Combatendo Ransomware com auxilio do Kaspersky Security for Windows Server.

bernardolankheet
Sep 16, 2016 · 8 min read

Olá, nas últimas semanas tens se falado bastante sobre Ransomware e está cada vez mais comum escutar relatos de vítimas deste tipo de infecção. Mas o que é Ransomware Bernardo? Bem, é um malware que restringe o acesso ao sistema e é cobrado um valor para resgatar os documentos criptografados. Esse valor, é cobrado através de Bitcoin, uma moeda virtual baseada em um protocolo aberto e independente de uma autoridade central. Tornando desta maneira uma forma complexa de invasão, tendo sua criptografia quase impossível de ser quebrada e seu ataque difícil de ser rastreado.

Neste post sairei do padrão do Blog, comentarei sobre uma excelente ferramenta que já utilizo a 3 anos, Kasperksy Enterprise Security. Sou grande apaixonado pela parte de Segurança e grande fã desta solução.

Antes de demonstrar o processo de configuração desta ferramenta, teremos que ter ciência de que apenas a solução não é o suficiente para prevenir esta forma de ataque. Devemos:

1- Não utilizar softwares não originais, cracks e ativadores (Pirataria também é crime);
2- Utilizar vlan para dispositivos moveis e visitantes na sua rede;
3- Manter sempre seus softwares atualizados;
4- E-mails na Nuvem (ex.: Office 365), quando não for possível, usar regras de controle para spam;
5- Utilizar GPOs para bloqueios de USB ou um Endpoint com para ter o mesmo controle (Kaspersky fornece este recurso);
6- Evitar a pratica de colocar usuários como administrador local nas estações (recomendo a leitura deste artigo do Nathan Pinotti Link);
7- Utilizar política de senha complexas em contas de usuários do domínio (Senhas Fortes, recomendo a leitura deste artigo do Nathan Pinotti Link);
8- Soluções de antivírus para workstations e servers, com política de atualização(Kaspersky Security Center, BitDefender entre outros);
9- Avaliar as políticas de acessos em compartilhamentos;
10- Evitar a utilização de permissões com “controle total” e o usuário “todos” em acesso NTFS as pastas compartilhadas;
11- Realizar o monitoramento de portas e serviços abertos/ativos que podem expor a segurança, deixar aberto e ativos apenas os essenciais, uma ótima pratica é realizar a alteração de portas padrões de serviços como RDP, FTP, etc;
12- Criar várias camadas de backup com rotatividade de mídias, incluindo-se opções em nuvem (Recomendo Backup do tipo 321, dois backups físicos em ambientes separados e um nas nuvens);
13- Bloquear acessos à compartilhamentos externos em Dropbox, Google Drive, Onedrive etc (expõe à riscos);
14- Gerenciar e Bloquear acessos à sites via proxy com filtros de conteúdo;
15- Manter firewall ativos nas estações e servidores;
16- Possuir firewall de borda entre a internet e a rede interna;
17- Ativar auditorias de falhas em login do domínio;
18- Conscientizar usuários dos riscos;
19- Manter o ambiente (servidores e estações) atualizados, recomento a utilização de um WSUS para este fim.

Mas e se cheguei aqui porque já fui infectado…….

Bem neste caso recomendo que dê uma leitura neste Artigo do Flavio Pereira, ele demostra e mostra algumas ferramentas onde é possível recuperar arquivos de alguns tipos de Ransomware.

Agora que já sabemos um pouco de Ransomware e como se prevenir, demonstrarei o processo para habilitar a prevenção dentro do Kaspersky Security For Windows, função disponível na última atualização disponível.

Nessa documentação utilizarei:

KSC: Kaspersky Security Center 10 (10.3.407)
KES: Kaspersky Endpoint Security 10 for Windows (10.2.1.23)

Acesse seu Kaspersky Security Center e realize o download do Kaspersky Security 10 for Windows Server (K4WS) versão 10.0.0.486, devido este não estar incluso na instalação default do KSC. Com o KSC aberto, navegue “Servidor de Administração > Avançado > Pacotes de Instalação”. Neste local será apresentado todos os pacotes que estão disponíveis para instalação. Clique em “Ações Adicionais > Versão atual de aplicativos da Kaspersky Lab”.

Veremos os pacotes disponíveis para o KS 10 for Windows. Por enquanto não há versões disponíveis em PT-br. Logo teremos que realizar o download da versão inglesa.

Clique no link para o endereço web para realizar o download e aguarde o termino. Após o termino inicie o instalador.

Clique em Next e aguarde a extração.

Após o termino será apresentada a janela do instalador. Nesse momento precisaremos instalar o Plug-in para realizarmos a integração do Kaspersky for Windows Servers com o KSC, deixando toda a administração centralizada.

Clique em “Install Kaspersky Security Plug-in”. A instalação é bem simples, basta clicar em Next e aguardar o termino.

Para o próximo passo, é preciso criar um grupo onde colocaremos os servidores que utilizarão o Kaspersky for Windows Server e criaremos uma nova política para este grupo.

Criei um grupo chamado “SERVERS-ANTICRYPTOR”.

Entre no grupo recém-criado e clique na aba “Políticas” e posteriormente clique no botão “Criar uma Política”.

Na próxima janela será preciso informar para qual aplicativo essa política será utilizada. Selecionaremos “Kaspersky Security 10 for Windows Servers”.

A próxima janela perguntará se deseja utilizar um arquivo de configuração já existente ou se irá criar um novo, deixe selecionado New e clique em next.

Na próxima janela, clique em next, e posteriormente verifique se está marcado para ser uma política ativa e clique em Finish.

Pronto sua política está criada. Com as configurações default.

Caso queira apenas testar a solução, deixo abaixo meu Setup e comentarei alguns pontos importantes que configurei.

Obs: Caso for colocar em ambiente de produção, aconselho ler as documentações da Kaspersky antes, procurando entender o processo de cada opção, evitando assim possíveis problemas.
Acesse a Politica recém-criada e clique em Propriedades.

Neste momento, clique em Settings da opção “Real-Time File Protection”, habilite “ User KSN for Protection “, que é uma infraestrutura da Kaspersky dedicada ao processamento de cyber segurança.

Outro ponto importante, é habilitar o monitoramento de scripts maliciosos. Em Scripts Monitoring clique em Settings, depois habilite a primeira opção, “Allow”.

Agora chegou ao ponto chave. Configuraremos o Anti-Cryptor. Clique em Server Control > Anti-Cryptor > Settings.

É necessário manter os cadeados fechados para que as tasks funcionem, conforme a imagem acima.

Agora será preciso informar quais shares ficarão protegidos pela solução. Como esta solução normalmente é configurada em FileServers, então deixaremos a primeira opção selecionada, onde todos os shares ficarão protegidos, porém, você também tem a opção de escolha.

Nosso próximo passo será configurar o período que o host infectado ficará bloqueado para acessar os shares. Desta forma, se a estação estiver com algum Ramsoware, automaticamente o Kaspersky cortará o acesso da estação com todos os shares do servidor. No exemplo abaixo deixei apenas 1 (um) dia, pode até parecer muito, mas acho que é tempo suficiente para a equipe de TI descobrir o caso e agir, claro, dependendo do tamanho do ambiente.

Precisaremos criar 3 tarefas nesse momento:
1) Uma para ativação da aplicação;
2) Outra para realizar o update do Database. Colocando para fazer depois que sair uma nova atualização no KSC;
3) Realizar o Update das configurações dos módulos.

Instalando Kaspersky For Windows Server.

Se no seu servidor não tiver já instalado o Agente do Kasperksy Security Center, realize a instalação, caso contrário prossiga.

Nesse ponto, precisaremos instalar o K4WS. A instalação poderá ser feita via Deploy, através do próprio KSC, ou também, instalando de forma manualmente no servidor, utilizando o instalador que fizemos download no início desta documentação.

Aguarde a conclusão da instalação, o ícone aparecerá perto do relógio. Vale notar que não há console de gerenciamento, tudo é feito via KSC, porem caso queira acessar o console, basta instalar o Kaspersky Security Console.

Lembre-se de mover seu servidor para dentro desse grupo no console do KSC.

Nota que o ícone da Kaspersky deverá ficar vermelho. Caso fique cinza, será necessário rodar as Tarefas criadas anteriormente.

Na imagem acima, podemos notar que está rodando a versão recém instalada, e o Anti-Cryptor também está rodando.

Obs1: Tive problema para instalar a licença, não estava executando a tarefa. Instalei o console e vi que estava apresentando o seguinte erro.

Para corrigir, baixei e instalei o seguinte fix disponibilizado pela Kaspersky.

Critical Fix (KB12662)

Após efetuar a instalação rodei novamente a tarefa e o serviço foi iniciado normalmente.

Pronto seu Anti-Cryptor está configurado e funcionando.

Obs2: Em outros dois servidores, tive que instalar mais dois Fix, devido ao serviço do Kaspersky Security não está querendo ser iniciado. São eles:

Critical Fix AntiCryptor 4 (KB12644) Critical Fix ProductCore 3 (KB13017)

Recomendo Leitura:
Kaspersky Security For Windows 10
https://support.kaspersky.com/kes10fs/install
https://support.kaspersky.com/12652

Melhores Práticas
https://business.kaspersky.com/practical-guide/4752/
http://media.kaspersky.com/pdf/guard-against-crypto-ransomware-kaspersky-guide.pdf

Tem alguma duvida? Compartilhe conosco comentando.


Originally published at https://www.bernardolankheet.com.br on September 16, 2016.

bernardolankheet

Written by

Bernardo Gomes Lankheet é graduado em Redes de Computadores pelo IFES, Pós Graduação em Segurança da Informação e apaixonado em compartilhar conhecimentos.