Door Anoniem: Ik neem aan dat Maastricht toch wel een virusscanner draait? Is deze variant opzettelijk aangepast om AV software detectie te omzeilen?
Zijn er nog steeds mensen (die notabene security.nl bezoeken) die de sprookjes geloven dat er virusscanners bestaan die 100% van de "in-the-wild" malware detecteren en stoppen?
Door Anoniem (Eminus): Tenzij je natuurlijk een Sophos InterceptX draait die je niet uit KAN zetten; admin of niet.
Ook dat is iets dat fabrikanten je graag willen laten geloven. Het is hooguit lastig, maar nooit onmogelijk. Daarbij is er al malware gesignaleerd die Windows naar "safe mode" (what's in a name) reboot om virusscanners e d. uit te zetten (
https://www.bleepingcomputer.com/news/security/snatch-ransomware-reboots-to-windows-safe-mode-to-bypass-av-tools/). En het voorkomen dat nieuwe definities kunnen worden opgehaald (nodig omdat initiële detectie faalde) is vaak helemaal een peuleschil. Zodra malware SYSTEM privileges weet te verkrijgen,
kun je het geluk hebben dat de makers van die malware niet alle relevante trucs gebruiken om heer en meester te zijn -en blijven- op jouw systeem, maar daar zou ik maar niet op rekenen.
Door Anoniem (Eminus): ... universiteiten en hogescholen werken veel met BYOD. Dat zijn laptops met
a) elk OS wat een student wil
b) geen afdoende scanners (en zeker geen security best practise anti ransomware mitigatie)
c) geen afdoende patches (relatief makkelijk om zero days te gebruiken om te exploiten)
d) een open omgeving (relatief makkelijk om exploit kits op laptops te krijgen)
e) iedereen is local admin omdat het hun eigen pcs zijn.
Je vergeet twee heel belangrijke:
f) die geen lid zijn van het ter plaatse gebruikte Active Directory domein,
g) waar anderen geen beheer-accounts op hebben.
Door deze laatste twee punten zijn BYOD's veel minder kwetsbaar voor de soort ransomware die primair op AD domeinen gericht is. Een risico blijft dat de gebruiker per ongeluk malware start vanaf een file-share (bijv. via een Excel file met toegevoegde kwaadaardige macro's, of dat via een MitM aanval op een onbeveiligde verbinding malware wordt geïnjecteerd), maar je bent geen primair target van deze aanvallers.
PS ik raad elke security officer aan om minstens 1 van haar of zijn computers totaal AD-onafhankelijk te houden en te voorzien van relevante tools en alle (bedrijfs/organisatie-) informatie die je bij een calamiteit nodig zou kunnen hebben.
Door Anoniem (Eminus): ps: er staat in het artikel dat dhcp/exchange besmet is. Dat betekent dat ergens een domainadmin account is gevonden door de ransomware. Of (erger) dat de domain admin privileges gelijk waren aan de user privileges en dat een user (staff) de ransomware heeft getriggered.
Dat zijn precies de omstandigheden waar de makers van dit soort malware naar op zoek zijn. Als je beheerwachtwoorden hergebruikt is "lateral movement" in een domein doodsimpel en zijn de rapen gaar zodra op één van de gecompromitteerde PC's de gebruiker aanvullende privileges in het domein heeft. Deze malware is erop gemaakt om zo snel mogelijk AD controllers over te nemen, van daaruit de feitelijke ransomware te verspreiden naar alle domain-members en op al die systemen gelijktijdig op te starten.
Als je niet de laatste adviezen van Microsoft opvolgt (implementeer iets als LAPS, disable legacy protocollen zoals SMBv1 en NBT, enforce SMB signing, disable NTLM, disable WPAD en alle DNS-alternatieven van het type "leuk voor thuis", gebruik dedicated PC's voor serverbeheer etc.) ben je een sitting duck.
@ Philias: we zijn het eens. Soms laat ik me verleiden om tegenstanders met argumenten te overtuigen, maar het trollisme spat er vanaf met ononderbouwde, mijn stellingen niet weerleggende en soms niet eens terzake doende kreten als "In de praktijk blijkt dat security problemen met Linux sneller en transparanter worden opgelost" en "Gebruik van open source en een goed besturingssysteem lost niet alle problemen op maar wel veel". Ik wens deze mensen veel succes met hun briljante oplossingen - waar de klant niet om vraagt.