Seguridad en el Correo de Office 365 frente al ransomware
Protégete frente al ransomware con Exchange Online Protection (Parte I)
3 abril, 2018
HoloDevCamp
HoloDevCamp 2018
25 abril, 2018

En esta segunda entrega sobre Seguridad en Office 365, veremos las contramedidas que tenemos a nuestra disposición para protegernos de posibles ataques de ransomware que puedan poner en riesgo nuestros sistemas corporativos.

 

1. Introducción a las contramedidas existentes en Office 365 para identificar y neutralizar los ataques de ransomware

En el entorno de Office 365, donde se encuentra el servicio de Exchange Online Protection, se pueden llevar a cabo una serie de medidas que son fácilmente implementables y configurables desde el punto de vista técnico utilizando las herramientas de administración que tenemos a nuestro alcance.

Todas las contramedidas se crean a partir de la identificación del origen del incidente o la brecha de seguridad en cuestión, con el fin de generar una estrategia que permita bloquear tanto el avance del virus como los posibles reintentos de ataque mientras se pone el foco en la anulación de la amenaza.

Podemos decir que la aplicación de contramedidas se desglosa en las siguientes fases, según su orden de prioridad:

  1. Aislamiento
  2. Identificación y bloqueo
  3. Reporte
  4. Educación

 

2. Fase 1: Aislamiento

Antes que nada, la primero que hay que hacer cuando sepamos que hemos sido objeto de un ataque de ransomware es analizar el alcance del mismo para saber si ha llegado a impactar en la compañía. En dicha circunstancia, no existe otra opción que asumir que la brecha existe y evaluar el impacto actual, trabajando primordialmente en la identificación del ataque y en su bloqueo por origen y contenido.

En caso de haber podido determinar que varios correos poseen un origen externo común o un mensaje cuyo cuerpo incorpora una serie de instrucciones para acceder a un punto de descarga malicioso, la primera acción a realizar sería aislar las máquinas donde se haya detectado y reportado la intrusión del resto de máquinas de la red corporativa para evitar que se extienda la infección.

 

3. Fase 2: Identificación y bloqueo

A continuación procederemos a explicar en detalle la segunda de las fases donde hemos de aplicar las contramedidas para neutralizar la amenaza.

Si se ha podido determinar el punto de entrada tras comprobar que varios correos tienen un origen externo común o poseen una estructura en la que portan en el cuerpo del mensaje instrucciones para acceder a un punto de descarga malicioso, las acciones a emprender en esta fase (dentro de las posibilidades que nos ofrece Exchange Online Protection en Office 365) serían las siguientes:

3.1. Bloqueo de la IP de origen

Habría que revisar si la IP de origen del problema es específica para tal ataque o si una confiable ha sido suplantada. En la cabecera de dichos correos aparecería la información, en la propiedad X-Originating-IP, con lo que podríamos proceder a bloquear las IPs de origen como primera acción dentro de la fase de identificación y bloqueo.

3.2. Bloqueo de la dirección SMTP de origen

De la misma forma, al establecer un patrón, habrá una serie de direcciones de correo SMTP externas, así como dominios raíz que podremos bloquear al agregarlos a la lista de remitentes bloqueados y dominios en el área “Filtro de Spam” de Exchange Online Protection editando la política por defecto. De esta forma quedarían bloqueados los correos provenientes de dichos remitentes.

ransomware2

3.3. Bloqueo de palabras clave en el asunto o cuerpo del mensaje

Si tenemos un patrón detectado o varios patrones con asunto, palabras y demás elementos comunes en el cuerpo del mensaje, podemos crear una regla de transporte que bloquee dichos correos (ETR) y así sean eliminados o enviados a la cuarentena, según el criterio que se establezca:

ransomware3ransomware4

 3.4. Bloqueo de hipervínculo

De la misma forma, podemos buscar un enlace o hipervínculo común en el cuerpo del mensaje. En los correos maliciosos, el hipervínculo suele llevar al usuario a Internet para forzarle a realizar una descarga de contenidos maliciosos, lo que supone un vector de entrada de la infección en la máquina. Podemos bloquear dicho vector de entrada generando una excepción en el firewall. En este sentido, veremos más adelante cómo operar a través del componente ATP de Exchange Online Protection o cómo proceder para que en la regla de transporte se verifiquen ciertas palabras clave.

3.5. Bloqueo de adjuntos

Aparte de poder llegar e infectar nuestros sistemas corporativos a través de archivos que porten macros como Word (.docm), Excel (.xlsm) o PowerPoint (.pptx), el ransomware puede ser descargado a través de otro tipo de archivos, como por ejemplo archivos en formato Visio (.vxd), JavaScript (.js), Visual Basic script (.vbs), librerías dinámicas (.dll), ejecutables (.exe), archivos de objetos 3D (.obj) y archivos de tipo acceso directo (.lnk).

Si hemos identificado el patrón de entrada de dichos archivos, podremos añadirlos a la regla de filtrado de forma temporal o permanente. De hecho, podemos usar una regla de transporte de Exchange Online Protection que permita bloquear los archivos con contenido ejecutable. Sin ir más lejos, dichos archivos se encuentran clasificados en la siguiente tabla:

Si decidiésemos que la regla creada desde cero con estas características tuviese un SCL 9 (en lugar de eliminar el correo directamente en caso de que se tratara de un correo ajeno a la organización), su aspecto podría ser el siguiente:ransomware6

3.6. Filtro antimalware

Ya hay una política cargada por defecto que podemos modificar según nuestras necesidades y que es complementaria a la anterior que mencionamos. Se ubica también en el centro de administración de Exchange Online Protection, en el área “Protección”, tal y como vemos en la siguiente imagen:

ransomware7

Como hemos dicho, podemos modificar la política existente a nuestro gusto. Por defecto, dicha política incluye los siguientes tipos de archivo:

  • .ace
  • .ani
  • .app
  • .docm
  • .exe
  • .jar
  • .reg
  • .scr
  • .vbe
  • .vbs

Dicha política tiene el siguiente aspecto:

ransomware8

 3.7. Bloqueo mediante Advanced Threat Protection

Disponible de forma nativa con el plan E5 de Office 365, y siendo el siguiente nivel evolutivo de defensa, Advanced Threat Protection (ATP) ofrece una protección extra que se puede añadir al nivel por defecto de protección de Exchange Online Protection. Se trata de una protección basada en Machine Learning focalizada en el correo y que permite, en tiempo real, evitar ataques directos mediante la eliminación de adjuntos no seguros y el reemplazo de hipervínculos problemáticos, evitando de esta forma los graves daños que puede ocasionar un 0-day (se trata de una vulnerabilidad para la cual no se han creado parches o revisiones y que se emplea para ayudar a los malwares a propagarse e infectar más equipos durante un ataque).

Las dos herramientas a nuestra disposición dentro del área “Amenazas Avanzadas” de Exchange Online Protection son:

1) Safe Links (vínculos a prueba de errores)

2) Safe attachments (datos adjuntos seguros)

La imagen que podéis ver a continuación nos muestra cómo funcionan el flujo, ciclo de análisis, aprendizaje y respuesta basados en Machine Learning:

ransomware_001

3.8. Bloqueo mediante el Junk Email Filter de Outlook 2016

Se trata de una de las contramedidas que podemos llevar a cabo desde la parte del cliente o usuario final.

El motor de seguridad de Outlook, cliente de correo electrónico de Microsoft, permite proteger al usuario final en cualquier momento. Independientemente de todas las contramedidas que hayamos configurado a nivel de administración en Office 365 respecto al flujo de correo, el motor de Filtro de Correo No Deseado de Outlook -o JMF (Junk Email Filter) por sus siglas en inglés- procede a realizar acciones de forma complementaria, pudiendo ejercer su control sobre los correos que sean sospechosos.

Si a pesar de todo el virus hubiese superado los filtros, tanto de Exchange Online Protection como del propio Outlook, habría que instar a los usuarios a mover los correos maliciosos identificados a la carpeta de Correo no deseado para que los vínculos contenidos en ellos quedasen deshabilitados de forma automática y, además, que reportasen estos correos como correos de tipo spam.

ransomware10

Además de esta característica, Outlook posee otra complementaria que es la conocida como “Bloqueo del Contenido Externo (Block External Content)”, la cual permite ejercer control sobre cómo se accede a la información contenida en el cuerpo de los correos, tal y como vemos en la siguiente captura de pantalla:

ransomware11

Con ello evitaremos que se tracee el tráfico de descarga validando nuestro buzón, UPN, IP, etc.

3.9. Bloqueo mediante SmartScreen (en Edge e Internet Explorer)

Se trata de otra de las contramedidas que podemos llevar a cabo desde la parte del cliente o usuario final.

Microsoft SmartScreen es un mecanismo presente en Internet Explorer 11 y Edge (en Windows 10) que permite al usuario disponer de una capa de defensa contra el phishing que bloquea sitios inseguros, evitando así en tiempo real la instalación de programas de navegación no deseados y bloqueando incluso áreas de contenido no seguro dentro del cuerpo de una misma página.

ransomware12

De la misma forma, SmartScreen nos permite dar feedback. Esto significa que tenemos la posibilidad de reportar tanto sitios no seguros como sitios que no acarrean amenaza alguna en la navegación. Es por ello importante asegurarnos de que disponemos del filtro de SmartScreen activo en el navegador (debería encontrarse activo por defecto), dado que el mismo, además de bloquear el acceso a sitios no seguros, alimenta la información de las listas dinámicas que se van actualizando y que tienen como fin proteger a los usuarios desde el otro área de seguridad de Internet Explorer.

ransomware13

3.10. Bloqueo mediante Windows 10 Creators Update, Fall Creators Update y Windows Defender Antivirus

Ésta es otra contramedida más que podemos llevar a cabo desde la parte del cliente o usuario final.

Windows 10 Creators Update (1703) y Fall Creators Update (1709) integran las nuevas capacidades de protección que incluye Windows Defender Antivirus en su versión mejorada como protección end-point, conocida como Enhanced Mitigation Experience Toolkit (EMET). Actualmente, ambas versiones de Windows 10 aseguran la plataforma de una forma más robusta y eficiente, preparándola contra cualquier amenaza, por muy novedosa que ésta sea.

La integración de Windows Defender con Windows 10 nos permite protegernos en tiempo real frente a amenazas como los troyanos que descargan virus, los kits que detectan vulnerabilidades y los ransomwares, utilizando para ello sus capacidades de detección y actualizaciones basadas en la nube. Es una buena práctica tener el Windows Defender siempre actualizado y activo en todo momento, así como compartir con el equipo de Seguridad de Microsoft muestras de archivos potencialmente afectados a fin de mejorar la prevención, como podéis ver a continuación:

ransomware14

El siguiente diagrama, además de exponernos las diversas capas que existen en Windows Defender, nos permite ver la evolución del modelo de protección. Gracias a ello, podemos tener una foto completa del ciclo de cobertura y análisis basado en el modelo de Advanced Threat Protection de Office 365:

ransomware

 
 
 
En la tercera y última parte de esta serie de posts sobre Seguridad en Office 365 os detallaremos el resto de contramedidas que podréis aplicar dentro de lo que son las fases de Reporte y de Educación.
 
 
 

¿Quieres que Kabel te ayude a descubrir cómo Office 365
puede blindar tu empresa frente a este tipo de ataques?
Cuéntanos qué te preocupa y nosotros te ayudaremos:

 
 
 
 
Podéis comentarnos lo que sea en info@kabel.es.

También podéis seguirnos en Twitter, LinkedIn y Facebook.
 
 


 

Licencia de Creative Commons
Este obra está bajo una licencia de Creative Commons Reconocimiento-NoComercial 4.0 Internacional.

 

Compártelo: Share on FacebookTweet about this on TwitterShare on LinkedInPin on Pinterest

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

NEWSLETTER