داده پایش کارن (نرم افزارهای امنیت شبکه و اطلاعات)
داده پایش کارن (نرم افزارهای امنیت شبکه و اطلاعات)
خواندن ۶ دقیقه·۳ سال پیش

مقابله با باج افزار در آنتی ویروس سیمانتک Symantec Endpoint Protection

اکثر ویژگیهای مقابله با باج افزار در آنتی ویروس سیمانتک Symantec Endpoint Protection، بطور پیشفرض فعال هستند. حملات هدفمند باج افزار را میتوان به مراحل زیر تقسیم کرد:

  • توافق اولیه
  • افزایش امتیاز و سرقت اعتبارحرکت جانبی
  • رمزگذاری و حذف نسخه های پشتیبان

بهترین دفاع اینست که بسیاری از انواع حملات را مسدود کنید و زنجیره حمله ای را بدانید که بیشتر گروههای جرایم سایبری برای شناسایی اولویتهای امنیتی از آن استفاده میکنند. متأسفانه رمزگشایی باج افزار با استفاده از ابزارهای حذف امکان پذیر نیست. در Symantec Endpoint Protection Manager، ویژگیهای زیر را اجرا و فعال کنید. برخی از ویژگیها بطور پیش فرض فعال هستند.

مرحله 1: حفاظت مبتنی بر فایل را فعال کنید.

سیمانتک انواع فایلهای زیر را قرنطینه میکند: Ransom.Maze، Ransom.Sodinokibi و Backdoor.Cobalt.

پالیسی حفاظت از ویروس و جاسوس افزار را فعال کنید که بطور پیشفرض فعال است.

مرحله 2: SONAR را فعال کنید.

حفاظت مبتنی بر رفتار SONAR یکی دیگر از راههای مقابله با  باج افزار است. SONAR از اجرای file name های اجرایی دوگانه انواع باج‌افزار مانند CryptoLocker جلوگیری میکند.

در خط مشی حفاظت از ویروس و جاسوس افزار، روی SONAR > Enable SONAR کلیک کنید. این گزینه بطور پیشفرض فعال است.

مرحله 3: دانلود Insight را اصلاح کنید.

در انتی ویروس سیمانتک، Symantec Insight با قرنطینه کردن فایلهایی که پایگاه مشتریان سیمانتک میدانند مخرب هستند یا هنوز ایمن یا مخرب بودن آنها ثابت نشده است، از انواع باج‌ افزارها جلوگیری میکند. Download Insight بخشی از پالیسی پیشفرض Virus and Spyware – High Security است.

در کنسول، پالیسی Virus and Spyware Protection مورد نظر را باز کنید و روی Download Protection کلیک کنید. اگر پالیسی جدیدی اضافه میکنید، پالیسی Virus and Spyware Protection policy-High Security را انتخاب کنید.

  1. در تب Download Insight، مطمئن شوید که گزینه Enable Download Insight to detect potential risks in downloaded files based on file reputation علامتدار باشد.
  2. گزینه های پیشفرض زیر را بررسی کنید:
  • فایلهایی با 5 کاربر یا کمتر
  • فایلهایی که کاربران برای 2 روز یا کمتر شناخته شده اند

مقادیر کم پیشفرض، مشتری را مجبور میکند تا فایلهایی را که بیش از پنج کاربر به سیمانتک گزارش نکرده‌اند یا برای کمتر از ۲ روز بعنوان فایلهای اثبات‌نشده تلقی کنند. وقتی فایلهای اثبات‌ نشده این معیارها را برآورده میکنند، Download Insight فایلها را بعنوان مخرب تشخیص میدهد.

  1. اطمینان حاصل کنید که Automatically trust any file downloaded from a trusted Internet or intranet site علامتدار باشد.
  2. در تب Actions، در زیر Malicious Files، اول Quarantine risk و سپس Leave alone را تیک بزنید.
  3. در بخش Unproven Files، روی Quarantine risk کلیک کنید.
  4. روی OK کلیک کنید.

مرحله 4: سیستم پیشگیری از نفوذ (IPS) را فعال کنید.

یکی دیگر از راههای مقابله با باج افزار در آنتی ویروس سیمانتک، IPS میباشد. IPS برخی از تهدیدات را مسدود میکند که تعاریف سنتی ویروس به تنهایی نمیتوانند آنها را متوقف کنند. IPS بهترین دفاع در برابر درایو از طریق دانلودها است و زمانی اتفاق می افتد که نرم افزار بطور ناخواسته از اینترنت دانلود شود.

مهاجمان اغلب از کیت های بهره برداری برای ارائه یک حمله مبتنی بر وب مانند CryptoLocker از طریق یک درایو بواسطه دانلود استفاده میکنند. در برخی موارد، IPS میتواند رمزگذاری فایل را با قطع ارتباط فرمان و کنترل (Command & Control) مسدود کند.

سرور C&C کامپیوتری است که توسط یک مهاجم یا مجرم سایبری کنترل میشود و برای ارسال دستورات به سیستمهایی که توسط بدافزار در معرض خطر قرار گرفته‌اند و دریافت داده‌های دزدیده شده از یک شبکه هدف استفاده میشود. URL Reputation بر اساس امتیاز اعتبار یک صفحه وب، از تهدیدات وب جلوگیری میکند. گزینه Enable URL Reputation صفحات وب با امتیاز اعتبار زیر یک آستانه خاص را مسدود میکند. (14.3 RU1 و بالاتر).

مرحله 5: فایلهای PDF و اسکریپت ها را مسدود کنید.

در خط مشی Exceptions، روی Windows Exceptions > File Access کلیک کنید.

مرحله 6: پچ ها را دانلود کنید.

آخرین وصله‌ها را برای چارچوبهای برنامه‌های کاربردی وب، مرورگرهای وب و افزونه‌های مرورگر وب دانلود کنید.

موارد زیر را انجام دهید:

از Application and Device Control برای جلوگیری از اجرای برنامه‌ها در فهرستهای نمایه کاربر، مانند Local و LocalLow استفاده کنید. برنامه های باج افزار بجز Local\Temp\Low در بسیاری از فهرستها نصب میشوند.

از پاسخ تشخیص نقطه پایانی (EDR) برای شناسایی فایلهای دارای رفتار باج‌افزار استفاده کنید:

اسکریپت های ماکرو را از فایلهای MS Office که از طریق ایمیل منتقل میشوند غیرفعال کنید.

روی نقاط انتهایی شناسایی شده کلیک راست کرده و Isolate را انتخاب کنید. برای جداسازی و پیوستن مجدد نقاط پایانی به کنسول، باید یک پالیسی Quarantine Firewall در Symantec Endpoint Protection Manager داشته باشید که به یک پالیسی Host Integrity اختصاص داده شده است.

مرحله 7: Web and Cloud Access Protection و Web Security Service را فعال کنید.

از Web and Cloud Access Protection استفاده کنید تا نقاط پایانی چه در یک شبکه شرکتی، چه در خانه یا خارج از محل کار، قابلیت ادغام با Symantec Web Security Service (WSS) را داشته باشند. NTR ترافیک اینترنت مشتری را به سیمانتک WSS هدایت میکند، جاییکه ترافیک بر اساس پالیسی های WSS مجاز یا مسدود شده است.

مرحله 8: Memory Exploit Mitigation را فعال کنید.

در برابر آسیب‌پذیریهای شناخته‌ شده در نرم‌افزارهای وصله‌ نشده، مانند وب سرور JBoss یا Apache، که مهاجمان از آنها سوءاستفاده میکنند، محافظت میکند.

مرحله 9: AMSI و اسکن بدون فایل را فعال کنید.

توسعه دهندگان برنامه های شخص ثالث میتوانند از مشتریان خود در برابر بدافزارهای مبتنی بر اسکریپت پویا و از راههای غیرسنتی حملات سایبری محافظت کنند.

برنامه شخص ثالث رابط AMSI ویندوز را فراخوانی میکند تا اسکن اسکریپت ارائه شده توسط کاربر را درخواست کند که به کلاینت Symantec Endpoint Protection هدایت میشود. کلاینت با حکمی پاسخ میدهد تا نشان دهد که آیا رفتار اسکریپت مخرب است یا خیر. اگر رفتار اسکریپت مخرب نباشد، اجرای اسکریپت دارد. اگر رفتار اسکریپت مخرب باشد، برنامه آنرا اجرا نمیکند.

در کلاینت، دیالوگ باکس Detection Results وضعیت “Access Denied” را نمایش میدهد. نمونه هایی از اسکریپت های شخص ثالث عبارتند از Windows PowerShell، JavaScript و VBScript. محافظت خودکار باید فعال باشد. این قابلیت برای کامپیوترهای ویندوز 10 به بعد کار میکند.

مرحله 10: تشخیص و پاسخ نقطه پایانی (EDR) را فعال کنید.

قابلیت EDR بجای فایلها بر رفتارها تمرکز میکند و میتواند جهت مقابله با باج افزار، دفاع در برابر فیشینگ را تقویت کند. بعنوان مثال، اگر Word بطور معمول PowerShell را در محیط مشتری راه‌اندازی نمیکند، باید در حالت Block قرار گیرد.

رابط کاربری EDR به مشتریان این امکان را میدهد تا براحتی بفهمند کدام رفتارها رایج هستند و باید مجاز باشند، چه رفتارهایی دیده میشوند اما همچنان باید هشدار داده شوند، و کدام غیرمعمول هستند و باید مسدود شوند.

همچنین میتوانید بعنوان بخشی از بررسی و پاسخ به هشدارهای حادثه، شکافها را بصورت واکنشی برطرف کنید. هشدار حادثه تمام رفتارهایی را که بعنوان بخشی از نقض مشاهده شده است را نشان میدهد و این قابلیت را فراهم میکند که آنرا در حالت Block درست از صفحه جزئیات حادثه قرار دهید.

مرحله 11: حسابرسی را فعال کنید.

از ابزارهای ممیزی استفاده کنید تا به شما کمک کند قبل از اینکه باج‌افزار فرصتی برای انتشار پیدا کند، نسبت به نقاط پایانی خود هم در شبکه شرکتی و هم در خارج از شبکه شرکت خود اطلاعاتی کسب کنید. از Memory Exploit Mitigation برای تست مثبت کاذب استفاده کنید.

مرحله 12: سنسورهای تشخیص مدیریت نشده را راه اندازی کنید.

ردیابهای مدیریت نشده باید برای پاسخگویی به نقاط پایانی که در آن ممکن است محافظت نباشد، حضور داشته باشند.

آنتی ویروسباج افزارسیمانتکsymantecransomware
شرکت داده پایش کارن ارائه دهنده راهکارها و محصولات امنیت شبکه و اطلاعات (نرم افزارهای امنیت شرکت سیمانتک، وریتاس، سوفوس و ..)
شاید از این پست‌ها خوشتان بیاید