Многонационален център за обмен на информация и анализ (MS-ISAC) публикува пример за защита от зловредния код TrickBot. TrickBot е модулен банков троянски кон, чиято мишена е финансовата информация на потребителя като инициира и свалянето на друг злонамерен софтуер. Нападател може да използва модулите на TrickBot за кражба на банкова информация, да извършва разузнаване на системи и мрежи, да събира идентификационни данни и да осъществява разпространение на злонамерения софтуер в мрежата.
MS-ISAC препоръчва организациите да се придържат към следните общи най-добри практики, за да ограничат ефекта на TrickBot и други подобни зловредни софтуери:
- Използвайте антивирусни програми на клиентските машини и сървърите, с автоматични актуализации на сигнатурата и софтуера.
- Забранете всички макроси, с изключение на тези, които са цифрово подписани.
- Прилагайте съответните пачове и ъпдейти веднага след публикуването им, като преди това ги тествате
- Въведете филтриране на входа на електронната поща за откриване и блокиране на имейли с известни индикатори за зловреден спам, като например съдържание на Subject , както и блокиране в защитната стена на подозрителни IP адреси.
- Ако нямате политика относно подозрителни имейли, помислете за създаване на такава и информирайте всички служители, че всеки подозрителeн имейл трябва да се докладва на отдела за сигурност и / или ИТ.
- Приложете Domain-Based Message Authentication, Reporting & Conformance (DMARC), система за валидиране, която свежда до минимум спам имейлите, откривайки измами, като използва DNS записи и цифрови подписи.
- Маркирайте външните имейли с банер, който показва, че е от външен източник. Това ще помогне на потребителите да откриват фалшиви имейли.
- Осигурете обучение на служителите по социално инженерство и фишинг. Инструктирайте ги да не отварят подозрителни имейли, да не кликват върху линкове, съдържащи се в такива имейли, да не публикуват поверителна информация онлайн и никога да не предоставят потребителски имена, пароли и / или лична информация на непоискана заявка. Обучете потребителите да проверяват дестинацията, като се придвижват с мишката върху линка, преди да кликнат върху него.
- Придържайте се към принципа на най-малката привилегия, като гарантирате, че потребителите имат минимално ниво на достъп, необходимо за изпълнение на техните задължения. Ограничете административните права само до определени администратори.
- Придържайте се към най-добрите практики за защита на информацията, като описаните в CIS Controls, които са част от CIS SecureSuite.
- Ако потребителят отвори злонамерен имейл или се предполага, че съществува инфекция, препоръчваме да стартирате антивирусно сканиране на системата и да предприемете действия въз основа на резултатите от него, за да изолирате заразения компютър.
Ако са заразени няколко машини:
- Идентифицирайте заразените машини, изключете ги от мрежата и ги спрете, ако няма други препоръки.
- Не влизайте в заразените системи, като използвате домейн или споделени локални администраторски акаунти.
- Пуснете reset на паролите и на домейна и на локалната машина.
- Тъй като TrickBot събира и допълнителни идентификационни данни, помислете за нулиране на пароли за други приложения, които може да са съхранили идентификационни данни на компрометираната машина (и).
- Определете вектора на заразяване, за да видите дали има друга основна инфекция, като например Emotet, изтеглящ TrickBot. TrickBot инфекция може да означава, че има активна Emotet или друга инфекция в мрежата и обратно.
За повече информация CERT България препоръчва на потребителите и администраторите да се запознаят със следните материали на MS-ISAC
https://www.cisecurity.org/white-papers/security-primer-trickbot/