Ransomware é uma forma de malware projetada para criptografar arquivos em um dispositivo, tornando quaisquer arquivos e os sistemas que dependem deles inutilizáveis. Atores criminosos então exigem resgate em troca da descriptografia. Nos últimos anos, incidentes de ransomware têm se tornado cada vez mais prevalentes entre as entidades governamentais estaduais, locais, tribunais e territoriais da nação e organizações de infraestrutura crítica.
1 - Resolver os itens relacionados ao Assessment do seu AD com o uso do PingCastle;
Neste item, partimos inicialmente para:
1.1 Criação da OU no AD de Suporte e nela, todos os usuários de suporte. Para empresas que usam uma senha padrão de suporte, esta é a recomendação.
1.2 Configuração do LAPS;
1.3 Monitorar tentativas de acesso na porta 427
1.4 Monitorar bloqueio de contas no Active Directory ou LDAP por tentativa de login falhas (account lockout)
1.5 Criar regra de monitoração de força bruta de autenticação em AD e autenticação Local. X tentativas falhas de login dentro intervalo Y seg.
1.6 Monitorar tentativas de acesso por meio de pass-the-hash - userName != “ANONYMOUS LOGON”
Microsoft-Windows-Security-Auditing = 4624
Microsoft-Windows-Security-Auditing = 4625
LogonProcessName = 'NtLmSsp'
1.7 Verificar com o fabricante da solução de endpoint protection (BitDefender) tem funcionalidades que podem ser habilitadas para proporcionar ou aprimorar a proteção contra Ransomware;
1.8 Ativar assinaturas de proteção para e mitigar estas principais publicações CVEs:
a. CVE-2020-1472 - Windows Zero Logon;
b. CVE-2019-5544 / CVE-2020-3992 - VMware;
c. CVE-2019-19781 - Citrix;
d. CVE-2020-0796 - Windows SMB;
e. CVE-2018-13379 - Fortnet;
1.8.1 Evite expor a porta de serviço RDP para a internet, os atacantes podem utilizá-la por meio de uma credencial roubada/forjada/Força Bruta. Este e os e-mails são consideradas as maiores portas de entrada para ataques com campanhas de ransomware.
18.1 Processo "lsass.exe", este é um dos processos mais importantes do Windows e crucial para um ataque bem sucedido em campanhas de ransomware. Especificamente o Lsass (Local Security Authority Subsystem Service) é um processo responsável por impor uma política de segurança no sistema, ele verifica os usuários que se conectam a um computador ou servidor Windows, lida com alterações de senha e cria tokens de acesso. Finalizar este processo caracteriza na reinicialização do sistema operacional e resulta em perda de acesso do sistema a qualquer conta de usuários, incluindo o NT AUTHORITY.
Recomendação sobre o Isass:
Ative o Credential Guard no Windows 10. Este recurso vai impedir a coleta de hashes e tokens diretamente do processo LSASS;
Em atividades remotas de gerenciamento, dê preferência ao uso de Powershell Remoting via Invoke-Command ou Enter-PSSession. Desta forma, a credencial administrativa não ficará disponível no sistema remoto;
https://medium.com/sidechannel-br/mimikatz-mitigando-ataques-de-roubo-de-credenciais-f18eddd32b34
https://docs.microsoft.com/pt-br/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection
Desativar o WDigest:
Destinado para as versões Windows 7, Windows 8, Windows Server 2008R2 e Windows Server 2012, primeiro aplica-se o pacote de atualização KB2871997.
Após a aplicação do KB, é recomendado validar se o WDigest está desabilitado no registro, observando a chave de registro abaixo:
1.9 Habitar, caso disponível, a funcionalidade de firewall e IPS de endpoint para identificar situações de exploração de vulnerabilidades ou ações maliciosas de forma lateral, no ambiente de rede local;
1.10 Verificar na solução de endpoint protection os registros de riscos de segurança e malwares identificados para tentar identificar um possível vetor de ataque, e se prevenir de futuras ações;
1.11 Verificar se os atualizações do sistema operacional e aplicações dos servidores e estações de trabalho foram realizadas;
1.12 Caso possível, desabilitar temporariamente mapeamentos de rede para tentar conter a propagação das ações de um malware;
1.13 Solicitar aos usuários realizar a troca de senha fazendo uso de uma política de senha previamente definida;
2 Continuar o Hardering do AD
2.1 - Defesas de KERBEROASTING e ASP-REP Roasting
a - Localize todos os usuários com pré autenticação de kerberos e desative. Use o relatório do pingle castle.
b - Localize contas com SPN e remova os spn que não são necessários.
c - Fortaleça a senha de todas as contas que devem possuir o SPN para mais de 32 caracteres;
d - Restrinja ao máximo o compartilhamento via SMB (porta 445). Nas estações de trabalho, onde este recurso não deveria estar disponível, restrinja via recurso da solução de segurança e endpoint. Entre segmentos de rede, permita a comunicação desta porta onde for estritamente necessário.
e - É extremamente recomendado usar o Domain Protected Users. Este recurso vai fazer com que os usuários do grupo Protected Users não possam criar tokens delegados — mesmo em sessões interativas. Isso vai evitar a exposição desnecessária de tokens nos hosts da rede. É importante notar, no entanto, que as contas deste grupo não terão permissão para qualquer tarefa administrativa.
2.1 - Hardening CIS
Credencial
- KRBTGT reset
- LAPS
- Modo protegido do LSASS
- Credencial GUARD
- Proibir logon de rede de administrador local
2.2 - Consciência situacional
- NetCease
2.3 - Proteção na rede
- Desativar o NETBIOS e LLMNR
- Assinar SMB
- Forcar NTLMv2 para a rede
2.4 - Proteções adicionais
- IPSEC
- Port security no switch ou fixar o mac addres de gateways nos hosts
- Bloquear comunicação entre estações de trabalha na porta 445
- Desativar compartilhamento administrativos C$ ADMIN$ IPC$
- modificar SMB para versão 2 ou 3
- configurar politica no serviço de WMI para permitir comunicação somente com servidores de monitoramento
Estas foram algumas dicas que podem ser aplicadas para ajudar a mitigar as campanhas criminosas de ransomware. É importante lembrar que novas vulnerabilidades surgem todos os dias e com elas novas portas de entradas, o recomendado é que a segurança da informação esteja dentro do escopo da continuidade do negócio.
Fonte:
https://morphuslabs.com/recomenda%C3%A7%C3%B5es-para-mitiga%C3%A7%C3%A3o-de-riscos-de-incidentes-com-ransomware-b9a3efdf8bb5
https://medium.com/sidechannel-br/mimikatz-mitigando-ataques-de-roubo-de-credenciais-f18eddd32b34
