Ransomware protection using Symantec Endpoint Protection

0
94
Symantec

مقابله با باج افزار در آنتی ویروس Symantec Endpoint Protection

اکثر ویژگی های مقابله با باج افزار در آنتی ویروس سیمانتک Symantec Endpoint Protection، بطور پیشفرض فعال هستند.

حملات هدفمند باج افزار را میتوان به مراحل زیر تقسیم کرد:

  • توافق اولیه
  • افزایش امتیاز و سرقت اعتبار
  • حرکت جانبی
  • رمزگذاری و حذف نسخه های پشتیبان
  • Initial compromise
  • Privilege escalation and credential theft
  • Lateral movement
  • Encryption and deletion of backups

 

6 راهکار موثر به منظور جلوگیری از آلوده شدن توسط باج افزارها به شرح ذیل می‌باشد:

  1. تهیه نسخه پشتیبان از داده‌ها به صورت منظم
  2. محدودسازی سطوح دسترسی به Mapped Network Driveها
  3. بکارگیری ماژول‌های امنیتی Symantec Endpoint Protection Manager
  4. بازیابی فایل‌های Lock شده با استفاده از ابزار تعبیه شده در Windows
  5. بروزرسانی برنامه‌های تحت وب مانند، مرورگرها و Plug-inها
  6. بکارگیری محصولات Mail Security

بهترین دفاع اینست که بسیاری از انواع حملات را مسدود کنید و متأسفانه رمزگشایی باج افزار با استفاده از ابزارهای حذف امکان پذیر نیست.

در Symantec Endpoint Protection Manager، ویژگیهای زیر را اجرا و فعال کنید. که در این حالت برخی از ویژگی ها بطور پیش فرض فعال هستند.

 

مرحله 1: فعالسازی file-based protection

سیمانتک انواع فایلهای زیر را قرنطینه می کند

Ransom.Maze, Ransom.Sodinokibi, and Backdoor.Cobalt

حفاظت از ویروس و جاسوس افزار را فعال کنید که بطور پیشفرض فعال است.

 

مرحله 2: فعالسازی SONAR

حفاظت مبتنی بر رفتار SONAR یکی دیگر از راههای مقابله با  باج افزار است.

SONAR از اجرای file name های اجرایی دوگانه انواع باج‌افزار مانند CryptoLocker جلوگیری می کند.

در خط مشی حفاظت از ویروس و جاسوس افزار، روی SONAR > Enable SONAR کلیک کنید. این گزینه بطور پیشفرض فعال است.

 

مرحله 3: Modify کردن Download Insight

Symantec Insight  با قرنطینه کردن فایلهایی که پایگاه مشتریان سیمانتک میدانند مخرب هستند یا هنوز ایمن یا مخرب بودن آنها ثابت نشده است، از انواع باج‌ افزارها جلوگیری می کند.

Download Insight  بخشی از Virus and Spyware – High Security است.

در کنسول، Virus and Spyware Protection مورد نظر را باز کنید و روی Download Protection کلیک کنید.

اگر پالیسی جدیدی اضافه می کنید، Virus and Spyware Protection policy-High Security را انتخاب کنید.

در تب Download Insight، مطمئن شوید که گزینه Enable Download Insight to detect potential risks in downloaded files based on file reputation  علامتدار باشد.

گزینه های پیشفرض زیر را بررسی کنید:

فایلهایی با 5 کاربر یا کمتر.

فایلهایی که کاربران برای 2 روز یا کمتر شناخته شده اند.

مقادیر کم پیشفرض، مشتری را مجبور می کند تا فایلهایی را که بیش از پنج کاربر به سیمانتک گزارش نکرده‌اند یا برای کمتر از ۲ روز بعنوان فایلهای اثبات‌نشده تلقی کنند.

وقتی فایلهای اثبات‌ نشده این معیارها را برآورده می کنند، Download Insight فایلها را بعنوان مخرب تشخیص می دهد.

اطمینان حاصل کنید کهAutomatically trust any file downloaded from a trusted Internet or intranet site علامت دار باشد.

در تب Actions، در زیر Malicious Files، اول Quarantine risk و سپس Leave alone را تیک بزنید.

در بخش Unproven Files، روی Quarantine risk کلیک کنید.

روی OK کلیک کنید.

مرحله 4: فعالسازی سیستم پیشگیری از نفوذ  (IPS)

یکی دیگر از راههای مقابله با باج افزار در آنتی ویروس سیمانتک، IPS می باشد.

IPS برخی از تهدیدات را مسدود می کند که تعاریف سنتی ویروس به تنهایی نمی توانند آنها را متوقف کنند.

IPS بهترین دفاع در برابر درایو از طریق دانلودها است و زمانی اتفاق می افتد که نرم افزار بطور ناخواسته از اینترنت دانلود شود.

مهاجمان اغلب از کیت های بهره برداری برای ارائه یک حمله مبتنی بر وب مانند CryptoLocker از طریق یک درایو بواسطه دانلود استفاده می کنند.

در برخی موارد، IPS می تواند رمزگذاری فایل را با قطع ارتباط فرمان و کنترل (Command & Control) مسدود کند.

سرور C&C کامپیوتری است که توسط یک مهاجم یا مجرم سایبری کنترل میشود و برای ارسال دستورات به سیستمهایی که توسط بدافزار در معرض خطر قرار گرفته‌اند و دریافت داده‌های دزدیده شده از یک شبکه هدف استفاده میشود.

URL Reputation بر اساس امتیاز اعتبار یک صفحه وب، از تهدیدات وب جلوگیری می کند. گزینه Enable URL Reputation صفحات وب با امتیاز اعتبار زیر یک آستانه خاص را مسدود می کند.

 

مرحله 5: بلاک کردن فایل های PDF و اسکریپت ها

در خط مشی Exceptions، روی  Windows Exceptions > File Access کلیک کنید.

 

مرحله 6: دانلود کردن patch ها

آخرین وصله‌ها را برای چارچوبهای برنامه‌های کاربردی وب، مرورگرهای وب و افزونه‌های مرورگر وب دانلود کنید.

موارد زیر را انجام دهید:

از Application and Device Control برای جلوگیری از اجرای برنامه‌ها در فهرستهای نمایه کاربر، مانند Local و LocalLow استفاده کنید. برنامه های باج افزار بجز Local\Temp\Low در بسیاری از فهرستها نصب می شوند.

از پاسخ تشخیص Endpoint  (EDR) برای شناسایی فایلهای دارای رفتار باج‌افزار استفاده کنید:

اسکریپت های ماکرو را از فایلهای MS Office که از طریق ایمیل منتقل می شوند غیرفعال کنید.

روی Endpoint شناسایی شده کلیک راست کرده و Isolate را انتخاب کنید. برای جداسازی و پیوستن مجدد نقاط پایانی به کنسول، باید یک Quarantine Firewall در Symantec Endpoint Protection Manager داشته باشید که به یک Host Integrity اختصاص داده شده است.

 

مرحله 7: فعالسازی Web and Cloud Access Protection و Web Security Service

از Web and Cloud Access Protection استفاده کنید تا Endpoint چه در یک شبکه شرکتی، چه در خانه یا خارج از محل کار، قابلیت ادغام با Symantec Web Security Service (WSS) را داشته باشند.

NTR ترافیک اینترنت مشتری را به سیمانتک WSS هدایت میکند، جاییکه ترافیک بر اساس پالیسی های WSS مجاز یا مسدود شده است.

مرحله 8: فعالسازی Memory Exploit Mitigation

در برابر آسیب‌پذیری های شناخته‌ شده در نرم‌افزارهای وصله‌ نشده، مانند وب سرور  JBoss یاApache ، که مهاجمان از آنها سوءاستفاده می کنند، محافظت می کند.

 

مرحله 9: فعالسازی AMSI و اسکن بدون فایل

توسعه دهندگان برنامه های شخص ثالث می توانند از مشتریان خود در برابر بدافزارهای مبتنی بر اسکریپت پویا و از راههای غیرسنتی حملات سایبری محافظت کنند.

برنامه شخص ثالث رابط AMSI ویندوز را فراخوانی می کند تا اسکن اسکریپت ارائه شده توسط کاربر را درخواست کند که به کلاینت Symantec Endpoint Protection هدایت می شود. کلاینت با حکمی پاسخ می دهد تا نشان دهد که آیا رفتار اسکریپت مخرب است یا خیر.

اگر رفتار اسکریپت مخرب نباشد، اجرای اسکریپت دارد. اگر رفتار اسکریپت مخرب باشد، برنامه آنرا اجرا نمی کند.

در کلاینت، دیالوگ باکس Detection Results وضعیت “Access Denied” را نمایش می دهد. نمونه هایی از اسکریپت های شخص ثالث عبارتند ازWindows PowerShell ، JavaScript و VBScript. محافظت خودکار باید فعال باشد. این قابلیت برای کامپیوترهای ویندوز 10 به بعد کار می کند.

 

مرحله 10: فعالسازی تشخیص و پاسخ Endpoint (EDR)

EDR بجای پرونده ها بر رفتارها تمرکز می کند و می تواند جهت مقابله با باج افزار، دفاع در برابر فیشینگ را تقویت کند. بعنوان مثال، اگر Word بطور معمول PowerShell را در محیط مشتری راه‌اندازی نمی کند، باید در حالت Block قرار گیرد.

رابط کاربری EDR به مشتریان این امکان را می دهد تا براحتی بفهمند کدام رفتارها رایج هستند و باید مجاز باشند، چه رفتارهایی دیده می شوند اما همچنان باید هشدار داده شوند، و کدام غیرمعمول هستند و باید مسدود شوند.

همچنین می توانید بعنوان بخشی از بررسی و پاسخ به هشدارهای حادثه، شکافها را بصورت واکنشی برطرف کنید. هشدار حادثه تمام رفتارهایی را که بعنوان بخشی از نقض مشاهده شده است را نشان می دهد و این قابلیت را فراهم می کند که آنرا در حالت Block درست از صفحه جزئیات حادثه قرار دهید.

 

مرحله 11: فعالسازی حسابرسی (auditing)

از ابزارهای ممیزی استفاده کنید تا به شما کمک کند قبل از اینکه باج‌افزار فرصتی برای انتشار پیدا کند، نسبت به Endpoint خود هم در شبکه شرکتی و هم در خارج از شبکه شرکت خود اطلاعاتی کسب کنید.

از Memory Exploit Mitigation می توان برای تست مثبت کاذب استفاده کرد.

 

مرحله 12: راه اندازی سنسورهای تشخیص مدیریت نشده

ردیاب های مدیریت نشده باید برای پاسخگویی به Endpoint، که در آن ممکن است محافظت شده نباشد، حضور داشته باشند.

برای خرید انواع تجهیزات ذخیره سازی اطلاعات به سایت فروشگاه ما مراجعه فرمایید