podstawowym oprogramowaniu firmy McAfee chroniącym stacje robocze tj. McAfee Endpoint Security Threat Prevention. Koncentrując się na module Access Protection mam świadomość, że istnieją nowsze i lepsze rozwiązania tzw. next generation w walce z ramsomwarem, natomiast chciałbym pokazać, że wykonując kilka zalecanych działań możemy znacząco wzmocnić ochronę przed coraz powszechniejszym zagrożeniem, za pomocą rozwiązania znajdującego się w podstawowym oprogramowaniu chroniącym stacje robocze. Zrozumienie działania modułu Access Protection pozwala administratorowi systemu zdefiniować działania wspierające ochronę stacji roboczych w dalszej eksploatacji. Dlatego niniejszy artykuł poza przedstawieniem możliwości zwiększenia ochrony przed zagrożeniami typu ramsomware, ma również być wstępem lub bardziej zaproszeniem do poznania konfiguracji modułu Access Protection. 

Więc czym jest Access Protection?

Moduł Access Protection można określić jako pierwszą linią obrony przed złośliwym oprogramowaniem chroniącym system kliencki przed niepożądanymi zmianami ograniczając dostęp do określonych:

  • plików
  • udziałów
  • kluczy rejestru
  • wartości rejestru
  • procesów
  • usług

Ochrona dostępu wykorzystuje zarówno reguły zdefiniowane przez firmę McAfee, jak i reguły zdefiniowane przez użytkownika do zgłaszania i/lub blokowania dostępu do chronionych elementów. 

Z doświadczenia zalecam postępować bardzo ostrożnie z regułami typu Access Protection przy tworzeniu własnych reguł. W skrajnych przypadkach ustawienia mogą wpłynąć na działanie całego systemu klienckiego, uniemożliwiając np. zalogowanie się użytkownika do systemu. Stąd sugeruje by przeprowadzać testy każdej zmiany w niniejszych regułach w trybie tylko raportowania.

Jak walczyć z ramsomware

Wykorzystując wspomniany już moduł Access Protection, firma McAfee przygotowała dokument wspierający w walce z zagrożeniami typu – ramsomware nazwany: „Combating Ramsomware Rev J” dostępnym tutaj:

Czytaj teraz

W powyższym dokumencie zawarte zostały informacje pozwalające zdefiniować reguły wspierające walkę z zagrożeniami typu ramsomware. Reguły te zostały podzielone na trzy grupy:

  • reguły sugerowane – zalecane mające działać w środowisku klienckim,
  • reguły umiarkowanie agresywne – mogące zapobiegać przed niektórymi dodatkowymi wariantami zagrożenia, mogą mieć wpływ na biznes w przypadku niepoprawnej konfiguracji,
  • reguły ułatwiające śledzenie systemów, na których istnieje podejrzenie infekcji – maja na celu śledzić, a nie zapobiegać infekcji lub szyfrowaniu.

Jak zrobić to krok po kroku.

Posiadając już artykuł i nasze środowisko powinniśmy rozpocząć od utworzenia nowej polityki w centralnej konsoli zarządzającej McAfee ePolicy Orchestrator.

W McAfee ePolicy Orchestrator w celu utworzenia nowej polityki, przejdź do Menu -> Policy Catalog.

W oknie Policy Catalog wybieramy w oknie z lewej strony produkt Endpoint Security Threat Prevention oraz kliknąć przycisk New Policy, pozwalający nam utworzyć nowa regułę.

W oknie Create a new policy należy wybrać lub wprowadzić następujące dane:

  • Category – umożliwia wybranie kategorii polityk, których dotyczą ustawienia.
  • Create a policy based on this existing policy – jaka ma zostać wykorzystana polityka konfiguracyjna przy tworzeniu nowej polityki – kopiowane są ustawienia ze wskazanej polityki konfiguracyjnej.
  • Policy Name – nazwa tworzenie polityki konfiguracyjnej.
  • Notes – opis tworzonej polityki.

Wybieramy OK.

Centralna konsola zarządzająca utworzy nowa politykę konfiguracyjną i automatycznie nas przeniesie do dalszej konfiguracji stworzonej polityki. 

Po utworzeniu polityki konfiguracyjnej typu Access Protection możemy rozpocząć wprowadzanie danych zawartych w dokumencie Combating Ramsomware Rev. J. W ramach niniejszego artykułu opiszę poszczególne kroki, jakie należy wykonać by zdefiniować pierwszą regułę dla zagrożenia Cryptolocker v.IV.

W nowo utworzonej polityce konfiguracyjnej należy kliknąć przycisk Show Advanced.

Pojawią się wszystkie dostępne opcje, przejdźmy to grupy opcji Rules i wybierzmy Add by dodać nową regułę.

W oknie definiowana reguły Rule wprowadzamy na początku:

  • Name – nazwę reguły.
  • Actions – określamy akcję jaka ma zostać podjęta, dostępne są dwie akcje: blokowanie oraz raportowanie.

Następnie musimy zdefiniować wszystkie pliki wykonywalne, które będą monitorowane. Aby dodać plik wykonywalny należy kliknąć przycisk Add

W oknie Executable należy wprowadzić opis pliku wykonywalnego, status włączenia (czyli zawiera się lub jest wykluczony – można wykluczyć tu procesy z ochrony reguły) oraz nazwy pliku lub ścieżki. Ewentualnie jest możliwość dodania hash MD5 oraz sygnatury podpisu elektronicznego. Po wprowadzeni danych wykonujemy zapis wprowadzonych konfiguracji klikając Save.

Zdefiniowaliśmy już jaki proces, natomiast pozostało nam do zdefiniowania w pod regule akcję niedopuszczoną lub monitorowaną. Należy w części Subrule kliknąć Add


W oknie Subrule należy wprowadzić następujące wartości:

  • Name – należy wprowadzić nazwę pod reguły.
  • Subrule type – należy wybrać typ pod reguły, do wyboru mamy.
  • Files – pliki.
  • Registry key – klucz rejestru.
  • Registry value – wartość rejestru.
  • Processes – procesy.
  • Services – usługi.
  • Operations – operacje jakie nie można wykonać.
  • Change read-only or hidden attributes – zmiana atrybutów plików do odczytu lub ukryty.
  • Create – tworzenie.
  • Delete – usunięcie.
  • Execute – wykonanie.
  • Change permissions – zmiana uprawnień.
  • Read – czytanie.
  • Rename – zmiana nazwy.
  • Write – zapis.

W tabeli Targets należy wprowadzić cel podreguły. Dodajemy Target klikając Add. Czyli w naszym przypadku według reguły określamy, że nie można tworzyć lub wykonywać plików o nazwie *decrypt_instruction*.* przez jakiekolwiek procesy.

Do wyboru mamy zawarcie lub wykluczenie zdefiniowanego pliku lub dysku.

Po zdefiniowaniu wszystkich ustawień kliknąć Save zamykając okno Subrule target. Następnie kolejny raz klikamy Save zamykając okno Subrule. Żeby zaakceptować zmiany w regule należy kliknąć Save zapisując regułę.

Pojawi się ona w tabeli Rules w polityce.

Pozostaje zapisać całą politykę klikając Save i zastosować na stacjach roboczych.

W przypadku pozostałych reguł zdefiniowanych w dokumencie Combating Ramsomware Rev. J należy postępować analogicznie. Mam nadzieję, że zawarte informację w niniejszym artykule pozwolą poznać lub odświeżyć wiedzę i wzbudzić należne zainteresowanie, tym mało popularnym modułem. W swojej karierze widziałem niniejszy moduł wykorzystywany nie tylko jako element ochrony, ale również jako np. element kontroli aplikacji uruchamianych w środowisku. Dużo zależy od koncepcji administratora i tego co chce uzyskać. 

Marcin Borsuk - 19 sierpnia 2021

Chcesz porozmawiać na temat tego rozwiązania lub uzyskać wycenę?

Skontaktuj się z nami już dziś!

Zadzwoń do nas lub zostaw wiadomość. Nasz zespół jest gotowy, żeby Ci pomóc.

Zostaw wiadomość +48 22 5671740 Zapytaj o wycenę

Udostępnij tę stronę:

Ta witryna korzysta z plików cookie. Kontynuując przeglądanie tej witryny, wyrażasz zgodę na stosowanie przez nas plików cookie. Kliknij tutaj, aby dowiedzieć się więcej