miércoles, 18 de enero de 2017

RANSOMWARE - (File Server Resource Manager) nuestro mejor aliado

Introducción
Aún las compañias siguen haciendo uso intensivo del File Server y en algunos casos están analizando de subir esa información en un repositorio en la nube o cloud.  En MS Windows, desde la versión Ms Windows 2008, File Server Resource Manager provee un conjunto de herramientas que permite a los administradores comprender, controlar y administrar la cantidad y el tipo de datos almacenados en sus servidores. Mediante el uso del Administrador de recursos del servidor de archivos o FSRM, los administradores pueden colocar cuotas en volúmenes, explorar activamente archivos y carpetas y generar informes de almacenamiento completos. Este conjunto de instrumentos avanzados no sólo ayuda al administrador a monitorear eficientemente los recursos de almacenamiento existentes, sino que también ayuda en la planificación y la implementación de futuros cambios de políticas.
Mediante el uso de File Server Resource Manager, puede realizar las siguientes tareas:
  • Crear cuotas para limitar el espacio permitido para un volumen o carpeta y generar notificaciones por correo electrónico y otras cuando se superen los límites de cuota.

  • Generar y aplicar automáticamente cuotas a todas las subcarpetas existentes.
  • Crear plantillas de archivos para controlar el tipo de archivos que los usuarios pueden guardar y envíe notificaciones cuando los usuarios intenten guardar archivos bloqueados.

  • Definir las plantillas de selección de cuotas y archivos que pueden aplicarse fácilmente a nuevos volúmenes o carpetas en una organización.

  • Programar informes periódicos de almacenamiento que ayuden a identificar tendencias en el uso del disco o que generen informes de almacenamiento instantáneamente, o bien bajo demanda.
Evitar Ransomware
Ya sabemos que si una computadora o PC se infecta de un ransomware puede generar problemas a una organización, por que el mismo buscará unidades mapeadas en la PC e intentará cifrar los archivos alojados en estas carpetas. Tambien sabemos que el usuario al tener permisos sobre esas carpetas, indefectiblemente serán cifradas a menos que algo bloquee la generación de los archivos cifrados.
El antimalware debería detectar el comportamiento del malware y bloquear la generación de archivos cifrados y eliminar la amenaza.  Hoy los ransomware son cada vez mas audaces, cifran desde recursos mapeados hasta carpetas compartidas en la red. Es por eso que una capa adicional de protección debe ser tenida en cuenta.
Una de las maneras de evitar ciertos ransomware es bloqueando el comportamiento de los mismos. El malware tratará de cifrar los archivos en una ubicación alternativa y reemplazará los archivos originales por los cifrados. En la PC original, dependerá del S.O que tenga y que protecciones podamos agregar, pero en los servidores podemos usar el FSRM para bloquear este comportamiento.

En el FSRM, dentro de la consola, en la opción  "File Screening Management" podremos generar filtros para evitar la generación de ciertos archivos cifrados. Para ello hay que crear un par de reglas.


Lo primero que debería hacer es dentro de "File Groups" crear un grupo denominado Ransomware (ejemplo) y agregar las extensiones conocidas como resultado del cifrado. Hay algunas versiones de ransomware que pueden quedar afuera, ya que hay versiones que cifran los archivos como *.exe, *.mp4, *.zip, etc, que si deben ser alojados dentro de una carpeta por un usuario, no podria ser bloqueado. Es importante en este caso, tener una política definida de que se va alojar en el File Server (EJ: no deben alojarse *.mp3, *.mp4, *.exe, *.zip, etc).

 

Una vez creado el grupo ya podemos crear la regla de bloqueo. En la regla seleccionaremos el grupo creado y configuraremos el SMTP para que si hay intentos de generar este tipo de archivos, el FSRM nos notifique y podamos tomar acciones.
Crearemos primero la regla, y seleccionaremos la partición o directorio a proteger (en este caso todo el disco S:\) y seleccionaremos un filtro personalizado, ya que no está dentro de los perfiles que trae de manera predeterminada.

 

Luego,  seleccionamos en el modo Activo (este modo es para que bloquee, ya que el modo Pasivo  solo avisa cuando se cumple alguna condición de la regla) el grupo que generamos para bloquear, en este caso lo habíamos denominado RANSOMWARE.



Posteriormente configuramos las alertas por correo, para que cuando se cumpla la condición nos avise por correo electrónico. En el correo, como en el log de eventos de Windows (también hay que habilitarlo), ante una condición va a reportar, usuario, PC y que está queriendo hacer el usuario o el malware (escribir o modificar un archivo, nombre, con extensión determinada). Por lo cual, el administrador puede obtener información rápida desde DONDE está el malware tratando de cifrar los archivos.



 


Si observa, se puede modificar las variables, por si se desea agregar alguna otra información relevante para detectar el origen del malware.

Por último la regla debe quedar de la siguiente manera

Si bien, muchos pueden plantear que no es una configuración ideal, ya que los filtros deben agregarse manualmente, es una capa adicional de protección. Lo importante es tratar de incluir todas las extensiones posibles de los ransomware que estén dando vuelta. En el artículo   RANSOMWARE - PARTE III - VERSIONES   está el link donde puede bajar un excel que suele actualizarse todos los meses y agrega los nuevos ransomware y las extensiones con las cuales se generan los archivos cifrados.

El File Server tiene Ransomware, y ahora que hago???
Si detecta que hay directorios infectados y queremos saber el origen, el FSRM es un buen auxilio. Para ello debemos crear una regla de reporte, para que nos indique quien es el propietario u OWNER de archivos con una extensión predeterminada.
Para ello, tenemos que crear un reporte, desde el "Storage Report Management". Allí generaremos un reporte, en donde seleccionaremos la unidad o directorios a revisar y filtraremos por propietario.


Luego editaremos los parámetros en "Edit Parameters", donde es importante seleccionar que tipo de archivo queremos buscar.


En este caso seleccionamos archivos con extension "*.zzzzz". Es decir que el reporte se ejecutará y nos deberá traer un listado de usuarios que grabaron archivos con esta extensión en el File Server. De esta manera obtendremos rápidamente los usuarios cuyas PCs están infectadas y las cuales debemos remover de la red para evitar una epidemia.

Luego debemos verificar el nivel de infección, aislar las PCs y restaurar el backup de los archivos que fueron afectados.

Si se generan bien los filtros, este tipo de reporte no deberían ser generados. Por otro lado puede dejarlo programado para que se genere cada cierto período de tiempo, buscando archivos con extensiones de ransomware conocidas y les llegue por correo electrónico si algún usuario tiene como propietario algún tipo de archivo cifrado. Les llegaría algo similr a esto:


Es una buena medida tenerlo activo, por que valida:

1) que los filtros del FSRM estén funcionando;
2) el correo con las alertas llegan y
3) los reportes se generan.

Si la plataforma antimalware no posee buenos reportes, en el caso de infección, el FSRM va ser su mejor aliado.

Seguiremos con las recomendaciones en los próximos artículos.

Si han probado otras configuraciones que han permitido frenar el ransomware, nos escriban y publicamos sus experiencias.

Hasta la próxima..

Para más información del FSRM, visite este sitio.