Микросегментация с VMware NSX разделяет ЦОД на множество отсеков, препятствуя распространению вымогательских атак, подобных WannaCry

12 мая 2017 года в СМИ стали появляться сообщения об атаках вымогательского зловреда WannaCry, направленных на организации по всему миру. Это один из самых крупных эпизодов активности вымогательского ПО на сегодняшний день. Полицейская служба Европейского союза (Европол) зарегистрировала более 200 тысяч атак в более чем 150 странах, однако полный масштаб кампании еще не был установлен. Среди жертв вымогателя — организации из всех отраслей.

WannaCry нацелен на устройства Microsoft Windows, он захватывает контроль над компьютерными системами через критическую уязвимость в сетевом протоколе прикладного уровня (SMB) Windows. Он также использует протокол удаленного управления (RDP) как один из векторов распространения атаки. WannaCry шифрует данне на захваченных системах и требует выкуп для возврата данных и контроля над устройством. Зловред распространяется по горизонтали через SMB и RDP и повторяет этот сценарий на других устройствах сети. Анализ WannaCry, произведенный группой реагирования US-CERT, можно найти здесь, с подробным анализом от Malware Bytes можно ознакомиться здесь.

Один из ключевых аспектов повышения уровня цифровой безопасности в организациях и уменьшения вероятности успеха подобных атак — это использование модели минимальных полномочий («нулевого доверия») путем внедрения безопасности прямо в центр сети ЦОДа. Суть концепции «нулевого доверия» состоит в том, чтобы допускать лишь необходимые коммуникации между системами. Для этого необходимо использовать межсетевой экран с отслеживанием состояния соединений (Stateful Firewall), предполагая, что весь сетевой трафик является недоверенным. Это значительно снижает площадь распространения атаки.

Микросегментация с VMware NSX предоставляет необходимый уровень безопасности, эффективно разделяя ЦОД на сегменты для противостояния распространению вымогательских атак, подобных WannaCry.

Далее мы рассмотрим, как NSX может помочь:

• Противостоять распространению таких зловредов, как WannaCry;
• Обеспечить мониторинг сетевой активности и распространения атаками;
• Идентифицировать зараженные системы;
• Минимизировать дальнейшие риски через микросегментационный подход.

Стадии атаки WannaCry

Прежде чем дать рекомендации по противостоянию атаке, давайте вспомним жизненный цикл WannaCry.

Вооружение:

WannaCry использует эксплойт EternalBlue, который попал к хакерам вследствие утечки из агентства национальной безопасности США. С его помощью злоумышленники используют уязвимость MS17-010 в системе Windows. Попадая на устройство, WannaCry шифрует данные системы, включая файлы офисных программ, базы данных, электронные письма, общие сетевые ресурсы, используя ключи шифрования RSA-2048 с шифрованием AES-128, которые чрезвычайно сложно расшифровать. WannaCry завершает стадию блокировки, публикуя на рабочем столе пользователя сообщение с требованием заплатить выкуп в биткоинах, эквивалентный сумме $300 или более, чтобы вернуть доступ к данным.

Установка / Эксплуатация уязвимости / Шифрование / Контроль и управление:

WannaCry проходит через каждую открытую сессию RDP на зараженной операционной системе, пытаясь распространиться на другие системы. Как только вымогатель попал в сеть, он пытается связаться с центром управления, чтобы захватить контроль и зашифровать данные. Код имеет как прямой, так и прокси-доступ в Интернет. Следующим шагом для червя является установка сервиса под названием «mssecsvc2.0» с отображаемым именем «Служба Microsoft Security Center (2.0)». Червь загружает крипто-модуль при установке службы и переходит к шифрованию системы.

Распространение:

WannaCry проникает внутрь периметра организации через фишинговые письма или другими способами и сканирует все системы по сегментам, распространяясь горизонтально внутри ЦОД. Сканирование не ограничивается системами, активно передающими информацию, но также распространяется и на IP-адреса, полученные путем перехвата широковещательного трафика и DNS запросов. Как только WannaCry получает список IP-адресов, он проверяет порт 445 с помощью случайно сгенерированного фиктивного IP-адреса. Если соединение с портом 445 в уязвимой системе происходит успешно, WannaCry начинает заражать и шифровать систему. В дополнение к этому, зловред сканирует всю подсеть /24 (10 IP-адресов за раз), пытаясь найти дополнительные уязвимые системы.

Предотвращение атаки с VMware NSX

NSX может использоваться для разделения ЦОДа, чтобы предотвратить горизонтальное распространение вымогательской атаки, подобной WannaCry, и обеспечить безопасность сети по модели «нулевого доверия».

Следующие рекомендации, расположенные в порядке приоритета, должны помочь создать микросегментированную среду, которая способна остановить распространение WannaCry.

1. Отслеживайте трафик по 445 порту с помощью межсетевого экрана NSX. Это обеспечит видимость для SMB-трафика, который может включать трафик атаки или попытки атаки. При обнаружении инфекции действия NSX Firewall Allow или Block, а также журнал событий NSX могут быть проанализированы в SIEM или в анализаторе сетевого поведения.
2.  Разрешите перенаправление в правилах NSX Firewall, чтобы любой трафик, направленный на критические системы, попадал в интегрированное в NSX IPS-решение, распознающее индикаторы атаки. Даже если зловредное ПО просочилось через периметр, атака может быть обнаружена с помощью анализа горизонтального трафика.
3. Создайте NSX Security Group для всех виртуальных машин, использующих операционную систему Windows, чтобы вычислить потенциально уязвимые машины. Это действительно легко сделать в NSX, поскольку вы можете группировать виртуальные машины, основываясь на таких признаках, как ОС, вне зависимости от их IP-адресов.
4. Активируйте встроенный мониторинг активности процессов (NSX Endpoint Monitoring, доступно начиная с версии 6.3) в виртуальных машинах, чтобы обнаружить процесс mssecsvc0. Если процесс был обнаружен, проверьте, пытаются ли эти виртуальные машины устанавливать соединения по протоколу SMB.
5. Задайте правила межсетевого экрана, чтобы заблокировать/мониторить весь трафик, направленный на порт 445 в /24 подсети любой виртуальной машины, найденной в этом списке.
6. Используйте NSX Endpoint Monitoring, чтобы выяснить, используется ли mssecssvc0 в системах, на которые еще не установлены обновления безопасности. NSX также может обнаружить начало новой атаки.

Дополнительные превентивные меры включают блокировку RDP-коммуникаций между системами и блокировку всех desktop-to-desktop коммуникаций в среде VDI. С NSX Firewall этот уровень требований может быть реализован одним правилом.

Построение архитектуры защищенного ЦОДа с микросегментацией NSX

С микросегментацией NSX организации могут внедрить модель «нулевого доверия». Для сред, использующих NSX, распределенный межсетевой экран дает контроль над безопасностью для каждого vNIC каждой VM. Это контролирует коммуникации между виртуальными машинами (даже если они в одном сетевом сегменте), в отличие от традиционной модели межсетевых экранов, в которой коммуникации внутри сегмента обычно не контролируются, что позволяет вредоносному ПО легко горизонтально распространяться. С архитектурой «нулевого доверия», предлагаемой NSX, любые неразрешенные потоки будут блокироваться по умолчанию, вне зависимости от того, какие сервисы были использованы виртуальной машиной. В таких условиях зловреды, подобные WannaCry, не смогут распространяться, соответственно, снижается вероятность негативных последствий для ЦОДа и всей организации.

Узнайте подробнее о возможностях VMware NSX: http://www.vmware.com/ru/products/nsx.html 

Подписывайтесь на @VMware_rus в Twitter и на нашу страницу в Facebook, чтобы всегда быть в курсе анонсов и новостей.

Category: Новости и избранное

Tags: business, NSX, Security