Wir sollten so langsam der Ransomware den Stinkefinger zeigen, Fileserver können wir schon schützen, verseuchte Clients ebenfalls identifizieren:
- https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen/
- https://www.frankysweb.de/windows-fileserver-vor-ransomware-schuetzen-update/
- https://www.frankysweb.de/locky-verseuchte-clients-identifizieren/
Auch an den Clients kann etwas getan werden um einer Infektion vorzubeugen. Es gibt hier allerdings kein Pauschalrezept, aber mit GPOs hat man ein mächtiges Werkzeug zur Hand um zumindest auf aktuelle Situationen reagieren zu können.
Hier sind 3 GPOs die Windows Clients vor Infektionen mit Ransomware schützen können. Natürlich gelten _IMMER_ die folgenden Grundsätze:
- Der Benutzer ist KEIN lokaler Administrator
- Die Windows Firewall ist aktiviert
- Der Virenschutz ist aktuell (Aktuell heißt in diesem Fall, die Signaturen sind nicht älter als 12 Stunden)
- Die Windows UAC ist aktiviert
Man kann über einen oder alle der oben genannten Punkte streiten? Gern, nur nicht mit mir :-) Diese Maßnahmen als zusätzliche Stufe anzusehen, im Idealfall schafft es die Ransomware erst gar nicht bis zum Client. Da es aber so viele Infektionen gibt, beuge ich auch lieber vor…
Makros deaktivieren
Derzeit verbreitet sich Locky hauptsächlich über Word Dokumente die via E-Mail zugeschickt werden, Das Word Dokument enthält dann ein Makro, welches den eigentlichen Schadcode nachlädt. Mittels GPOs lassen sich Makros deaktivieren. Dazu müssen die entsprechenden Vorlagen für Office runtergeladen werden:
Hier mal das Beispiel für Office 2016:
Die EXE-Datei entpackt nur die Vorlagen, diese müssen jetzt noch an den entsprechenden Ort kopiert werden. Also entweder in dem lokalen Policy Store auf dem DC oder dem Central Store.
In diesem Fall werden die Verzeichnisse und Dateien aus der entpackten EXE nach C:\Windows\PolicyDefinitions (lokaler Speicher) kopiert:
In der Gruppenrichtlinienverwaltung kann jetzt eine neue GPO angelegt werden und die Computerkonfigurationseinstellungen deaktiviert werden:
Innerhalb der GPO können nun die Makros abgeschaltet werden:
Sobald die GPO mit einer gewissen Anzahl an Benutzern getestet wurde, kann die GPO an alle Benutzer zugewiesen werden.
Hier gilt es die GPO vorher zu testen, vieleicht brauchen ja bestimmte Benutzer oder Abteilungen Makros für Ihre tägliche Arbeit. Das lässt sich dann entsprechend filtern.
Java Script im Internet Explorer deaktivieren
Während ich diesen Artikel schreibe, habe ich gelesen, dass sich die Ransomware Teslacrypt auch über infizierte Webseiten (Hauptsächlich wohl auf Joomla basierend) verbreitet. Dies geschieht via JavaScript:
Um Java Script zu deaktivieren, kann eine weitere GPO erzeugt werden, diesmal mit deaktivierten Benutzerkonfigurationseinstellungen:
Jetzt kann die GPO bearbeitet und zu folgendem Punkt navigiert werden:
- Computerkonfiguration
- Richtlinien
- Administrative Vorlagen
- Windows-Komponenten
- Internet Explorer
- Internetsystemsteuerung
- Sicherheitsseite
- Internetzone
In der Zone „Internet“ lässt sich jetzt „Active Scripting“ deaktivieren:
Jetzt kann die GPO wieder getestet werden, und danach mit der Domain verknüpft werden:
Softwareeinschränkung konfigurieren
Viren und Trojaner gehen oft nach dem gleichen Muster vor, irgendeine Schwachstelle wird ausgenutzt, der Virus/Trojaner wird nachgeladen und ausgeführt, häufig geschieht das Ausführen aus einem temporären Ordner oder aus den APPDATA Ordern, daher kann man auch hier ansetzen.
Wieder eine neue GPO erzeugen, Benutzerkonfigurationseinstellungen deaktiviert
Die GPO kann jetzt editiert werden und die Softwareeinschränkung aktiviert werden:
Jetzt können unter zusätzliche Rgelen die Einschränkungen aktiviert werden:
Wie oben werden nun die folgenden Pfadregeln konfiguriert:
- %appdata%\*.exe
- %appdata%\*\*.exe
- %localappdata%\*.exe
- %localappdata%\*\*.exe
- %temp%\*exe
- %temp\*\*.exe
Anwendungen aus den Verzeichnissen werden nun nicht mehr ausgeführt:
Auch hier gilt wieder, GPO testen und erst dann an die Domain oder OU zuweisen.