Conficker Worm infeksjon hos Nord- Trøndelag fylkeskommune Lars-Åge Valbekmo IKT-Rådgiver Nord-Trøndelag fylkeskommune lars-age.valbekmo@ntfk.no
Radio1Luringen
Conficker-Downadup-Kido Virusangrep Conficker som kan infisere Windows-maskiner på minst tre ulike måter: 1. Ormen spres gjennom hullet beskrevet i sikkerhetsmelding MS08-067 2. Ormen sprer seg gjennom filnettverket, først ved hjelp av rettighetene til pålogget bruker, deretter angriper den ved hjelp av passordliste 3. Ormen sprer seg via lagringsenheter koblet til en PC via USB (minnepinner, mp3-spillere, eksterne disker og lignende)
Nord-Trøndelag fylkeskommune WAN nettverk basert på fiberteknologi. Fra Meråker i sør til Rørvik i nord Totalt 12 vgs, 3 kultur og 30 tannklinikker Hovedtyngden av noder ligger på vgs ca 6.500 elevnoder ca 1.200 lærer/adm-noder ca 200 servere Adskilt domenestruktur (Elev / Adm)
Hva skjedde Første indikasjoner på at noe var i emning var mandag 26 januar. Service desk mottok noen henvendelser på at brukerkontoer ikke fungerte. Kontoene var deaktivert. Ingen klare årsaker. Alt fungerer.
Hva skjedde I løpet av de neste dagene, fram til fredag, eskalerte problemene, og omfattet i tillegg til deaktiverte kontoer: 1. Massedeaktivering av kontoer (brukere og administratorer) 2. Tjenestenekt tilstander på sentrale servere og tjenester 3. Pågang fra media
Hva skjedde I løpet av uken, ble det gjort flere forsøk på å finne ut av hva som skjedde. Det ble tidlig klart at det var skadelig programmvare som forårsaket problemene, mest sannsynlig en orm. Flere forsøk på å kjøre anti-virus / antimalware førte ikke frem.
Hva skjedde Flere firma og grupper henvender seg til oss og tilbyr hjelp. Vi kontaktet Atea og Telenor SOC Fredag kl 14:19 ble gammel antivirus patchet og klarte å detektere ormen. (Conficker-B) Vi var da i full gang med å planlegge installering ny antivirusløsning
Hva skjedde Sentral IT jobbet med installering av ny antivirusløsning fra lørdag 31. januar Hovedledelse, IT sjef og Informasjonssjef møtes lørdag for evaluering og utveksling av informasjon. Her ble det også bestemt om hvordan vi skulle forholde oss til pågangen fra media
Forhold til media Nord-Trøndelag fylkeskommune ville ha full åpenhet om problemene. Journalister og andre henvendelser fra media ble styrt direkte til informasjonssjefen. Dette viste seg å være et veldig smart valg. IT-personellet ble skjermet, og media fikk svar på sine spørsmål
Konsekvenser og Kostnader Ca. 200 timer overtid (sentralt). I tillegg kommer overtid på virksomhetene. Ny antivirusløsning Tilbaketrekking av lokal admin tilgang på noder. En tidligere modell for PC ordning til elevene krevde lokal admin tilgang
Konsekvenser Utfasing av gammel antivirusløsning Innføring av ny antivirusløsning Overtid IT personell Utilgjengelige tjenester på elevnett Heldigvis ingen sentralt gitte prøver for elevene i denne perioden.
Løsning Helgen den 31. jan til 01 feb: Jobbing med å finne ut løsning for å deaktivere ormen, samt installere ny antivirusløsning. Mandag 02. feb utrulling av vaksine til ca. 8.000 noder. > 90 % fedig utrullet onsdag 04. feb.
Hvordan gjorde vi det? Stramme inn sikkerhetsmekanismer (brannmur regler, smart-defence) Deaktiver autorun Vær obs på kb967715, 24. feb Reset system restore Legge alle verktøy brukt under opprydding på netlogon
Hvordan gjorde vi det? Nekte domenepålogging av administratorer. (Utfordringer på domenekontrollere. Bruk admintools på egen node) Bruk GPO, logon og startup scripts for å rulle ut løsningen (vaksine). For manuell rensing av servere, koble av nettverkskabel før pålogging.
Verktøy ms-conficker.txt noautorun.txt 24. feb: Microsoft kom med en oppdatering som fikser problem med deaktivering av autorun fra gpo (kb967715). Dette gjelder ikke Vista og 2008 der gpo fungerer.
Verktøy Deaktivering av Conficker Bitdefender s anti-downadup-console.exe Antivirus Trend OfficeScan Control Manager Damage Cleanup Services IWSVA (Interscan Web Security Virtual Appliance)
Verktøy Network sensor fra Telenor SOC Veldig bra støtte fra Telenor SOC under hele perioden. Genererte spesifikke rapporter som var tilpasset oss. Førte til en del ekstra arbeid i etterkant, da verktøyet detekterte en god del trusler som vi ikke var klar over tidligere.
Evaluering Hva fungerte og hva fungerte ikke
Hva fungerte under krisen? Noen anbefalte steg når en krise oppstår : Erklær krisetilstand og angi kriseleder og informasjonsansvarlig Informer om krisen ( Noe har skjedd ) Få oversikt - ikke gjør noe forhastet! Informer fortløpende herfra og til krisen er over parallelt med de andre oppgavene Begrens skaden Finn ressurser, fordel roller og ansvar Start en ordning der team arbeider i skift med en gang Prioriter tjenestene Finn løsning og gjenopprett primærtjenester (tjenester kritiske for foretningsprosessene) Gjenopprett sekundærtjenester (tjenester som ikke er kritiske, men påvirker leveransen av foretningsprosessene) Gjenopprett resten av tjenestene Avslutt krisetilstand Evaluer krisen og håndteringen X X
Hva må gjøres bedre/annerledes neste gang? Gjennomføre ROS-analyse Utarbeide Kriseplan (inkl. rutiner for revisjon) basert på ITILs Continuity Management Etablere beredskapsgruppe
ROS-analyse Vil inneholde elementer som: Organisering av IKT drift (både data, nettverk og telefonisystemer) Drift og prosesser Systemer og infrastruktur Fysisk miljø og sikring av disse Tjenester og avtaler med leverandører
Hensikt med ROS-analyse Definere (overordnet, operativt og den enkelte ansatte/elev) ansvar for IT-sikkerhet Grunnlag for dimensjonering av beredskap og hvilke ressurser som inngår i IT-beredskapen Klassifisering og sikring av informasjon Fysisk og miljømessig sikkerhet Dokumentere driftsprosedyrer Tilgangskontroll Planer og tiltak som kan redusere driftsavbrudd Sikre at systemer og informasjon i systemet kan gjennopprettes IKT-sikkerhet i overensstemmelse med eksterne bestemmelser og krav Grunnlag for utarbeidelse av IKT-sikkerhetspolicy
Gjennomføring ROS-analyse Utarbeidelse av kravspesifikasjon for en anbudskonkurranse Gjennomføres for hele fylkeskommunen En del av en total ROSanalyse i NTFK Gjennomført innen sommerferien
Referanser http://isc.sans.org/diary.html?storyid=5 860 http://www.bleepingcomputer.com/ma lware-removal/remove-downadupconficker http://mtc.sri.com/conficker/
Flere spørsmål?