Combatendo Ransomware com auxilio do Kaspersky Security for Windows Server.

By | 16 de setembro de 2016

Olá, nas últimas semanas tens se falado bastante sobre Ransomware e está cada vez mais comum escutar relatos de vítimas deste tipo de infecção. Mas o que é Ransomware Bernardo? Bem, é um malware que restringe o acesso ao sistema e é cobrado um valor para resgatar os documentos criptografados. Esse valor, é cobrado através de Bitcoin, uma moeda virtual baseada em um protocolo aberto e independente de uma autoridade central. Tornando desta maneira uma forma complexa de invasão, tendo sua criptografia quase impossível de ser quebrada e seu ataque difícil de ser rastreado.

Neste post sairei do padrão do Blog, comentarei sobre uma excelente ferramenta que já utilizo a 3 anos, Kasperksy Enterprise Security. Sou grande apaixonado pela parte de Segurança e grande fã desta solução.

Antes de demonstrar o processo de configuração desta ferramenta, teremos que ter ciência de que apenas a solução não é o suficiente para prevenir esta forma de ataque. Devemos:

1-    Não utilizar softwares não originais, cracks e ativadores (Pirataria também é crime);
2-    Utilizar vlan para dispositivos moveis e visitantes na sua rede;
3-    Manter sempre seus softwares atualizados;
4-    E-mails na Nuvem (ex.: Office 365), quando não for possível, usar regras de controle para spam;
5-  Utilizar GPOs para bloqueios de USB ou um Endpoint com para ter o mesmo controle (Kaspersky fornece este recurso);
6-   Evitar a pratica de colocar usuários como administrador local nas estações (recomendo a leitura deste artigo do Nathan Pinotti Link);
7-   Utilizar política de senha complexas em contas de usuários do domínio (Senhas Fortes, recomendo a leitura deste artigo do Nathan Pinotti Link);
8-  Soluções de antivírus para workstations e servers, com política de atualização(Kaspersky Security Center, BitDefender entre outros);
9-    Avaliar as políticas de acessos em compartilhamentos;
10- Evitar a utilização de permissões com “controle total” e o usuário “todos” em acesso NTFS as pastas compartilhadas;
11-  Realizar o monitoramento de portas e serviços abertos/ativos que podem expor a segurança, deixar aberto e ativos apenas os essenciais, uma ótima pratica é realizar a alteração de portas padrões de serviços como RDP, FTP, etc;
12- Criar várias camadas de backup com rotatividade de mídias, incluindo-se opções em nuvem (Recomendo Backup do tipo 321, dois backups físicos em ambientes separados e um nas nuvens);
13-  Bloquear acessos à compartilhamentos externos em Dropbox, Google Drive, Onedrive etc (expõe à riscos);
14-  Gerenciar e Bloquear acessos à sites via proxy com filtros de conteúdo;
15-  Manter firewall ativos nas estações e servidores;
16-  Possuir firewall de borda entre a internet e a rede interna;
17-  Ativar auditorias de falhas em login do domínio;
18-  Conscientizar usuários dos riscos;
19-  Manter o ambiente (servidores e estações) atualizados, recomento a utilização de um WSUS para este fim.

Mas e se cheguei aqui porque já fui infectado…….

Bem neste caso recomendo que dê uma leitura neste Artigo do Flavio Pereira, ele demostra e mostra algumas ferramentas onde é possível recuperar arquivos de alguns tipos de Ransomware.

Agora que já sabemos um pouco de Ransomware e como se prevenir, demonstrarei o processo para habilitar a prevenção dentro do Kaspersky Security For Windows, função disponível na última atualização disponível.

Nessa documentação utilizarei:

KSC: Kaspersky Security Center 10 (10.3.407)
KES: Kaspersky Endpoint Security 10 for Windows (10.2.1.23)

Acesse seu Kaspersky Security Center e realize o download do Kaspersky Security 10 for Windows Server (K4WS) versão 10.0.0.486, devido este não estar incluso na instalação default do KSC. Com o KSC aberto, navegue “Servidor de Administração > Avançado > Pacotes de Instalação”. Neste local será apresentado todos os pacotes que estão disponíveis para instalação.  Clique em “Ações Adicionais > Versão atual de aplicativos da Kaspersky Lab”.

Veremos os pacotes disponíveis para o KS 10 for Windows. Por enquanto não há versões disponíveis em PT-br. Logo teremos que realizar o download da versão inglesa.
imageimage

Clique no link para o endereço web para realizar o download e aguarde o termino. Após o termino inicie o instalador.

image

Clique em Next e aguarde a extração.

Após o termino será apresentada a janela do instalador. Nesse momento precisaremos instalar o Plug-in para realizarmos a integração do Kaspersky for Windows Servers com o KSC, deixando toda a administração centralizada.

image

Clique em “Install Kaspersky Security Plug-in”. A instalação é bem simples, basta clicar em Next e aguardar o termino.

image

Para o próximo passo, é preciso criar um grupo onde colocaremos os servidores que utilizarão o Kaspersky for Windows Server e criaremos uma nova política para este grupo.

image

Criei um grupo chamado “SERVERS-ANTICRYPTOR”.

image

Entre no grupo recém-criado e clique na aba “Políticas” e posteriormente clique no botão “Criar uma Política”.

image

Na próxima janela será preciso informar para qual aplicativo essa política será utilizada. Selecionaremos “Kaspersky Security 10 for Windows Servers”.

image

A próxima janela perguntará se deseja utilizar um arquivo de configuração já existente ou se irá criar um novo, deixe selecionado New e clique em next.

image

Na próxima janela, clique em next, e posteriormente verifique se está marcado para ser uma política ativa e clique em Finish.

image

Pronto sua política está criada. Com as configurações default.

image

Caso queira apenas testar a solução, deixo abaixo meu Setup e comentarei alguns pontos importantes que configurei.

Obs: Caso for colocar em ambiente de produção, aconselho ler as documentações da Kaspersky antes, procurando entender o processo de cada opção, evitando assim possíveis problemas.
Acesse a Politica recém-criada e clique em Propriedades.

image

Neste momento, clique em Settings da opção “Real-Time File Protection”, habilite “User KSN for Protection”, que é uma infraestrutura da Kaspersky dedicada ao processamento de cyber segurança.

image

Outro ponto importante, é habilitar o monitoramento de scripts maliciosos. Em Scripts Monitoring clique em Settings, depois habilite a primeira opção, “Allow”.

image

Agora chegou ao ponto chave. Configuraremos o Anti-Cryptor. Clique em Server Control > Anti-Cryptor > Settings.

image

É necessário manter os cadeados fechados para que as tasks funcionem, conforme a imagem acima.

Agora será preciso informar quais shares ficarão protegidos pela solução. Como esta solução normalmente é configurada em FileServers, então deixaremos a primeira opção selecionada, onde todos os shares ficarão protegidos, porém, você também tem a opção de escolha.

image

Nosso próximo passo será configurar o período que o host infectado ficará bloqueado para acessar os shares. Desta forma, se a estação estiver com algum Ramsoware, automaticamente o Kaspersky cortará o acesso da estação com todos os shares do servidor. No exemplo abaixo deixei apenas 1 (um) dia, pode até parecer muito, mas acho que é tempo suficiente para a equipe de TI descobrir o caso e agir, claro, dependendo do tamanho do ambiente.

image

Precisaremos criar 3 tarefas nesse momento:
1)    Uma para ativação da aplicação;
2)    Outra para realizar o update do Database. Colocando para fazer depois que sair uma nova atualização no KSC;
3)    Realizar o Update das configurações dos módulos.

image

Instalando Kaspersky For Windows Server.

Se no seu servidor não tiver já instalado o Agente do Kasperksy Security Center, realize a instalação, caso contrário prossiga.

Nesse ponto, precisaremos instalar o K4WS. A instalação poderá ser feita via Deploy, através do próprio KSC, ou também, instalando de forma manualmente no servidor, utilizando o instalador que fizemos download no início desta documentação.

image

Aguarde a conclusão da instalação, o ícone aparecerá perto do relógio. Vale notar que não há console de gerenciamento, tudo é feito via KSC, porem caso queira acessar o console, basta instalar o Kaspersky Security Console.

Lembre-se de mover seu servidor para dentro desse grupo no console do KSC.

Nota que o ícone da Kaspersky deverá ficar vermelho. Caso fique cinza, será necessário rodar as Tarefas criadas anteriormente.

image

Na imagem acima, podemos notar que está rodando a versão recém instalada, e o Anti-Cryptor também está rodando.

Obs1: Tive problema para instalar a licença, não estava executando a tarefa. Instalei o console e vi que estava apresentando o seguinte erro.

image

Para corrigir, baixei e instalei o seguinte fix disponibilizado pela Kaspersky.

Critical Fix (KB12662)

Após efetuar a instalação rodei novamente a tarefa e o serviço foi iniciado normalmente.

Pronto seu Anti-Cryptor está configurado e funcionando.

image

Obs2: Em outros dois servidores, tive que instalar mais dois Fix, devido ao serviço do Kaspersky Security não está querendo ser iniciado. São eles:

Critical Fix AntiCryptor 4 (KB12644)

Critical Fix ProductCore 3 (KB13017)

Recomendo Leitura:
Kaspersky Security For Windows 10
https://support.kaspersky.com/kes10fs/install
https://support.kaspersky.com/12652

Melhores Práticas
https://business.kaspersky.com/practical-guide/4752/
http://media.kaspersky.com/pdf/guard-against-crypto-ransomware-kaspersky-guide.pdf

Tem alguma duvida? Compartilhe conosco comentando.

2 thoughts on “Combatendo Ransomware com auxilio do Kaspersky Security for Windows Server.

  1. Romain Rolland

    Boa tarde

    Pensando em ambiente corporativo com um parque de mais de 1500 máquinas entre clientes e servidores, e que já utiliza um antivirus licenciado. É possivel implementar esta solução ( passando por testes antes) sem custos?

    Reply
    1. Bernardo Lankheet Post author

      Olá Romain Rolland. O Kaspersky atende muito bem nesse ambiente, em contato com um representante você consegue uma licença para teste, também é possível realizar download da versão trial através do site. Em relação ao teste, não recomendo utilizar dois endpoints na mesma estação, pode comprometer o desempenho. Qualquer duvida estou à disposição.

      Reply

Deixe uma resposta