Vi har den siste tiden sett flere vellykkede angrep med l\u00f8sepengevirus mot norske foretak og kommuner.<\/p>\n
Angrepene utnytter kjente teknikker som det finnes beskyttelsesmekanismer mot innebygd i Windows 10, eller som kunne v\u00e6rt forhindret ved bruk av MFA.<\/p>\n
Benytter du eldre operativsystemer vil det viktigste tiltaket v\u00e6re \u00e5 oppgradere disse til nyeste versjon.<\/p>\n
Pass s\u00e5 p\u00e5 at innebygde sikkerhetsmekanismene er skrudd p\u00e5.<\/p>\n
<\/p>\n
Attack Surface Reduction (ASR) regler er innebygde sikkerhetsmekanismer i Windows 10 for \u00e5 blokkere kjente angrepstekniker.<\/p>\n
Dette er mekanismer som er lagd for \u00e5 detektere og blokkere spesielle aktiviteter som ofte er forbundet med ondsinnede handlinger.<\/p>\n
Med tanke p\u00e5 l\u00f8sepengevirus b\u00f8r denne regelen som minimum skrus p\u00e5:<\/p>\n
Denne l\u00e5ser ned lsass.exe prosessen for \u00e5 hindre verkt\u00f8y som mimikatz.exe fra \u00e5 stjele \u00abcredentials\u00bb for videre bruk for \u00ablateral movements\u00bb<\/p>\n
Det finnes mange Attack Surface Reduction regler og flere kan gjerne vurderes, for eksempel:<\/p>\n
Se hele lista over ASR regler her: Use attack surface reduction rules to prevent malware infection – Windows security | Microsoft Docs<\/a><\/p>\n Mer info om ASR: Use attack surface reduction rules to prevent malware infection – Windows security | Microsoft Docs<\/a><\/p>\n <\/p>\n Sjekk hvilke ASR regler som er aktive p\u00e5 din klient med Powershell:<\/p>\n get-mppreference | fl AttackSurfaceReductionRules_Ids<\/p>\n Forventet resultat for \u201cBlock credential stealing\u2026.\u201d: (AttackSurfaceReductionRules_Ids vil vise flered ID\u2019er om flere ASR er aktivert)<\/em><\/p>\n \u00a0<\/em><\/p>\n *Det anbefales \u00e5 teste \u00abAttack surface reglene\u00bb f\u00f8r de settes i produksjon slik at 3.part eller egenutviklede applikasjoner som blir blokkert kan ekskluderes<\/em><\/p>\n \u00a0<\/em><\/p>\n \u00abBlock at first sight\u00bb er en innebygd sikkerhetsmekanisme i Windows 10 og gir en m\u00e5te \u00e5 oppdage og blokkere ny skadelig programvare p\u00e5 (\u00abZero-days\u00bb).<\/p>\n N\u00e5r Defender Antivirus treffer en ny ukjent kj\u00f8rbar fil, blir denne analysert og vurdert f\u00f8r den blir kj\u00f8rt. Virker den mistenkelig blir filen blokkert.<\/p>\n Mer info: Enable block at first sight to detect malware in seconds – Windows security | Microsoft Docs<\/a><\/p>\n Sjekk at \u201cblock at first sight\u00bb IKKE<\/u><\/em> er skrudd av p\u00e5 din klient med powershell:<\/p>\n PS C:\\ > get-mppreference | fl DisableBlockAtFirstSeen<\/p>\n Forventet resultat: DisableBlockAtFirstSeen : False<\/p>\n \u00a0<\/strong><\/p>\n Network Protection hjelper til med \u00e5 redusere angrepsflaten til Windows 10. Tjenesten hindrer brukere i \u00e5 aksessere u\u00f8nskede domener som benyttes i Phishing, Exploits, og annet u\u00f8nsket innhold<\/p>\n Der hvor Smartscreen er en tjeneste som blokkerer u\u00f8nskede websider og er integrert i en nettleser som Microsoft EDGE eller som en utvidelse i Chrome, er Network Protection en del av Windows 10 og blokkerer p\u00e5 OS niv\u00e5. Network Protection blokkerer Windows 10 i \u00e5 koble seg til det vi kaller for \u00abLow Reputation sites\u00bb basert p\u00e5 http(s) trafikk.<\/p>\n Mer info: Use network protection to help prevent connections to bad sites – Windows security | Microsoft Docs<\/a><\/p>\n Sjekk at Network protection er aktivert p\u00e5 din klient med powershell:<\/p>\n PS C:\\ > get-mppreference | fl EnableNetworkProtection<\/p>\n Forventet resultat: \u00a0EnableNetworkProtection : 1<\/p>\n <\/p>\n \u00abControlled folder access\u00bb beskytter spesielt verdifulle kataloger p\u00e5 windows 10 klienten ved \u00e5 kun tillate at godkjente applikasjoner f\u00e5r skrive til disse katalogene.<\/p>\n Katalogene som beskyttes er for eksempel katalogen \u00abDokumenter\u00bb i brukerens profil der alle dokumenter som standard blir lagret. Disse beskyttes for endringer fra ukjente applikasjoner, f.eks l\u00f8sepengevirus.<\/p>\n
\nAttackSurfaceReductionRules_Ids : {9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2}<\/p>\n\n
\n
\n