Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Ransomware decrypters en maatregelen

18-10-2016, 20:40 door SecGuru_OTX, 4 reacties
Laatst bijgewerkt: 19-10-2016, 11:07
(alleen voor de geïnteresseerde)

Hoewel je je als organisatie vrij goed kunt beschermen tegen ransomware (zie maatregelen onderaan deze post), is een succesvolle ransomware aanval altijd nog mogelijk.

Wat als je toch slachtoffer van Ransomware bent geworden(en je geen backup kan/wil terugzetten)?:

1. Identificeer de Ransomware variant
Op de volgende website kun je de Ransomware identificeren:
https://id-ransomware.malwarehunterteam.com

2. Download een decrypter
Malwarehunterteam geeft na identificatie ook locaties over waar eventuele je eventuele decrypters kunt downloaden. Mocht dit niet bekend zijn dan kun je op de volgende locaties ook zoeken naar decrypters:

- https://decrypter.emsisoft.com
- http://www.bleepingcomputer.com/download/windows/ransomware-decryptors/
- https://noransom.kaspersky.com

3. Melding Autoriteit Persoonsgegevens
Doe een melding indien het om een systeem, bestand of datastore gaat waar ook persoonsgegevens op staan. Hoewel er nogal wat twijfel is m.b.t. deze meldplicht i.c.m. ransomware is mijn advies om dit gewoon te melden. Beter te veel dan te weinig. Neem geen risico.

4. Maatregelen
Neem (betere) maatregelen om herhaling te voorkomen.

Hier een overzicht om succesvolle Ransomware aanvallen te voorkomen:

1. Applicatie whitelisten
De meeste varianten zijn uiteindelijk "gewoon" programma's die door "gewone" gebruikers(geen admins of powerusers) binnen de userspace geïnstalleerd kunnen worden. D.m.v. App whitelisten kun je dit alsnog voorkomen.
Indien volledig app whitelisten te moeilijk is en/of een te groot project is, blokkeer dan in ieder geval alle executables en scripts binnen de temp/download folders.

Ik heb zelf goede ervaringen met Windows Applocker en CarbonBlack Protection

2. user rechten
Maak nooit gebruik van admin of power user rechten wanneer je gebruik maakt van Intermet of e-mail

3. Internet met admin rechten
Blokkeer admin en poweruser accounts naar het internet.

4. RDP
Probeer GEEN RDP vanaf het publieke Internet toe te staan. Indien dit echt noodzakelijk is, gebruik dan ALTIJD Two Factor Authentication voor RDP toegang.

5. Extensies van e-mail bijlages blokkeren
Blokkeer alle varianten van executables en scripts op de e-mail gateways. B.V. volgende extensies:
.EXE .APPLICATION .GADGET .MSI .MSP .COM .SCR .HTA .CPL .MSC .JAR .BAT .CMD .VB .VBS .DMG .ISO .VBE .JE .JSE .WS .WSF .WSC .WSH .PS1 .PS1XML .PS2 .PS2XML .PSC1 .PSC2 .MSH .MSH2 .MSHXML .MSH2XML .SCF .LNK .INF .REG .DOCM .DOTM .XLAM .PPTM .POTM .PPAM .PPSM .SLDM .SWF .SHS .JS .WMF .CHM .OZD .OCX .ARU .XTBL .DRV .EXE1 .PIF .PHP3 .TPS .BUK .XNXX .VBX .TORRENT .VMDK .VH


6. Show file extensions
Zet deze optie aan zodat een gebruiker kan herkennen dat het b.v. om een exe gaat. Ik heb veel xyz.pdf.exe Ransomware gezien.

7. Block TOR
Veel varianten maken gebruik van TOR t.b.v. call back(C2) om encryptie sleutels op te halen. Als ze de C2 niet kunnen benaderen dan kan er ook niet worden versleuteld.

8. Gebruik een Adblocker

9. Uiteraard altijd up-to-date software....

10. Maak gebruik van een Anti Malware/Anti Exploit product
Naast AV ook b.v. HitmanPro.Alert, Sophos InterceptX, Malwarebytes Endpoint Security

11. Firewall met url/webfiltering die vooral focused op connecties die van binnenuit worden opgezet

12. Macros
Blokkeer macros en/of accepteer alleen gesigneerde macros

Wil je het maximale en heb je een flink budget:

13. IPS
Zowel op netwerk als op hosts

14. Firewall met Threat Prevention techniek en meerdere threat intelligence feeds

15. Sandbox techniek
Voornamelijk voor Office en PDF bestanden
(maak wel gebruik van een Sandbox VM waarbij er standaard al 10 eerder geopende bestanden in de recent docs staan, er zijn nieuwe ransomware varianten die dit controleren)

16. DNS
Maak gebruik van een publieke DNS provider met Threat Intelligence. Ik heb zelf goede ervaringen met OpenDNS Umbrella, zeker na de overname door Cisco en de samenwerking met Cisco AMP.

17. Vulnerability management
Maak b.v. gebruik van Qualys of Nessus incl. host agent om je kwetsbaarheden op te sporen, te prioriteren en te verhelpen

Alle aanvullingen/verbeteringen zijn meer dan welkom.

Met vriendelijk groet,
Twitter: @SecGuru_OTX
Reacties (4)
18-10-2016, 21:17 door Spiff has left the building - Bijgewerkt: 18-10-2016, 23:05
Door SecGuru_OTX, 20:40 uur:
(alleen voor de geïnteresseerde)
Leuk :-)
Net zoals Stan Laurel ooit schreef in een krantenadvertentie:
"P.S. Those not interested, do not answer."
(Going Bye-Bye! 1930)

Buiten dat -
Dankjewel voor de mooie opsomming!
18-10-2016, 23:14 door Anoniem
Of gewoon simpel : https://www.nomoreransom.org
19-10-2016, 10:21 door Erik van Straten - Bijgewerkt: 19-10-2016, 12:54
Flink ingekort (en de tweede 16 in 17 veranderd):
Laatst bijgewerkt: 18-10-2016, 20:41 door SecGuru_OTX: [...]
Hier een overzicht om succesvolle Ransomware aanvallen te voorkomen:
1. Applicatie whitelisten
2. user rechten
3. Internet met admin rechten
4. RDP
5. Extensies van e-mail bijlages blokkeren
6. Show file extensions
7. Block TOR
8. Gebruik een Adblocker
9. Uiteraard altijd up-to-date software....
10. Maak gebruik van een Anti Malware/Anti Exploit product
11. Firewall met url/webfiltering die vooral focused op connecties die van binnenuit worden opgezet
12. Macros
13. IPS
14. Firewall met Threat Prevention techniek en meerdere threat intelligence feeds
15. Sandbox techniek
16. DNS
17. Vulnerability management
Dank namens alle geïnteresseerden voor jouw inzet om zo'n stuk te schrijven, met duidelijk veel meer maatregelen dan te vinden in de link van Anoniem 18-10-2016, 23:14! Maarrrr... daarin staat wel backup en die ontbreekt in jouw lijstje, en juist het ontbreken van een werkende backup is er vaak de oorzaak van dat men zich genoodzaakt ziet om te betalen.

Ik stel de volgende aanvullingen voor:
0. Backup! Bij voorkeur heb je, naast een courante backup, altijd een betrouwbare backup van 1 week, van 2 weken en van minstens 1 maand oud.

18. Zorg dat in e-mail clients altijd (ook) het SMTP e-mail adres wordt getoond.

19. Implementeer SPF, DKIM en DMARC op je ontvangende mailserver. Reken je niet rijk daarmee, want:
- veel afzenders gebruiken het nog niet of niet goed, waardoor hun SMTP afzenddomein vervalst kan worden;
- jouw gebruikers moeten er heel goed op letten dat niet (een klein beetje) wordt afgeweken van het gebruikelijke afzenderdomein (wat sowieso alleen mogelijk is als gebruikers regelmatig mail ontvangen uit dat afzenderdomein).

20. Overweeg ook om SPF, DKIM en DMARC te implementeren voor uitgaande mail om het criminelen iets lastiger te maken zich voor te doen als iemand uit jouw domein.

21. User awareness. Leer gebruikers dat het niet-SMTP deel van een From: e-mail adres altijd en doodsimpel vervalst kan worden, en het SMTP-deel vaak (als SPF+DKIM+DMARC ontbreken of daar iets niet bij klopt) - maar altijd door het SMTP-deel ietsje te wijzigen (Pietje.Puk@gmail kan heel iemand anders zijn dan PietjePuk@gmail of Pietje.puk@hotmail).
En leer ze daarnaast dat e-mail accounts wel eens gehacked worden, waardoor de afzender wel kan kloppen maar iemand anders aan de knoppen zat. Met name medewerkers van de afdeling financiën moeten procedures hebben, kennen en toepassen als zij via e-mail een verzoek "van de baas" o.i.d. krijgen om geld over te maken, of als een "grapjas" aankondigt dat een bankrekeningnummer van een leverancier of werknemer is gewijzigd. Train gebruikers om argwanend te zijn bij het lezen van e-mail, vooral als de mail nauwelijks informatie bevat maar in plaats daarvan naar een bijlage verwijst of vraagt om op een link te klikken. Toon ze courante voorbeelden van phishing mails.

22. Blokkeer de uitvoering van Flash in Office documenten (dat kan een probleem zijn in Powerpoint presentaties, maar verder heb ik daar nog nooit een toepassing voor gezien). Zie de eerste aanvulling onderaan deze bijdrage voor meer info.

23. Als het mogelijk is, blokkeer dan Flash helemaal, zie [1].
[1] https://www.security.nl/posting/437593/Eerste+beveiligingsupdates+voor+Windows+10+al+uitgerold#posting437653

24. Als het mogelijk is, verwijder Java of blokkeer deze in webbrowsers.

25. Beperk schrijfrechten op shared files zoveel mogelijk. De meeste files horen nooit meer te wijzigen, zeker niet bij goed versiebeheer.

26. Archiveer. Zet zelden nodige bestanden met vertrouwelijke informatie op een off-line medium (en zorg voor, eveneens offline, backups daarvan). Zorg dat wel bekend is dat die bestanden bestaan en hoe gebruikers ze kunnen benaderen.

Zo kan ik nog wel even doorgaan, maar ik heb nog meer te doen vandaag ;)

Aanvulling 19-10-2016, 10:43
Killbits voor Flash in Office (let op spaties: in de key 1 tussen "COM" en "Compatibility", en in de value name 1 tussen "Compatibility" en "Flags"):
Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}
Value: Compatibility Flags (type DWORD) = 0x400 (1024 decimaal)

Op 64bit machines moet je dezelfde value ook aanmaken onder:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}
Nb. verderop in https://technet.microsoft.com/en-us/library/security/ms16-064.aspx staat een "/" tussen COM en Compatibility, dat moet echt een spatie zijn. En bovendien ontbreekt daar de vermelding dat je ook in dit geval een Wow6432Node regel moet aanmaken op 64bit systemen.

Aanvulling 19-10-2016, 12:54
Meer info over het beveiligen van Office vind je in "Plan security settings for ActiveX controls for Office 2013" [2], "MS12-027: Enhanced protections regarding ActiveX controls in Microsoft Office documents" [3] en "Security Settings for ActiveX controls and OLE objects in Office 2003 and in the 2007 Office suite" [4]. In die pagina's staat er overigens wel een spatie (i.p.v. een "\") tussen "COM" en "Compatibility".

[2] https://technet.microsoft.com/en-us/library/cc179076.aspx
[3] https://blogs.technet.microsoft.com/srd/2012/04/10/ms12-027-enhanced-protections-regarding-activex-controls-in-microsoft-office-documents/
[4] https://support.microsoft.com/en-us/kb/2252664
19-10-2016, 11:12 door SecGuru_OTX
Door Erik van Straten: Flink ingekort
Laatst bijgewerkt: 18-10-2016, 20:41 door SecGuru_OTX: [...]

Dank voor je mooie toevoegingen:-) Uiteraard is backup en restore testen heel belangrijk. Derhalve begint mijn stuk ook met "en je geen backup kan/wil terugzetten".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.