Iworld.com.vn gửi tới độc giả tin tức về kỹ thuật chống lại Ransomware của McAfee
Năm 2021, các cuộc tấn công ransomware đã chiếm ưu thế trong các tấn công an ninh mạng hơn. Do đó, tôi không ngạc nhiên khi McAfee tập trung báo cáo về mối đe dọa vào tháng 06/2021.
Báo cáo này cung cấp một loạt các thống kê, bằng cách sử dụng dữ liệu McAfee từ công nghệ MVISION Insights, bao gồm cả các kỹ thuật MITRE ATT&CK hàng đầu của MITER. Trong báo cáo này, tôi làm rõ các kỹ thuật MITER như sau:
Và tôi cũng muốn làm nổi bật một kỹ thuật rất phổ biến trong các cuộc tấn công ransomware vào cuối chu kỳ tấn công:
Các biện pháp bảo vệ truyền thống dựa trên chữ ký để chống phần mềm độc hại và bảo vệ web chống lại các tên miền độc hại và địa chỉ IP không mạnh để bảo vệ chống lại kỹ thuật này từ ransomware. Do đó, tôi muốn đề cập đến một vài đổi mới gần đây của McAfee, có thể tạo ra sự khác biệt lớn trong cuộc chiến chống lại ransomware.
Ba kỹ thuật ransomware sau được liên kết với truy cập trang web:
Hơn nữa, hầu hết các cuộc tấn công ransomware đều yêu cầu một số hình thức truy cập vào máy chủ điều khiển và chỉ huy để có thể chiếm quyền hoạt động hoàn toàn.
Kỹ thuật McAfee Remote Browser Isolation (RBI) đảm bảo không có nội dung web độc hại nào tiếp cận trình duyệt web của thiết bị đầu cuối doanh nghiệp, bằng cách cô lập tất cả hoạt động duyệt web đến các trang web không xác định và giảm thiểu rủi ro hoạt động trong môi trường ảo từ xa. Với các liên kết lừa đảo trực tuyến, RBI hoạt động tốt nhất khi chạy ứng dụng mail người dùng trong trình duyệt web. Hệ thống người dùng không thể bị xâm phạm nếu mã web hoặc tệp thông tin không thể chạy. Điều đó làm cho RBI trở thành hình thức bảo vệ mối đe dọa web mạnh mẽ nhất hiện có. Ngoài ra, kỹ thuật RBI được bao gồm trong hầu hết các giấy phép McAfee United Cloud Edge (UCE) mà không phải trả thêm phí.
Hình 1. Khái niệm về cách ly trình duyệt từ xa
Kỹ thuật McAfee Client Proxy (MCP) kiểm soát tất cả lưu lượng truy cập web, bao gồm cả lưu lượng web có nghi ngờ chứa ransomware, được tạo bằng các công cụ như MEGAsync và Rclone. Và MCP là một phần của McAfee United Cloud Edge (UCE).
Các kỹ thuật ransomware sau được liên kết với các cuộc tấn công không có công cụ lọc:
Nhiều cuộc tấn công ransomware cũng sử dụng PowerShell.
Hình 2. Ví dụ về quy trình tiêu diệt tấn công mà không cần công cụ lọc dữ liệu
McAfee cung cấp một loạt các công nghệ bảo vệ chống lại các phương pháp tấn công tần suất cao, bao gồm ngăn chặn khai thác các McAfee ENS (Endpoint Security) Exploit prevention và McAfee ENS 10.7 Adaptive Threat Protection (ATP). Dưới đây là một số ví dụ về Quy tắc ngăn chặn khai thác đầu cuối và ATP:
Về việc sử dụng Mimikatz trong ví dụ trên, công nghệ McAfee ENS 10.7 ATP Credential Theft Protection mới được thiết kế, để chấm dứt các cuộc tấn công chống lại Windows LSASS, do đó bạn không cần phải dựa vào phát hiện Mimikatz.
Hình 3. Ví dụ về các quy tắc Ngăn chặn khai thác liên quan đến Mimikatz
Công nghệ ENS 10.7 ATP hiện được bao gồm trong hầu hết các giấy phép McAfee Endpoint Security mà không phải trả thêm phí.
Để ngăn chặn truy cập ban đầu, bạn cũng cần giảm rủi ro liên quan đến kỹ thuật sau:
RDP (giao thức máy tính từ xa của Windows) là một truy cập ban đầu, được sử dụng bởi các cuộc tấn công ransomware. Bạn có thể có cách đã ngăn chặn hoặc hạn chế RDP nhưng làm thế nào để bạn biết nó được thực thi trên mọi đầu cuối?
Với công nghệ MVISION EDR (Phát hiện và phản hồi đầu cuối), bạn có thể thực hiện tìm kiếm theo thời gian thực trên tất cả các hệ thống được quản lý, để xem điều gì đang xảy ra.
Hình 4. MVISION EDR-Tìm kiếm để xác minh xem RDP được bật hay tắt trên hệ thống trong thời gian thực
Hình 5. MVISION EDR-Tìm kiếm để xác định các hệ thống có kết nối đang hoạt động trên RDP trong thời gian thực
MVISION EDR duy trì lịch sử kết nối mạng đến và đi từ máy khách. Chúng thực hiện tìm kiếm lịch sử đối với lưu lượng mạng, để xác định các hệ thống liên lạc trên cổng 3389 tới các địa chỉ trái phép, có khả năng phát hiện các ngăn chặn khai thác lỗ hổng.
MVISION EDR cũng cho phép giám sát chủ động bởi một nhà phân tích bảo mật. Nó có bảng điều khiển giám sát, giúp nhà phân tích trong SOC nhanh chóng phân loại hành vi đáng ngờ.
Để biết thêm các trường hợp sử dụng EDR liên quan đến ransomware, hãy xem bài viết trên blog này.
Với MVISION Insights, bạn không cần phải đợi báo cáo mới nhất về mối đe dọa ransomware của McAfee. Với MVISION Insights, bạn có thể dễ dàng sử dụng trong các trường hợp sau:
Các trường hợp được đề cập trong hội thảo trên web: “Cách chống lại Ransomware với những cải tiến mới nhất của McAfee”. Bạn có thể tham khảo thêm
Tiếp tục một báo cáo về kỹ thuật sau đây về mối đe dọa của McAfee tháng 06/2021:
MVISION Insights có thể hiển thị các phát hiện trong môi trường của bạn, cũng như thống kê về mức độ phổ biến các mối đe dọa.
Hình 6. Số liệu thống kê về mức độ phổ biến từ MVISION Insights dựa trên công cụ LAZAGNE
MVISION Insights được bao gồm trong một số giấy phép Endpoint Security.
Bây giờ chúng ta còn lại với kỹ thuật cuối cùng trong chu kỳ tấn công:
Công nghệ McAfee ENS 10.7 Adaptive Threat Protection (ATP) ngăn chặn các quy trình mối đe dọa đáng ngờ và tập trung tự động khắc phục các ransomware bị mã hóa.
Hình 7. Cấu hình của quy trình khắc phục Rollback trong ENS 10.7
Bạn có thể xem cách các tệp tin bị ransomware tác động, được khôi phục thông qua biện pháp khắc phục nâng cao trong video này. Để biết thêm các phương pháp hay nhất về cách điều chỉnh quy tắc chứa ứng dụng động, hãy xem bài viết tại đây.
Năm ngoái McAfee đã phát hành blog này, đề cập đến các khả năng bổ sung từ McAfee Endpoint Security (ENS), Endpoint Detection and Response (EDR) và Management Console (ePO) chống lại ransomware bao gồm:
Để tăng khả năng bảo vệ chống lại ransomware, bạn nên thực hiện các điều sau:
Bạn nên bắt đầu sử dụng chúng càng sớm càng tốt và nếu bạn không có thì hãy liên hệ với chúng tôi.
Link tham khảo thêm cho bạn: https://www.pacisoft.com/bao-mat-security/for-business/mcafee-business.html
Biên dịch: Lê Toản – Iworld.com.vn