torsdag 22 oktober 2015

Goda råd för att skydda dig mot Cryptolocker och Ransomware

Ransomware och Cryptolocker har den senaste perioden orsakat stor skada hos både privatpersoner, företag och organisationer. Traditionella antivirussystem har länge haft svårt att hantera den stora mängden ny skadlig kod som dagligen publiceras på Internet eller skickas runt via e-post, men det är först på senaste tiden som hoten blivit så kännbara för användare och administratörer. I den här artikeln tipsar WeCloud om åtgärder som kan hjälpa dig att minimera riskerna med både ransomware och annan skadlig kod.

I den här artikeln presenterar vi en rad viktiga inställningar som kan hjälpa dig att skydda dina användare och nätverk mot Cryptolocker och Ransomware. Några av tipsen är grundläggande medans andra beskrivs mer detaljerat i denna post.

Grundläggande försiktighetsåtgärder
  • Verifiera att ditt antivirusprogram är installerat och uppdaterat.
  • Försäkra dig om att ditt operativsystem är uppdaterat med de senaste patcharna.
  • Se till att alla plug-ins (Java, Flash, Adobe etc.) är uppdaterade till senaste version.
  • De-aktivera Auto-run och Windows Scripting Host.
  • Låt inte användare vara administratörer på sina datorer.
  • Ta alltid en full backup på din data.
  • Stoppa exekverbara filer i surftrafiken och e-posten i ditt webbfilter och e-postfilter.

Utökade försiktighetsåtgärder
Här beskriver vi ett antal policy-inställningar i Windows som bl.a. förhindrar vissa sökvägar och filtyper att exekvera. Observera att dessa inställningar kan leda till att vissa program kan sluta fungera eller inte tillåtas installeras. Testa alltid dina policy's innan du kör dem i produktion!

Introduktion till "vanliga malware mappar"
Malware "droppas" oftast i några få vanliga mappar på din dator, när de väl hamnat där kan de flytta sig till andra mappar och filer i ditt system.

De vanligaste mapparna där malware hamnar är:
  • Användarens temp-katalog (kallas ofta %localusertemp%)
  • Appdata med underkataloger (Roaming,local app data)
  • Users profile
  • Temp katalogen (%temp% eller C:\Windows\temp)
  • Webbläsarens cache-katalog  (%cache sökvägen varierar beroende på webbläsare, se nedan för exempel)
  • c:\users\admin\appdata\local\microsoft\windows\temporary internet files\content.ie5\
  • Skrivbordet
För att nå en katalog som anges med % är det bara att skriva dem i Windows "Kör" eller Windows Sök-fält i startmenyn. Skriver du t.ex. %temp% hamnar du direkt i C:\Users\admin\AppData\Local\Temp.

När en infektion finns på din dator och är aktivt kan den flytta sig till andra mappar för att göra det svårare att hitta den eller till en plats där det är lättare att sprida sig vidare. Mer sofistikerad malware kan sprida sig till en nätverksenhet. Många skadliga koder kan också använda en registernyckel eller andra metoder (scheduled task, service etc.) för att automatiskt starta.
  • C:\program data\ (som default gömd mapp)
  • C:\Windows
  • C:\Windows\System32
  • C:\Recylcer\ (gömd mapp, papperskorgen)
  • C:\ (Root)
  • C:\Program files\ (både 32 och 64bit) vanlig plats för PUA's (Potentialy Unwanted Applications)
Malware använder sig ofta av välkända namn för att lura användaren, t.ex. används ofta winlogon.exe som är en nyckelkomponent i Windows. Winlogon.exe ska ligga i c:\windows\system32\winlogon.exe och är cirka 450 kb stor.

Hittar du winlogon.exe i användare-mappen med dubbel storlek så är det en tydlig indikation på att något är fel. Webroot SecureAnyhwere kontrollerar ständigt status och bedömer sökvägar, filer och beteende. Det vi med denna guiden vill åstadkomma är begränsningar för vilka filtyper som har access till de olika mapparna för att utöka säkerheten yttligare.


Inaktivera Autorun
Autorun är en smart funktion men används ofta för att sprida skadlig kod i företagsnätverk. Vanligtvis handlar det om VBS-malware och maskar som automatiskt körs och sprider sig från USB-minnen när de stoppas in i en dator. Autorun kan enkelt inaktiveras genom en förändring i Local Group Policy Editor:

Beskrivningen gäller en lokal dator, men fungerar snarlik i en gemensam policy för alla datorer i nätverket (Active Directory). Notera att denna förändring inte förhindrar användningen av USB-minnen.

  • Klicka på start-menyn och skriv gpedit.msc och tryck enter
  • Gå till Computer Configuration > Administrative Templates > Windows Components, och klicka på Autoplay Policies.
  • Dubbelklicka på Turn off Autoplay i listan
  • Klicka på Enabled och välj alla enheter för att inaktivera autorun på dem.



Använd Policy Editor för att blockera sökvägar
Polcys är ett kraftfullt verktyg som vanligtvis används för att förhindra användare att installera program på systemet. Men de kan också användas på flera kreatvia sätt för att öka säkerheten.

Beskrivningen nedan gäller en lokal policy, men samma princip kan användas i en nätverks policy. Läs gärna mer om nätverkspolicys här!

Policys kan kopplas till olika grupper av användare och på så vis anpassas efter behov. När du skapar en policy är det viktigt att den testas innan du applicerar den i produktion. Exempel på säkerhetshöjande policys: 

  • Blockera öppning av exekverbara filer i temp-mappen
  • Blockera modifiering av VSS-servicen
  • Blockera  öppning av exekverbara filer i temp+appdata
  • Blocking skapandet av "startup entries"
I en normal miljö bör inte .SCR,.PIF,CPL-filer exekveras i användarens temp-mapp, program data eller från skrivbordet.

En policy som förhindrar ovanstående bör vara relativt säker. Flera versioner av Cryptolocker använder filformatet SCR, som egentligen är en komprimerad exekverbar kod.

Vill du gå ett steg längre kan du förhindra att PE-filer i vanliga mappar, där malware ofta hamnar.

  • EXE,DLL,SYS,FON,EFI,OCX och SCR
  • Temp+Appdata+ProgramData etc
För att skapa en policy öppnar du Group Policy Editor och går till: Computer Configuration > Windows Settings > Security Settings > Software Restriction Policies

Första steget är att ändra en inställning i "Enforcement". Ändra inställningen från “All software files except libraries” till “All Software Files”.



Skapa sedan en policy genom att höger-klicka i den högra sidan av fönstret och välj “New Path Rule”.



Ett nytt fönster öppnas där vi kan skapa våra policy-regler. I detta fönster kan vi bläddra till specifika mappar eller så kan vi använda wildcards för vanliga mappar. I exemplet nedan har vi skapat en policy som hindrar exekverbara filer att köras från C:\Windows\Temp.


Notera att legitima program ibland vill exekvera från denna mapp. Nedan följer några exempel på andra sökvägar där det kan vara bra att förhindra exekvering:



  • %appdata% (detta är användarens lokala app data-mapp, en vanlig mapp för droppers)
  • %temp% (den vanligaste sökvägen för levererad malware)
  • %userprofile% (användarprofilens root-katalog)
  • %localappdata% (local användares appdata)
  • %programdata% (Windows Vista och senare)
  • C:\Windows\Temp (Windows temp)





Om ett program försöker exekvera från någon av de blockerade sökvägarna får användaren nedan felmeddelande. Om filen flyttas till en annan icke-blockerad sökväg kommer den tillåtas exekvera.





Blockera access till Volume Shadow Copy Service
I Windows XP och senare skapar operativsystemet lokala kopior av filer med "VSS copy service" som ligger på följande sökväg C:\Windows\System32\VSSAdmin.exe

Tidigare versioner av Cryptolocker lät VSS copy service köra och kopior av filer kunde användas för att återställa krypterad data med t.ex. "Shadow Explorer" (dock endast lokala filer - ej filer på nätverksenheter).

Vi kan låsa accessen till VSS copy service och därigenom stoppa Cryptolocker från att försöka ta bort kopiorna av orginalfiler. Detta genom att skapa en policy (liknande de som beskrivs ovan) men koppla den till den körbara filen VSSADmin. Försök att accessa eller stoppa denna service kommer då blockeras.



Ett felmeddelande visas när någon/något försöker stoppa tjänsten




Deaktivera Windows Script för att blockera VBS-Script
VBS-script används ofta för att ställa till oreda eller att ladda ner mer avancerad malware till ett system. Ett exempel är ILOVEYOU VBS som drabbade många i början av 2000-talet. Idag används VBS oftast för att dölja mappar och flytta filer mellan olika mappar.

VBS-script kan enkelt stoppas från att köra genom att inaktivera Windows Script Host engine som används för att köra VBS-script.

Dessa två registernycklar används för att inaktivera Windows Script Hosting Engine Executable (Wcscript.exe) att köra: 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings\Enabled
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\Enabled


Övrigt
En grundläggande policy är viktig för att skydda dina system. Fundera över om alla användare i  din miljö verkligen behöver kunna klicka på http/https-länkar som leder till körbar kod, eller om alla användare måste kunna ta emot exekverbara filer via epost.

Saknar du verktyg för att på ett blockera skadlig kod eller sätta policy om filtyper i surftrafiken eller epost-trafiken? Fungerar ditt webbfilter även när användaren tar med datorn hem? Kontakta WeCloud och låt oss berätta om våra molnbaserade lösningar för att virus-skanna och sätta policys för din verksamhets webbtrafik och e-posttrafik.

Vi hoppas att informationen kan komma till hjälp och vill också tacka Roy Tobin, Threat Researcher på Webroot, för hans hjälp med dessa goda råd.

Läs mer om den nya vågen av Postnord-mail och hur Postnord-trojanen fortsätter lura antivirussystemen.

www.wecloud.se
info@wecloud.se