S3 Ep125: Khi phần cứng bảo mật có lỗ hổng bảo mật [Audio + Text]

Không có trình phát âm thanh bên dưới? Nghe trực tiếp trên Soundcloud.

CHÓ.   Ransomware, nhiều ransomware hơn và lỗ hổng TPM.

Tất cả những điều đó và hơn thế nữa, trên podcast Naked Security.

[CHẾ ĐỘ ÂM NHẠC]

Chào mừng mọi người đến với podcast.

Tôi là Doug Aamoth; anh ấy là Paul Ducklin.

Paul, hôm nay bạn thế nào?

---

VỊT.   Tuyết và mưa đá, Doug.

Vì vậy, đó là một chuyến đi lạnh lùng vào phòng thu.

Tôi đang sử dụng trích dẫn không khí… không phải cho “đi xe”, cho “studio”.

Nó không thực sự là một studio, nhưng đó là studio *của tôi*!

Một không gian bí mật nhỏ tại Sophos HQ để ghi podcast.

Và ở đây thật đáng yêu và ấm áp, Doug!

---

CHÓ.   Được rồi, nếu có ai đang nghe… hãy ghé qua để tham quan; Paul sẽ rất vui khi được dẫn bạn đi khắp nơi.

Và tôi rất phấn khích vì Tuần này trong Lịch sử Công nghệ, Phao-lô.

Tuần này vào ngày 06 tháng 1992 năm XNUMX, vi-rút khu vực khởi động Michelangelo không hoạt động đã xuất hiện, ghi đè lên các khu vực trên đĩa cứng của nạn nhân.

Chắc chắn điều này có nghĩa là ngày tận thế đối với máy tính ở khắp mọi nơi, khi các phương tiện truyền thông tự vấp ngã để cảnh báo mọi người về sự diệt vong sắp xảy ra?

Tuy nhiên, theo báo cáo của hội nghị Virus Bulletin năm 1994, và tôi trích dẫn:

Paul Ducklin, một diễn giả tràn đầy năng lượng và thú vị, tin chắc rằng, theo nhiều cách, nỗ lực giáo dục của cả các tập đoàn và phương tiện truyền thông đã không đạt được mục tiêu..

Paul, bạn đã ở đó, anh bạn!

---

VỊT.   Tôi đã, Doug.

Trớ trêu thay, ngày 6 tháng XNUMX lại là ngày mà Michelangelo không phải là virus.

Tất cả những ngày khác, nó chỉ đơn giản là lan nhanh như cháy rừng.

Nhưng vào ngày 06 tháng XNUMX, nó đã đi, “Aha! Đó là ngày tải trọng!

Và trên một đĩa cứng, nó sẽ đi qua 256 rãnh đầu tiên, 4 đầu đầu tiên, 17 cung trên mỗi rãnh… gần như là “góc dưới bên trái”, nếu bạn muốn, của mọi trang của hầu hết các đĩa cứng đang sử dụng tại thời điểm đó.

Vì vậy, nó sẽ chiếm khoảng 8.5 MB từ đĩa cứng của bạn.

Nó không chỉ lấy đi rất nhiều dữ liệu mà còn làm hỏng những thứ như bảng phân bổ tệp.

Vì vậy, bạn có thể khôi phục một số dữ liệu, nhưng đó là một nỗ lực rất lớn và không chắc chắn đối với mọi thiết bị mà bạn muốn thử và khôi phục.

Máy thứ hai cũng nhiều công việc như máy thứ nhất, máy thứ ba cũng như máy thứ hai… rất, rất khó để tự động hóa.

May mắn thay, như bạn nói, nó đã được phóng đại rất nhiều trên các phương tiện truyền thông.

Trên thực tế, theo hiểu biết của tôi thì loại vi-rút này được phân tích lần đầu tiên bởi Roger Riordan quá cố, một nhà nghiên cứu chống vi-rút nổi tiếng của Úc vào những năm 1990, và ông ấy đã thực sự phát hiện ra nó vào tháng 1991 năm XNUMX.

Và anh ấy đang trò chuyện với một người bạn của anh ấy, tôi tin là vậy, về điều đó, và người bạn đó của anh ấy nói, “Ồ, ngày 6 tháng XNUMX, đó là sinh nhật của tôi. Bạn có biết đó cũng là ngày sinh nhật của Michelangelo không?”

Bởi vì tôi đoán những người sinh vào ngày 6 tháng XNUMX có thể tình cờ biết rằng…

Tất nhiên, đó là một cái tên thời thượng và hay ho… và một năm sau, khi nó có cơ hội lan rộng và như bạn nói, thường nằm im lìm, đó là lúc nó quay trở lại.

Nó không tấn công hàng triệu máy tính, như giới truyền thông có vẻ lo sợ, và như John McAfee quá cố vẫn thích nói, nhưng đó là sự an ủi lạnh lùng đối với bất kỳ ai bị tấn công, bởi vì gần như bạn đã mất tất cả.

Không hoàn toàn là tất cả, nhưng bạn sẽ phải trả một khoản tiền nhỏ để lấy lại một phần… có thể là không đầy đủ, có thể là không đáng tin cậy.

Và điều tồi tệ của nó là nó lây lan trên đĩa mềm; và bởi vì nó lây lan trong khu vực khởi động; và bởi vì vào thời đó, hầu hết mọi máy tính sẽ khởi động từ ổ đĩa mềm nếu đơn giản là có một chiếc đĩa trong đó; và bởi vì ngay cả những đĩa mềm trống khác cũng có một khu vực khởi động và bất kỳ mã nào trong đó sẽ chạy, ngay cả khi tất cả những gì nó dẫn đến là một loại thông báo “Đĩa không phải hệ thống hoặc lỗi đĩa, hãy thay thế và thử lại”…

…Đến lúc đó thì đã quá muộn.

Vì vậy, nếu bạn vô tình để quên một đĩa trong ổ đĩa, thì khi bạn bật nguồn vào sáng hôm sau, khi bạn nhìn thấy thông báo “Đĩa không phải hệ thống hoặc lỗi đĩa” và nghĩ, “Ồ, tôi sẽ bật đĩa mềm lên out và khởi động lại boot khỏi ổ cứng”…

…lúc đó, vi-rút đã có trên đĩa cứng của bạn và nó sẽ lây lan sang mọi đĩa mềm mà bạn có.

Vì vậy, ngay cả khi bạn có vi-rút và sau đó bạn đã gỡ bỏ vi-rút, nếu bạn không xem qua toàn bộ kho đĩa mềm của công ty mình, thì sẽ có một Typhoid Mary ngoài kia có thể xâm nhập lại vi-rút bất cứ lúc nào.

---

CHÓ.   Có một câu chuyện hấp dẫn.

Tôi rất vui vì bạn đã ở đó để giúp dọn dẹp nó một chút!

Và hãy dọn dẹp một chút thứ khác.

Mô-đun nền tảng đáng tin cậy này… đôi khi gây tranh cãi.

Điều gì xảy ra khi mã cần thiết để bảo vệ máy của bạn là chính nó dễ bị tổn thương, Phao-lô?

Bảo mật nghiêm trọng: TPM 2.0 thô tục – dữ liệu siêu an toàn của bạn có gặp rủi ro không?

---

VỊT.   Nếu bạn muốn hiểu toàn bộ vấn đề TPM này, nghe có vẻ là một ý tưởng tuyệt vời, phải không… có một thứ bo mạch con nhỏ xíu mà bạn cắm vào một khe nhỏ xíu trên bo mạch chủ của mình (hoặc có thể nó được tích hợp sẵn), và nó có một chip đồng xử lý đặc biệt nhỏ bé chỉ thực hiện công việc mã hóa cốt lõi này.

Khởi động an toàn; chữ ký số; lưu trữ mạnh mẽ cho các khóa mật mã… vì vậy đây vốn dĩ không phải là một ý tưởng tồi.

Vấn đề là bạn có thể tưởng tượng rằng, bởi vì nó là một thiết bị nhỏ bé như vậy và nó chỉ có mã lõi này, chắc chắn sẽ khá dễ dàng để loại bỏ nó và làm cho nó đơn giản?

Chà, chỉ các thông số kỹ thuật cho Mô-đun nền tảng đáng tin cậy, hay TPM… chúng có tổng cộng: 306 trang, 177 trang, 432 trang, 498 trang, 146 trang và phần cuối cùng, “Phần thứ tư: Các thói quen hỗ trợ – Code”, chỗ có lỗi, 1009 trang PDF, Doug.

---

CHÓ.   [CƯỜI] chúng ta chỉ cần đọc nhẹ thôi!

---

VỊT.   [SIGHS] Chỉ cần đọc nhẹ thôi.

Vì vậy, có rất nhiều công việc. và rất nhiều nơi cho lỗi.

Và những cái mới nhất… à, có khá nhiều cái đã được lưu ý trong bản sửa lỗi mới nhất, nhưng hai trong số chúng thực sự có số CVE.

Có CVE-2023-1017 và CVE-2023-1018.

Và thật không may, chúng là những lỗi, lỗ hổng, có thể bị cù (hoặc tiếp cận) bởi các lệnh mà một chương trình không gian người dùng bình thường có thể sử dụng, chẳng hạn như thứ gì đó mà quản trị viên hệ thống hoặc chính bạn có thể chạy, chỉ để yêu cầu TPM thực hiện một cái gì đó an toàn cho bạn.

Vì vậy, bạn có thể làm những việc như nói: “Này, đi lấy cho tôi một số con số ngẫu nhiên. Đi và tạo cho tôi một khóa mật mã. Hãy đi và xác minh chữ ký điện tử này.”

Và thật tuyệt nếu điều đó được thực hiện trong một bộ xử lý nhỏ riêng biệt mà CPU hoặc hệ điều hành không thể gây rối – đó là một ý tưởng tuyệt vời.

Nhưng vấn đề là trong mã chế độ người dùng có nội dung: “Đây là lệnh tôi đang trình bày cho bạn”…

…thật không may, làm sáng tỏ các tham số được truyền vào để thực hiện chức năng mà bạn muốn – nếu bạn đặt bẫy theo cách các tham số đó được gửi đến TPM, bạn có thể đánh lừa nó để đọc bộ nhớ bổ sung (tràn đọc bộ đệm) hoặc tệ hơn, ghi đè lên những thứ thuộc về người tiếp theo.

Thật khó để biết làm thế nào những lỗi này có thể bị khai thác cho những thứ như thực thi mã trên TPM (nhưng, như chúng tôi đã nói nhiều lần, “Đừng bao giờ nói không bao giờ”).

Nhưng rõ ràng là khi bạn đang xử lý một thứ gì đó, như bạn đã nói lúc đầu, “Bạn cần điều này để làm cho máy tính của bạn an toàn hơn. Đó là tất cả về tính chính xác của mật mã”…

… ý tưởng về một thứ gì đó làm rò rỉ dù chỉ hai byte dữ liệu bí mật quý giá của người khác mà không ai trên thế giới được phép biết?

Ý tưởng về rò rỉ dữ liệu, chưa nói đến việc tràn bộ đệm ghi trong một mô-đun như vậy, thực sự khá đáng lo ngại.

Vì vậy, đó là những gì bạn cần phải vá.

Và thật không may, tài liệu errata không nói, “Đây là lỗi; đây là cách bạn vá chúng.”

Chỉ có một mô tả về các lỗi và một mô tả về cách bạn nên sửa đổi mã của mình.

Vì vậy, có lẽ mọi người sẽ thực hiện theo cách riêng của họ và sau đó những thay đổi đó sẽ lọc trở lại Triển khai tham chiếu trung tâm.

Tin tốt là có một triển khai TPM dựa trên phần mềm [libtpms] dành cho những người chạy máy ảo… họ đã xem qua và họ đã đưa ra một số bản sửa lỗi, vì vậy đó là nơi tốt để bắt đầu.

---

CHÓ.   Đáng yêu.

Trong thời gian tạm thời, hãy kiểm tra với nhà cung cấp phần cứng của bạn và xem họ có bản cập nhật nào cho bạn không.

---

VỊT.   Vâng.

---

CHÓ.   Chúng ta sẽ chuyển sang… những ngày đầu của ransomware, thứ đầy rẫy những hình thức tống tiền, và sau đó mọi thứ trở nên phức tạp hơn với “tống tiền kép”.

Và một nhóm người vừa được bị bắt trong một kế hoạch tống tiền kép, đó là một tin tốt!

Nghi phạm ransomware DoppelPaymer bị bắt ở Đức và Ukraine

---

VỊT.   Vâng, đây là một nhóm ransomware được gọi là DoppelPaymer. (“Doppel” có nghĩa là tăng gấp đôi bằng tiếng Đức.)

Vì vậy, ý tưởng là nó là một cú đúp.

Đó là nơi họ tranh giành tất cả các tệp của bạn và họ nói: “Chúng tôi sẽ bán cho bạn khóa giải mã. Và nhân tiện, đề phòng trường hợp bạn nghĩ rằng các bản sao lưu của mình sẽ làm được, hoặc đề phòng trường hợp bạn đang nghĩ đến việc bảo chúng tôi đi lạc và không trả tiền cho chúng tôi, hãy lưu ý rằng chúng tôi cũng đã đánh cắp tất cả các tệp của bạn trước. ”

“Vì vậy, nếu bạn không trả tiền và bạn *có thể* tự giải mã và bạn *có thể* cứu doanh nghiệp của mình... chúng tôi sẽ làm rò rỉ dữ liệu của bạn.”

Điều đáng mừng trong vụ án này là một số nghi phạm đã bị thẩm vấn và bắt giữ, đồng thời thu giữ nhiều thiết bị điện tử.

Vì vậy, mặc dù điều này, nếu bạn muốn, là sự an ủi lạnh lùng đối với những người bị DoppelPaymer tấn công ngày trước, nhưng ít nhất điều đó có nghĩa là cơ quan thực thi pháp luật không bỏ cuộc khi các băng đảng mạng dường như chịu khuất phục.

Họ rõ ràng đã nhận được tới 40 triệu đô la tiền thanh toán tống tiền chỉ riêng ở Hoa Kỳ.

Và họ nổi tiếng là theo đuổi Bệnh viện Đại học ở Düsseldorf ở Đức.

Nếu có một điểm thấp trong ransomware…

---

CHÓ.   Nghiêm túc!

---

VỊT.   …không phải việc ai đó bị đánh là tốt, nhưng ý tưởng rằng bạn thực sự hạ gục một bệnh viện, đặc biệt là một bệnh viện giảng dạy?

Tôi đoán đó là mức thấp nhất của mức thấp, phải không?

---

CHÓ.   Và chúng tôi có một số lời khuyên.

Chỉ vì những nghi phạm này đã bị bắt: Đừng quay lại sự bảo vệ của bạn.

---

VỊT.   Không, trên thực tế, Europol thừa nhận, theo cách nói của họ, “Theo các báo cáo, Doppelpaymer kể từ đó đã đổi thương hiệu [như một băng nhóm ransomware] có tên là 'Grief'.”

Vì vậy, vấn đề là, khi bạn bắt một số người trong một băng đảng mạng, bạn có thể không tìm thấy tất cả các máy chủ…

…nếu bạn chiếm giữ các máy chủ, bạn không nhất thiết phải làm việc ngược lại với từng cá nhân.

Nó tạo ra một vết lõm, nhưng điều đó không có nghĩa là phần mềm tống tiền đã kết thúc.

---

CHÓ.   Và về điểm đó: Đừng chỉ tập trung vào phần mềm tống tiền.

---

VỊT.   Thật!

Tôi nghĩ rằng các băng nhóm như DoppelPaymer đã làm điều này rất rõ ràng, phải không?

Vào thời điểm họ đến để tranh giành các tập tin của bạn, họ đã đánh cắp chúng rồi.

Vì vậy, vào thời điểm bạn thực sự nhận được phần ransomware, chúng đã thực hiện xong N yếu tố khác của tội phạm mạng: đột nhập; nhìn xung quanh; có thể mở một vài cửa hậu để họ có thể quay lại sau hoặc bán quyền truy cập cho người tiếp theo; và như thế.

---

CHÓ.   Điều này phù hợp với lời khuyên tiếp theo: Đừng đợi các cảnh báo về mối đe dọa xuất hiện trong bảng điều khiển của bạn.

Điều đó có lẽ nói dễ hơn làm, tùy thuộc vào sự trưởng thành của tổ chức.

Nhưng có sự giúp đỡ có sẵn!

---

VỊT.   [CƯỜI] Tôi nghĩ bạn sẽ đề cập đến Phản hồi và phát hiện được quản lý của Sophos một lúc ở đó, Doug.

---

CHÓ.   Tôi đã cố gắng không bán nó.

Nhưng chúng tôi có thể giúp đỡ!

Có một số trợ giúp ngoài kia; hãy cho chúng tôi biết.

---

VỊT.   Nói một cách lỏng lẻo, bạn càng đến đó sớm hơn; bạn càng nhận thấy sớm hơn; bảo mật phòng ngừa của bạn càng chủ động…

…thì càng ít có khả năng bất kỳ kẻ gian nào có thể tấn công bằng mã độc tống tiền.

Và đó chỉ có thể là một điều tốt.

---

CHÓ.   Và cuối cùng nhưng không kém phần quan trọng: Không phán xét, nhưng đừng trả tiền nếu bạn có thể tránh được.

---

VỊT.   Vâng, tôi nghĩ chúng ta có nghĩa vụ phải nói điều đó.

Bởi vì việc trả tiền cho làn sóng tội phạm mạng tiếp theo, chắc chắn là rất lớn.

Và thứ hai, bạn có thể không nhận được những gì bạn phải trả cho.

---

CHÓ.   Chà, hãy chuyển từ doanh nghiệp tội phạm này sang doanh nghiệp tội phạm khác.

Và đây là điều xảy ra khi một doanh nghiệp tội phạm sử dụng mọi Công cụ, Kỹ thuật và Quy trình trong cuốn sách!

Fed cảnh báo về cơn thịnh nộ của phần mềm tống tiền Hoàng gia chạy hàng loạt TTP

---

VỊT.   Đây là từ CISA – Hoa Kỳ Cơ quan an ninh cơ sở hạ tầng và an ninh mạng.

Và trong trường hợp này, trong bản tin AA23 (năm nay) gạch ngang 061A-for-alpha, họ đang nói về một băng nhóm có tên là Royal ransomware.

Hoàng gia với chữ R viết hoa, Doug.

Điều tồi tệ về băng đảng này là các công cụ, kỹ thuật và quy trình của chúng dường như “tối đa và bao gồm bất cứ thứ gì cần thiết cho cuộc tấn công hiện tại”.

Họ vẽ bằng một cây cọ rất rộng, nhưng họ cũng tấn công bằng một cái xẻng rất sâu, nếu bạn hiểu ý tôi.

Đó là tin xấu.

Tin tốt là có rất nhiều thứ để tìm hiểu và nếu bạn thực hiện nghiêm túc, bạn sẽ có khả năng phòng ngừa và bảo vệ rất rộng không chỉ chống lại các cuộc tấn công của mã độc tống tiền, mà cả những gì bạn đã đề cập trong phân đoạn Doppelpaymer trước đó: “Đừng' không chỉ sửa chữa trên ransomware.

Lo lắng về tất cả những thứ khác dẫn đến nó: keylogging; đánh cắp dữ liệu; cấy ghép cửa sau; đánh cắp mật khẩu.

---

CHÓ.   Được rồi, Paul, hãy tóm tắt một số điểm rút ra từ lời khuyên của CISA, bắt đầu bằng: Những kẻ lừa đảo này đột nhập bằng các phương pháp đã được thử nghiệm và tin cậy.

---

VỊT.   Họ làm!

Số liệu thống kê của CISA cho thấy băng đảng cụ thể này sử dụng phương pháp lừa đảo cũ tốt, vốn đã thành công trong 2/3 số vụ tấn công.

Khi điều đó không hoạt động tốt, họ sẽ tìm kiếm những thứ chưa được vá.

Ngoài ra, trong 1/6 trường hợp, họ vẫn có thể sử dụng RDP… các cuộc tấn công RDP cũ tốt.

Bởi vì họ chỉ cần một máy chủ mà bạn quên mất.

Và nhân tiện, CISA đã báo cáo rằng, khi họ đã vào bên trong, ngay cả khi họ không sử dụng RDP, có vẻ như họ vẫn thấy rằng nhiều công ty có chính sách khá tự do hơn về quyền truy cập RDP * bên trong* mạng của họ.

[CƯỜI] Ai cần các tập lệnh PowerShell phức tạp mà bạn có thể chỉ cần kết nối với máy tính của người khác và kiểm tra nó trên màn hình của chính mình?

---

CHÓ.   Sau khi xâm nhập, bọn tội phạm cố gắng tránh các chương trình rõ ràng có thể hiển thị dưới dạng phần mềm độc hại.

Đó còn gọi là “sống nhờ đất”.

---

VỊT.   Họ không chỉ nói, “Ồ, hãy sử dụng chương trình PsExec của Microsoft Sysinternal và hãy sử dụng một tập lệnh PowerShell phổ biến cụ thể này.

Họ có nhiều công cụ để thực hiện nhiều việc khác nhau khá hữu ích, từ các công cụ tìm ra số IP, đến các công cụ ngăn máy tính ngủ.

Tất cả các công cụ mà một quản trị viên hệ thống có đầy đủ thông tin rất có thể có và sử dụng thường xuyên.

Và, nói một cách đại khái, chỉ có một phần mềm độc hại thuần túy mà những kẻ lừa đảo này mang vào, và đó là thứ thực hiện bước xáo trộn cuối cùng.

Nhân tiện, đừng quên rằng nếu bạn là tội phạm ransomware, bạn thậm chí không cần mang theo bộ công cụ mã hóa của riêng mình.

Nếu muốn, bạn có thể sử dụng một chương trình chẳng hạn như WinZip hoặc 7-Zip, bao gồm tính năng “Tạo kho lưu trữ, di chuyển tệp vào,” (có nghĩa là xóa chúng sau khi bạn đặt chúng vào kho lưu trữ), “và mã hóa chúng bằng mật khẩu.”

Miễn là kẻ lừa đảo là người duy nhất biết mật khẩu, chúng vẫn có thể đề nghị bán lại cho bạn…

---

CHÓ.   Và chỉ để thêm một chút muối vào vết thương: Trước khi xáo trộn các tệp, những kẻ tấn công cố gắng làm phức tạp đường dẫn khôi phục của bạn.

---

VỊT.   Ai biết liệu họ đã tạo tài khoản quản trị viên bí mật mới hay chưa?

Cố tình cài đặt máy chủ lỗi?

Cố tình xóa các bản vá lỗi để họ biết cách quay lại lần sau?

Để lại keylogger nằm phía sau, nơi chúng sẽ kích hoạt vào một thời điểm nào đó trong tương lai và khiến bạn gặp rắc rối bắt đầu lại từ đầu?

Và họ đang làm điều đó bởi vì họ có rất nhiều lợi thế khi bạn phục hồi sau một cuộc tấn công ransomware, bạn sẽ không phục hồi hoàn toàn.

---

CHÓ.   Được rồi, chúng tôi có một số liên kết hữu ích ở cuối bài viết.

Một liên kết sẽ đưa bạn đến tìm hiểu thêm về Phản hồi và phát hiện được quản lý của Sophos [MDR] và một số khác dẫn bạn đến Playbook của kẻ thù đang hoạt động, đó là một tác phẩm do chính John Shier của chúng tôi tổng hợp lại.

Một số bài học rút ra và thông tin chi tiết mà bạn có thể sử dụng để tăng cường khả năng bảo vệ của mình tốt hơn.

Biết kẻ thù của bạn! Tìm hiểu cách kẻ thù của tội phạm mạng xâm nhập…

---

VỊT.   Đó giống như một phiên bản meta của báo cáo “Royal ransomware” của CISA.

Đó là trường hợp nạn nhân không nhận ra rằng những kẻ tấn công đang ở trong mạng của họ cho đến khi quá muộn, sau đó gọi đến Sophos Rapid Response và nói: “Trời ơi, chúng tôi nghĩ rằng chúng tôi đã bị tấn công bởi ransomware… nhưng còn điều gì khác xảy ra nữa? ”

Và đây là những gì chúng tôi thực sự tìm thấy, trong cuộc sống thực, qua một loạt các cuộc tấn công bởi nhiều kẻ lừa đảo thường không liên quan.

Vì vậy, nó cung cấp cho bạn một ý tưởng rất, rất rộng về phạm vi TTP (công cụ, kỹ thuật và quy trình) mà bạn cần biết và bạn có thể phòng chống.

Bởi vì tin tốt là bằng cách buộc những kẻ lừa đảo sử dụng tất cả các kỹ thuật riêng biệt này, để không một kỹ thuật nào trong số chúng tự kích hoạt báo động lớn…

…bạn tự cho mình cơ hội chiến đấu để phát hiện ra chúng sớm, chỉ cần bạn [A] biết tìm ở đâu và [B] có thể sắp xếp thời gian để làm việc đó.

---

CHÓ.   Rất tốt.

Và chúng tôi có một độc giả bình luận về bài viết này.

Độc giả của Naked Security Andy hỏi:

Làm cách nào để các gói Sophos Endpoint Protection chống lại kiểu tấn công này?

Tôi đã tận mắt chứng kiến ​​khả năng bảo vệ tệp khỏi phần mềm tống tiền tốt như thế nào, nhưng nếu tính năng này bị vô hiệu hóa trước khi quá trình mã hóa bắt đầu, tôi đoán phần lớn chúng tôi đang dựa vào Bảo vệ chống giả mạo?

---

VỊT.   Chà, tôi hy vọng là không!

Tôi hy vọng rằng một khách hàng của Sophos Protection sẽ không chỉ nói: “Chà, chúng ta hãy chỉ chạy một phần nhỏ của sản phẩm để bảo vệ bạn như một loại quán rượu Cơ hội cuối cùng… cái mà chúng tôi gọi là CryptoGuard.

Đó là mô-đun có nội dung: “Này, ai đó hoặc thứ gì đó đang cố xáo trộn một số lượng lớn tệp theo cách có thể là một chương trình chính hãng, nhưng có vẻ không ổn.”

Vì vậy, ngay cả khi nó hợp pháp, nó có thể sẽ làm mọi thứ rối tung lên, nhưng gần như chắc chắn có ai đó đang cố làm hại bạn.

---

CHÓ.   Vâng, CryptoGuard giống như một chiếc mũ bảo hiểm mà bạn đội khi bay qua tay lái xe đạp của mình.

Mọi thứ đã trở nên khá nghiêm trọng nếu CryptoGuard bắt đầu hành động!

---

VỊT.   Hầu hết các sản phẩm, kể cả Sophos ngày nay, đều có yếu tố Tamper Protection cố gắng tiến thêm một bước, do đó, ngay cả quản trị viên cũng phải nhảy qua các vòng để tắt một số phần nhất định của sản phẩm.

Điều này làm cho nó khó thực hiện hơn và khó tự động hóa hơn, khó tắt nó hơn cho mọi người.

Nhưng bạn phải nghĩ về nó…

Nếu tin tặc xâm nhập vào mạng của bạn và chúng thực sự có “tương đương quản trị viên hệ thống” trên mạng của bạn; nếu họ đã quản lý để có được quyền hạn hiệu quả giống như các quản trị viên hệ thống bình thường của bạn có (và đó là mục tiêu thực sự của họ; đó là điều họ thực sự muốn)…

Cho rằng các quản trị viên hệ thống đang chạy một sản phẩm như của Sophos có thể định cấu hình, giải cấu hình và đặt các cài đặt xung quanh…

…thì nếu kẻ lừa đảo *là* quản trị viên hệ thống, thì có vẻ như chúng đã thắng rồi.

Và đó là lý do tại sao bạn cần tìm chúng trước!

Vì vậy, chúng tôi làm cho nó khó khăn nhất có thể và chúng tôi cung cấp nhiều lớp bảo vệ nhất có thể, hy vọng sẽ cố gắng ngăn chặn điều này trước khi nó xuất hiện.

Và ngay khi chúng ta nói về nó, Doug (Tôi không muốn điều này nghe giống như một trò lừa bịp bán hàng, nhưng đó chỉ là một tính năng trong phần mềm của chúng tôi mà tôi khá thích)…

Chúng tôi có cái mà tôi gọi là thành phần “đối thủ tích cực của đối thủ”!

Nói cách khác, nếu chúng tôi phát hiện hành vi trên mạng của bạn gợi ý rõ ràng về những điều, chẳng hạn như quản trị viên hệ thống của bạn sẽ không hoàn toàn làm hoặc không hoàn toàn làm theo cách đó…

… “đối thủ tích cực đối thủ” nói, “Bạn biết gì không? Ngay lúc này, chúng tôi sẽ tăng cường bảo vệ lên mức cao hơn mức bình thường mà bạn có thể chịu đựng được.”

Và đó là một tính năng tuyệt vời bởi vì điều đó có nghĩa là, nếu kẻ gian xâm nhập vào mạng của bạn và bắt đầu cố gắng thực hiện những việc không mong muốn, bạn không cần phải đợi cho đến khi nhận thấy và *sau đó* quyết định, “Chúng ta sẽ thay đổi cách quay số nào?”

Doug, đó là một câu trả lời khá dài cho một câu hỏi có vẻ đơn giản.

Nhưng hãy để tôi đọc những gì tôi đã viết trong bài trả lời nhận xét về Naked Security:

Mục tiêu của chúng tôi là luôn cảnh giác và can thiệp sớm nhất, tự động nhất, an toàn nhất và dứt khoát nhất có thể – đối với tất cả các loại tấn công mạng, không chỉ mã độc tống tiền.

---

CHÓ.   Được rồi, nói hay đấy!

Cảm ơn rất nhiều, Andy, vì đã gửi nó.

Nếu bạn có một câu chuyện, nhận xét hoặc câu hỏi thú vị mà bạn muốn gửi, chúng tôi rất muốn đọc nó trên podcast.

Bạn có thể gửi email tới tips@sophos.com, bạn có thể nhận xét về bất kỳ bài viết nào của chúng tôi hoặc bạn có thể đánh chúng tôi trên mạng xã hội: @NakedSecurity.

Đó là chương trình của chúng tôi cho ngày hôm nay; cảm ơn rất nhiều vì đã lắng nghe

Đối với Paul Ducklin, tôi là Doug Aamoth, nhắc nhở bạn. Cho đến lần sau, để…

---

CẢ HAI.   Giữ an toàn!

[CHẾ ĐỘ ÂM NHẠC]