Kjetil Nordlund
Security Technical Specialist
Vi har den siste tiden sett flere vellykkede angrep med løsepengevirus mot norske foretak og kommuner.
Angrepene utnytter kjente teknikker som det finnes beskyttelsesmekanismer mot innebygd i Windows 10, eller som kunne vært forhindret ved bruk av MFA.
Benytter du eldre operativsystemer vil det viktigste tiltaket være å oppgradere disse til nyeste versjon.
Pass så på at innebygde sikkerhetsmekanismene er skrudd på.
Attack Surface Reduction (ASR) regler er innebygde sikkerhetsmekanismer i Windows 10 for å blokkere kjente angrepstekniker.
Dette er mekanismer som er lagd for å detektere og blokkere spesielle aktiviteter som ofte er forbundet med ondsinnede handlinger.
Med tanke på løsepengevirus bør denne regelen som minimum skrus på:
Denne låser ned lsass.exe prosessen for å hindre verktøy som mimikatz.exe fra å stjele «credentials» for videre bruk for «lateral movements»
Det finnes mange Attack Surface Reduction regler og flere kan gjerne vurderes, for eksempel:
Se hele lista over ASR regler her: Use attack surface reduction rules to prevent malware infection – Windows security | Microsoft Docs
Mer info om ASR: Use attack surface reduction rules to prevent malware infection – Windows security | Microsoft Docs
Sjekk hvilke ASR regler som er aktive på din klient med Powershell:
get-mppreference | fl AttackSurfaceReductionRules_Ids
Forventet resultat for “Block credential stealing….”:
AttackSurfaceReductionRules_Ids : {9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2}
(AttackSurfaceReductionRules_Ids vil vise flered ID’er om flere ASR er aktivert)
*Det anbefales å teste «Attack surface reglene» før de settes i produksjon slik at 3.part eller egenutviklede applikasjoner som blir blokkert kan ekskluderes
«Block at first sight» er en innebygd sikkerhetsmekanisme i Windows 10 og gir en måte å oppdage og blokkere ny skadelig programvare på («Zero-days»).
Når Defender Antivirus treffer en ny ukjent kjørbar fil, blir denne analysert og vurdert før den blir kjørt. Virker den mistenkelig blir filen blokkert.
Mer info: Enable block at first sight to detect malware in seconds – Windows security | Microsoft Docs
Sjekk at “block at first sight» IKKE er skrudd av på din klient med powershell:
PS C:\ > get-mppreference | fl DisableBlockAtFirstSeen
Forventet resultat: DisableBlockAtFirstSeen : False
Network Protection hjelper til med å redusere angrepsflaten til Windows 10. Tjenesten hindrer brukere i å aksessere uønskede domener som benyttes i Phishing, Exploits, og annet uønsket innhold
Der hvor Smartscreen er en tjeneste som blokkerer uønskede websider og er integrert i en nettleser som Microsoft EDGE eller som en utvidelse i Chrome, er Network Protection en del av Windows 10 og blokkerer på OS nivå. Network Protection blokkerer Windows 10 i å koble seg til det vi kaller for «Low Reputation sites» basert på http(s) trafikk.
Mer info: Use network protection to help prevent connections to bad sites – Windows security | Microsoft Docs
Sjekk at Network protection er aktivert på din klient med powershell:
PS C:\ > get-mppreference | fl EnableNetworkProtection
Forventet resultat: EnableNetworkProtection : 1
«Controlled folder access» beskytter spesielt verdifulle kataloger på windows 10 klienten ved å kun tillate at godkjente applikasjoner får skrive til disse katalogene.
Katalogene som beskyttes er for eksempel katalogen «Dokumenter» i brukerens profil der alle dokumenter som standard blir lagret. Disse beskyttes for endringer fra ukjente applikasjoner, f.eks løsepengevirus.
Sjekk at «controlled folder access» er aktivert på din klient med powershell:
PS c:\ > get-mppreference | fl EnableControlledFolderAccess
Forventet resultat: EnableControlledFolderAccess : 1
*Det anbefales å teste «Controlled folder access» før den settes i produksjon slik at 3.part eller egenutviklede applikasjoner som blir blokkert kan hvitelistes
Og til slutt et generelt tiltak som ikke kan gjentas for ofte:
Dette gjelder terminalserverpålogginger som RDP, Citrix og vmware, men også andre applikasjoner og tjenester må beskyttes med MFA. Med åpne tjenester vil en angriper kunne utføre enkle passord angrep, eller utnytte passord som tidligere er lekket fra andre tjenester. Kun sikring med passord er ikke tilstrekkelig.
Skru av og unngå bruk av utdaterte autentiseringsmekanismer som «basic auth».
Etter epost er åpne tilganger til terminalservere den nest mest utnyttede metoden for å få ondsinnet tilgang.
I desember 2015 startet den islandske regjeringen en gjennomgang av den digitale infrastrukturen. Med mer enn 100 forskjellige leverandører som administreres av over 100 IT-ledere i hver offentlig institusjon, var oppdraget klart: å forenkle driften og effektivisere IT for over 20 000 brukere. Løsningen: Etter to og et halvt år ble en beslutning tatt: For første […]
Dag Nyrud
Direktør for Modern Workplace
«Denne filen er for stor til å sendes.» Vi er alle skyldige. Tiden er knapp, og så er det en fil som ikke kan sendes fordi den er for stor – da blir risikabel offentlig fildeling plutselig et svært fristende alternativ. Sikkerhet ofres for bekvemmelighet. For lokale myndigheter er dette et systemproblem med store sikkerhetsrisikoer. […]
Dag Nyrud
Direktør for Modern Workplace
Skaff deg den praktiske veiledningen for sikkerhet og gode forretningsresultater.
Dag Nyrud
Direktør for Modern Workplace
