مقابله با باج افزار در آنتی ویروس تحت شبکه سیمانتک

اکثر ویژگیهای مقابله با باج افزار در آنتی ویروس سیمانتک Symantec Endpoint Protection، بطور پیشفرض فعال هستند.

حملات هدفمند باج افزار را میتوان به مراحل زیر تقسیم کرد:

• • توافق اولیه
• افزایش امتیاز و سرقت اعتبار
  • حرکت جانبی
  • رمزگذاری و حذف نسخه های پشتیبان

بهترین دفاع اینست که بسیاری از انواع حملات را مسدود کنید و زنجیره حمله ای را بدانید که بیشتر گروههای جرایم سایبری برای شناسایی اولویتهای امنیتی از آن استفاده میکنند. متأسفانه رمزگشایی باج افزار با استفاده از ابزارهای حذف امکان پذیر نیست.

در Symantec Endpoint Protection Manager، ویژگیهای زیر را اجرا و فعال کنید. برخی از ویژگیها بطور پیش فرض فعال هستند.

مرحله 1: فعالسازی file-based protection

سیمانتک انواع فایلهای زیر را قرنطینه میکند: Ransom.Maze، Ransom.Sodinokibi و Backdoor.Cobalt.

پالیسی حفاظت از ویروس و جاسوس افزار را فعال کنید که بطور پیشفرض فعال است.

مرحله 2: فعالسازی SONAR 

حفاظت مبتنی بر رفتار SONAR یکی دیگر از راههای مقابله با  باج افزار است. SONAR از اجرای file name های اجرایی دوگانه انواع باج‌افزار مانند CryptoLocker جلوگیری میکند.

در خط مشی حفاظت از ویروس و جاسوس افزار، روی SONAR > Enable SONAR کلیک کنید. این گزینه بطور پیشفرض فعال است.

مرحله 3: مدیفای کردن Download Insight

Symantec Insight با قرنطینه کردن فایلهایی که پایگاه مشتریان سیمانتک میدانند مخرب هستند یا هنوز ایمن یا مخرب بودن آنها ثابت نشده است، از انواع باج‌ افزارها جلوگیری میکند.

Download Insight بخشی از پالیسی پیشفرض Virus and Spyware – High Security است.

در کنسول، پالیسی Virus and Spyware Protection مورد نظر را باز کنید و روی Download Protection کلیک کنید.

اگر پالیسی جدیدی اضافه میکنید، پالیسی Virus and Spyware Protection policy-High Security را انتخاب کنید.

1. در تب Download Insight، مطمئن شوید که گزینه Enable Download Insight to detect potential risks in downloaded files based on file reputation علامتدار باشد.
2. گزینه های پیشفرض زیر را بررسی کنید:

• • فایلهایی با 5 کاربر یا کمتر
  • فایلهایی که کاربران برای 2 روز یا کمتر شناخته شده اند

مقادیر کم پیشفرض، مشتری را مجبور میکند تا فایلهایی را که بیش از پنج کاربر به سیمانتک گزارش نکرده‌اند یا برای کمتر از ۲ روز بعنوان فایلهای اثبات‌نشده تلقی کنند.

وقتی فایلهای اثبات‌ نشده این معیارها را برآورده میکنند، Download Insight فایلها را بعنوان مخرب تشخیص میدهد.

3. اطمینان حاصل کنید که Automatically trust any file downloaded from a trusted Internet or intranet site علامتدار باشد.
4. در تب Actions، در زیر Malicious Files، اول Quarantine risk و سپس Leave alone را تیک بزنید.
5. در بخش Unproven Files، روی Quarantine risk کلیک کنید.
6. روی OK کلیک کنید.

مرحله 4: فعالسازی سیستم پیشگیری از نفوذ (IPS)

یکی دیگر از راههای مقابله با باج افزار در آنتی ویروس سیمانتک، IPS میباشد.

IPS برخی از تهدیدات را مسدود میکند که تعاریف سنتی ویروس به تنهایی نمیتوانند آنها را متوقف کنند.

IPS بهترین دفاع در برابر درایو از طریق دانلودها است و زمانی اتفاق می افتد که نرم افزار بطور ناخواسته از اینترنت دانلود شود.

مهاجمان اغلب از کیت های بهره برداری برای ارائه یک حمله مبتنی بر وب مانند CryptoLocker از طریق یک درایو بواسطه دانلود استفاده میکنند.

در برخی موارد، IPS میتواند رمزگذاری فایل را با قطع ارتباط فرمان و کنترل (Command & Control) مسدود کند.

سرور C&C کامپیوتری است که توسط یک مهاجم یا مجرم سایبری کنترل میشود و برای ارسال دستورات به سیستمهایی که توسط بدافزار در معرض خطر قرار گرفته‌اند و دریافت داده‌های دزدیده شده از یک شبکه هدف استفاده میشود.

URL Reputation بر اساس امتیاز اعتبار یک صفحه وب، از تهدیدات وب جلوگیری میکند. گزینه Enable URL Reputation صفحات وب با امتیاز اعتبار زیر یک آستانه خاص را مسدود میکند. (14.3 RU1 و بالاتر).

مرحله 5: بلاک کردن فایلهای PDF و اسکریپت ها

در خط مشی Exceptions، روی Windows Exceptions > File Access کلیک کنید.

مرحله 6: دانلود کردن پچ ها

آخرین وصله‌ها را برای چارچوبهای برنامه‌های کاربردی وب، مرورگرهای وب و افزونه‌های مرورگر وب دانلود کنید.

موارد زیر را انجام دهید:

از Application and Device Control برای جلوگیری از اجرای برنامه‌ها در فهرستهای نمایه کاربر، مانند Local و LocalLow استفاده کنید. برنامه های باج افزار بجز Local\Temp\Low در بسیاری از فهرستها نصب میشوند.

از پاسخ تشخیص نقطه پایانی (EDR) برای شناسایی فایلهای دارای رفتار باج‌افزار استفاده کنید:

اسکریپت های ماکرو را از فایلهای MS Office که از طریق ایمیل منتقل میشوند غیرفعال کنید.

روی نقاط انتهایی شناسایی شده کلیک راست کرده و Isolate را انتخاب کنید. برای جداسازی و پیوستن مجدد نقاط پایانی به کنسول، باید یک پالیسی Quarantine Firewall در Symantec Endpoint Protection Manager داشته باشید که به یک پالیسی Host Integrity اختصاص داده شده است.

مرحله 7: فعالسازی Web & Cloud Access Protection و Web Security Service

از Web and Cloud Access Protection استفاده کنید تا نقاط پایانی چه در یک شبکه شرکتی، چه در خانه یا خارج از محل کار، قابلیت ادغام با Symantec Web Security Service (WSS) را داشته باشند.

NTR ترافیک اینترنت مشتری را به سیمانتک WSS هدایت میکند، جاییکه ترافیک بر اساس پالیسی های WSS مجاز یا مسدود شده است.

مرحله 8: فعالسازی Memory Exploit Mitigation

در برابر آسیب‌پذیریهای شناخته‌ شده در نرم‌افزارهای وصله‌ نشده، مانند وب سرور JBoss یا Apache، که مهاجمان از آنها سوءاستفاده میکنند، محافظت میکند.

مرحله 9: فعالسازی AMSI و اسکن بدون فایل

توسعه دهندگان برنامه های شخص ثالث میتوانند از مشتریان خود در برابر بدافزارهای مبتنی بر اسکریپت پویا و از راههای غیرسنتی حملات سایبری محافظت کنند.

برنامه شخص ثالث رابط AMSI ویندوز را فراخوانی میکند تا اسکن اسکریپت ارائه شده توسط کاربر را درخواست کند که به کلاینت Symantec Endpoint Protection هدایت میشود.

کلاینت با حکمی پاسخ میدهد تا نشان دهد که آیا رفتار اسکریپت مخرب است یا خیر.

اگر رفتار اسکریپت مخرب نباشد، اجرای اسکریپت دارد. اگر رفتار اسکریپت مخرب باشد، برنامه آنرا اجرا نمیکند.

در کلاینت، دیالوگ باکس Detection Results وضعیت “Access Denied” را نمایش میدهد.

نمونه هایی از اسکریپت های شخص ثالث عبارتند از Windows PowerShell، JavaScript و VBScript. محافظت خودکار باید فعال باشد. این قابلیت برای کامپیوترهای ویندوز 10 به بعد کار میکند.

مرحله 10: فعالسازی تشخیص و پاسخ نقطه پایانی (EDR)

EDR بجای فایلها بر رفتارها تمرکز میکند و میتواند جهت مقابله با باج افزار، دفاع در برابر فیشینگ را تقویت کند. بعنوان مثال، اگر Word بطور معمول PowerShell را در محیط مشتری راه‌ اندازی نمیکند، باید در حالت Block قرار گیرد.

رابط کاربری EDR به مشتریان این امکان را میدهد تا براحتی بفهمند کدام رفتارها رایج هستند و باید مجاز باشند، چه رفتارهایی دیده میشوند اما همچنان باید هشدار داده شوند، و کدام غیرمعمول هستند و باید مسدود شوند.

همچنین میتوانید بعنوان بخشی از بررسی و پاسخ به هشدارهای حادثه، شکافها را بصورت واکنشی برطرف کنید.

هشدار حادثه تمام رفتارهایی را که بعنوان بخشی از نقض مشاهده شده است را نشان میدهد و این قابلیت را فراهم میکند که آنرا در حالت Block درست از صفحه جزئیات حادثه قرار دهید.

مرحله 11: فعالسازی حسابرسی (auditing)

از ابزارهای ممیزی استفاده کنید تا به شما کمک کند قبل از اینکه باج‌ افزار فرصتی برای انتشار پیدا کند، نسبت به نقاط پایانی خود هم در شبکه شرکتی و هم در خارج از شبکه شرکت خود اطلاعاتی کسب کنید.

از Memory Exploit Mitigation برای تست مثبت کاذب استفاده کنید.

مرحله 12: راه اندازی سنسورهای تشخیص مدیریت نشده

ردیابهای مدیریت نشده باید برای پاسخگویی به نقاط پایانی که در آن ممکن است محافظت نباشد، حضور داشته باشند.