29/04/22
Lo CSIRT italiano rilascia un pdf in cui viene analizzato il malware Conti, di seguito elenchiamo le precauzioni contenute nel suddetto.
- effettuare regolari Backup dei dati critici, preferibilmente conservati in supporti non connessi in modo permanente alla rete o ai sistemi.
- impiegare su tutti i sistemi soluzioni di Endpoint Detection & Response (EDR) che contengano almeno la componente anti-malware avendo cura di mantenerlo aggiornato.
- abilitare un firewall sui sistemi garantendo esclusivamente il traffico verso i servizi e sistemi necessari.
- disattivare i servizi non necessari, sia nelle postazioni utente che sui server.
- utilizzare preferibilmente l'autenticazione multi fattoriale per gli accessi in VPN e, ove possibile, per l’accesso ai servizi esposti su Internet.
- mantenere aggiornati i software e i sistemi ed in particolare quelli impiegati per i servizi di accesso remoto.
- configurare in modo sicuro i servizi di connessione remota come quelli basati su RDP impostando limiti di accesso e password complesse e ove possibile, sistemi di autenticazione multifattoriale.
- non aprire senza opportune verifiche allegati o collegamenti in e-mail.
- verificare le comunicazioni tramite email security gateway.
- prevedere per il personale periodiche sessioni di formazione finalizzate a riconoscere il phishing e le minacce associate alla posta elettronica
- garantire il giusto grado di consapevolezza tra i dipendenti.
- verificare la presenza di vulnerabilità che impattano prodotti e applicazioni di accesso remoto rivolti al pubblico, con particolare riferimento alle recenti vulnerabilità del protocollo RDP (CVE-2020-0609, CVE-2020-0610, CVE-2020-6896, CVE-2019-1489, CVE-2019-1225, CVE-2019-1224, CVE-2019-1108).
- valutare la capacità di rilevare e bloccare l'uso di Cobalt Strike sulla rete.
- analizzare e ridurre quanto possibile la superficie di attacco di Active Directory secondo le best practices di riferimento di Microsoft.
- limitare quanto possibile il numero e l’uso di account privilegiati, adottando il principio del privilegio minimo per tutti i task di amministrazione (just-in-time/justenough).
- monitorare gli eventi di Active Directory per rilevare eventuali indicatori di intrusione e compromissione.
- introdurre restrizioni sull’impiego di tool di amministrazione come BitsAdmin, WMIC e PowerShell sulla rete.
- rilevare l’impiego improprio di tool di amministrazione come BitsAdmin, WMIC e PowerShell sulla rete.
- implementare regole di base per il controllo degli script.
- rilevare l’uso di tool di esecuzione remota come Psexec.
- rilevare eventuali movimenti laterali non previsti.
- segmentare la rete.
- crittografare i documenti sensibili sulla rete per impedirne la possibile divulgazione.
- impiegare soluzioni di Data Loss/Leak Prevention (DLP).
- implementare un piano di risposta agli attacchi informatici.
- impedire l'esecuzione di macro nei prodotti MS Office, consentendone l’esecuzione solo agli utenti che ne hanno comprovata necessità e, ove possibile, esclusivamente per le macro firmate digitalmente.
- visitare le pagine MITRE ATT&CK riportate nella sezione successiva per valutare ulteriori e personalizzate strategie finalizzate alla mitigazione e al rilevamento.
Per approfondimenti: https://www.csirt.gov.it/contenuti/conti-analisi-malware
