Endpoint beskyttelse mod Serpent Ransomware

Jeg fik forleden dag tilsendt en mail af en person, som bad mig kigge på det link der var i mailen.
Jeg fandt ud af, at der var tale om en ny ransomware variant, som kaldes Serpent og rammer danske brugere.
https://www.proofpoint.com/us/threat-insight/post/new-serpent-ransomware-targets-danish-speakers

Den bliver distribueret via en såkaldt Spear Phishing mail, hvor navn og firma er korrekt beskrevet og sproget virker også forholdsvis troværdigt.
Jeg har tidligere blogget omkring endpoint beskyttelse i et Microsoft miljø.
http://blog.jravn.dk/?p=2401

Så jeg tænkte, at jeg ville prøve en række af disse tidligere beskrevet sikkerhedslag af i praksis, mod Serpent Ransomware.
Første lag jeg testede med, var den Microsoft service som hedder Office 365 Advanced Threat Protection (Office 365 ATP).
https://products.office.com/en/exchange/online-email-threat-protection

Jeg sendte således mailen fra min hotmail account til min test Office 365 mail, hvor jeg havde Office 365 Advanced Threat Protection aktiveret.

I mailen kan man se, at Office 365 ATP har erstattet det originale link med Safe Links.

Når jeg klikker på linket, bliver jeg gjort opmærksom på, at jeg ikke kan komme videre.
Jeg kan heller ikke klikke på linket tomrer…Jeg kan kun vælge “Luk denne side”

Da næsten alt ransomware kommer ind til brugeren via mail, mener jeg denne Office 365 ATP service er rigtig vigtig, at have implementeret i sin Enterprise i dag.
Vi antager nu at mailen var sluppet forbi Office 365 ATP eller virksomheden ikke har fået implementeret denne service endnu.
Jeg åbner den samme mail fra min Hotmail. Læg mærke til at linket ikke har ændret sig.

Jeg klikker på linket og åbner et Word dokument.

Jeg klikker på “Aktiver redigering”. Men Makroen bliver blokeret, fordi jeg har aktiveret endnu et sikkerhedslag, som i Office 2016, blokerer for makroer i Office dokumenter, som kommer fra internettet.
https://blogs.technet.microsoft.com/mmpc/2016/03/22/new-feature-in-office-2016-can-block-macros-and-help-prevent-infection/

Hvis denne sikkerhedspolitik ikke var sat, havde jeg downloadet og fået kørt Serpent Ransomwaren.

Som yderligere test, de-aktiverede jeg makro blokeringen i min Office 2016 og kørte Word dokumentet en gang til.
Jeg var logget på en test PC med Windows 10, hvor brugeren ikke havde lokal admin rettigheder. UAC var sat til max med Always Notify.
Via process explorer kunne jeg se, at den hentede to exe-filer, som blev eksekveret.
Men de fejlede i at lave privilege escalation med UAC bypass via eventvwr.exe.
Dette er også beskrevet i det første link, som omtaler Serpent Ransomware.

Serpent kørte i min test profil og krypterede de test filer jeg havde lavet forinden. Det var typisk i folderne desktop, documents, pictures mfl.

Ved at været logget på med standard bruger og UAC sat til max, kunne Serpent ikke lave privilege escalation og f.eks. kryptere andre brugerprofiler eller eksekvere yderligere malware i systemlaget.
Det er selvfølgelig slemt nok, at den krypterer alle data i user profilen, men de kan forhåbentlig hurtig genskabes igen.
Som den sidste test, loggede jeg på med en admin account og satte UAC til default setting. Her kunne Serpent lave privilege escalation via UAC bypass.

UAC bypass bliver rettet med den nye Windows 10 Creators Update.
http://www.winhelponline.com/blog/microsoft-fixes-eventvwr-exe-uac-bypass-exploit-windows-10-creators-update/

Min test, viste således, at for at opnå god sikkerhed, kræver det, at man implementere flere sikkerhedslag.
Men ingen tvivl om, at Office 365 ATP servicen kan være et effektivt sikkerhedslag mod ransomware, da brugerne ikke får lov at klikke på linket der fører til malware.

Se nedenstående link, for mere info om, hvordan Microsoft følger op på nuværende og fremtidige ransomware trusler/angreb.

Ransomware: a declining nuisance or an evolving menace?
https://blogs.technet.microsoft.com/mmpc/2017/02/14/ransomware-2016-threat-landscape-review/

 

Strategi for endpoint sikkerhed i et Microsoft miljø

Jeg vil i denne blog-post beskrive hvordan man kan sikre sine endpoints mod exploit/malware.
Jeg vil her fokusere på de forskellige sikkerhedslag, som Microsoft tilbyder i dag og liste dem som en step-by-step proces eller to-do liste.
De fleste at disse sikkerhedslag styres af velkendte Group Policy og kan derfor hurtig testes og udrulles på en nem måde til brugerne og deres computere.
Jeg håber derfor, at andre kan blive inspireret af dette skriv og komme i gang med Windows 10 og de nye nødvendige sikkerhedsfeatures, som følger med.

Jeg forudsætter at vi har et miljø, hvor man er i gang med at migrere fra Windows 7 til fordel for Windows 10 Enterprise nyeste version, uden lokal admin rettigheder.
Windows 7 blev designet for snart 10 år siden og tager ikke højde for de angrebsvektorer vi ser i dag og i fremtiden.

Første step er at implementere hvad Microsoft kalder Least-Privilege Administrative Models.
Hvis man f.eks. logger på en klient computer med en bruger, der er medlem af gruppen Domain Admin, kan der være risiko for at denne bruger bliver udnyttet af et Pass-the-hash eller keylogger angreb m.m.
Nedenstående link forklarer hvordan du begrænser login for kritiske admin grupper og brugere. Der meget tekst men den praktiske del er forholdsvis enkel at implementere.
https://technet.microsoft.com/windows-server-docs/identity/ad-ds/plan/security-best-practices/implementing-least-privilege-administrative-models

Næste step er at konfigurere Local Administrator Password Solution (LAPS).
Med dette værktøj kan du give unikke password for den lokale administrator kontor, ude på de enkelte endpoints og angive tidsperiode hvornår de automatisk bliver skiftet.
Det er super enkelt at konfigurere og udrulle i virksomhedens infrastruktur via group policy. Nedenstående links giver en god forklaring på opsætning af LAPS.
https://www.systemcenterdudes.com/how-to-install-local-administrator-password-solution-laps/
https://www.microsoft.com/en-us/download/details.aspx?id=46899

Jeg vil nu se på de indbyggede sikkerhedslag, som Windows 10 Enterprise giver os. Igen styres mange af dem via group policies på en enkel og effektiv måde.
Nogle af disse sikkerhedslag kender vi også fra Windows 7. Men en kort opsummering skader vel ikke.

Jeg antager at man her benytter Microsoft Configuration Manager (SCCM) til deployment af Windows 10 image, samt hurtig udrulning af opdateringer/sikkerheds opdateringer til OS og applikationer.
Med SCCM kan du også lave nem og hurtig offline patchning af ens Windows 10 image.
Med overbygningsmodulet SoftwareCentral kan man ligeledes få et nemt deployment workflow ud til slutbrugerne.
https://blogs.technet.microsoft.com/enterprisemobility/2016/11/18/now-available-update-1610-for-system-center-configuration-manager/
http://www.mansoft.dk/softwarecentral.html

Alle brugerne logger kun på deres computere med en standard user accounts (ikke lokal admin).
Windows firewall er aktiveret for alle netværk domain-private-guest.
BitLocker er aktiveret via Microsoft SCCM image deployment.
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/bitlocker-overview

Default lokal administrator account er disablet ude på de enkelte endpoints. Der oprettes en ny, som styres af LAPS.
Autoplay er disablet for alle drev.
Screensaver er sat med password.

UAC er konfigureret og er sat til max med Always notify.
https://www.petri.com/user-account-control-standard-user-versus-protected-administrator-accounts
https://technet.microsoft.com/itpro/windows/keep-secure/user-account-control-overview

UEFI Secure Boot er aktiveret for alle Windows 10 endpoints. Man kan også via SCCM 1610 lave UEFI conversion.
https://yungchou.wordpress.com/2016/03/04/an-introduction-of-uefi-secure-boot-in-windows-10-enterprise/
https://docs.microsoft.com/en-us/sccm/osd/deploy-use/task-sequence-steps-to-manage-bios-to-uefi-conversion

Aktivering af Windows Hello. Brugerne kan benytte denne nye feature.
PIN kan ikke misbruges over netværk. Kræver at man sidder fysisk ved computeren.
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/why-a-pin-is-better-than-a-password

Microsoft Edge er sat som default browser og sikkerhedsfeaturen SmartScreen er aktiveret i Edge og IE via group policy.
https://blogs.windows.com/msedgedev/2015/12/16/smartscreen-drive-by-improvements/#lbVXETW63JgJwci7.97

Hvis man har ældre interne websites som ikke er kompatible med Edge, kan man benytte Enterprise Mode site list, hvor siderne automatisk åbnes i IE:
Det er super nemt at konfigurere og styres af group policy.
https://technet.microsoft.com/en-us/itpro/microsoft-edge/emie-to-improve-compatibility

Nedenstående lister en række quick wins, som bestemt også skal med i de samlede sikkerhedslag.
Med Windows 10 antager jeg, at man benytter nyeste kontorpakke Office 2016 Click-to-Run, som kommer med forbedret sikkerhed, samt understøttelse af Office 365 modern authentication.
Samtidig antager jeg at man benytter Windows Defender med Windows 10, som har den klare fordel og styrke, at den integrerer bedst med de andre sikkerhedslag i Windows 10.
Windows Defender er også bedst integreret med SCCM og Microsoft nye WATP. Mere om det senere.

Block the macro, block the threat
https://blogs.technet.microsoft.com/mmpc/2016/03/22/new-feature-in-office-2016-can-block-macros-and-help-prevent-infection/

Block untrusted fonts in an enterprise
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/block-untrusted-fonts-in-enterprise

Aktivering af Credential Guard, som effektivt beskytter mod Pass-the-Hash angreb. Er igen meget enkel at konfigurere og udrulle i et Windows 10 image.
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/credential-guard
https://bogner.sh/2015/05/an-introduction-to-pass-the-hash/

Detect and block Potentially Unwanted Application in Windows 10
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/enable-pua-windows-defender-for-windows-10

Block at First Sight – Windows Defender cloud protection.
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/windows-defender-block-at-first-sight

Microsoft tilbyder nu også en række sikkerheds-services i cloud, som er virkelige effektive og som kræver minimal konfiguration.
Med Office 365 E5 licens får man adgang til nye sikkerheds-services, som Office 365 Advanced Threat Protection og Windows Defender Advanced Threat Protection, som jeg mener er et must-have i dag.
Tilsammen giver de rigtig god beskyttelse og overblik mod malware trusler, som f.eks. ransomware.
https://blogs.windows.com/business/2016/11/11/defending-against-ransomware-with-windows-10-anniversary-update/#Zbv2tYIGLZckMpSb.97

Introducing Office 365 Advanced Threat Protection
https://blogs.office.com/2015/04/08/introducing-exchange-online-advanced-threat-protection/

Windows Defender Advanced Threat Protection (ATP) er en ny og superfed cloud service, der analyserer og rapporterer om healt state for de enkelte endpoint via en række nye teknikker.
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/windows-defender-advanced-threat-protection

ATP servicen er med i Windows 10 fra version 1607 og config policy kan udrulles til endpoints via SCCM på en nem og enkel måde.
For mere info til dette se nedenstående links.
https://osddeployment.dk/2016/11/16/how-to-setup-windows-defender-advanced-protection-windows-10-enterprise-e5/
https://osddeployment.dk/2016/11/16/how-to-get-windows-10-onboarded-with-windows-defender-atp-sccm-1610/

Jeg forventer mig rigtig meget af Windows Defender ATP og med den kommende Windows 10 Creators update, bliver det rigtig godt. Prøv at se nedenstående præsentation.

Windows Defender Advanced Threat Protection for Windows 10 in the Creators Update.
https://www.youtube.com/watch?v=2CzqJmNBpzc

Windows 10 Creators Update advances security and best-in-class modern IT tools
https://blogs.windows.com/business/2016/12/06/windows-10-creators-update-advances-security-best-class-modern-tools/#BhH7G1pcAtt9DXof.97

Afslutningsvis vil jeg kort beskrive de backup muligheder for endpoints, der kommer med Windows 10 og Office 365/Azure.
Som udgangspunkt re-installerer man et endpoint, hvis det bliver inficeret med malware. Med SCCM og windows 10 tager det ca. 30 min.
Men hvad med brugerdata og den tidligere opsætning for OS og applikationer. Her giver Microsoft en række rigtig gode muligheder for at lave en backup og restore af dette.

OneDrive for Business til personlig data/billeder m.m. Hvis det bliver nuket af f.eks. ransomware, kan det hele restores igen.
https://support.office.com/en-us/article/Get-started-with-the-new-OneDrive-sync-client-in-Windows-615391c4-2bd3-4aae-a42a-858262e42a49?ui=en-US&rs=en-US&ad=US&fromAR=1

For firma relateret data kan man nu begynde at bruge Office Groups/Teams
https://blogs.office.com/2016/11/02/introducing-microsoft-teams-the-chat-based-workspace-in-office-365/

Backup af OS og Office settings kan nemt udføres via services, som UE-V og Enterprise State Roaming i Azure.
Med UE-V kan du lave en backup af brugerens Outlook profil med tilhørende signatur, samt netværks printere.
https://technet.microsoft.com/en-us/itpro/windows/manage/uev-for-windows

Resten kan udføres automatisk med den nye Azure feature som hedder Enterprise State Roaming.
Her kan man synkronisere settings som Egde og IE favoritter, baggrunds billede, password fra credential manager, Wi-Fi profiler m.m.

Enterprise State Roaming overview
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-windows-enterprise-state-roaming-overview

Enable Enterprise State Roaming in Azure Active Directory
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-windows-enterprise-state-roaming-enable

Nedenstående sikkerhedslag og services har jeg valgt ikke at tage med i denne blog-post, da de som udgangspunkt kan kræve rigtig meget analyse, planlægning og test.
Windows 10 Device Guard med AppLocker
Microsoft Enterprise Mobility Suite (EMS)

Active Directory Backup and Disaster Recovery Procedures

Nedenstående link giver en rigtig god step-by-step guide til AD Disaster Recovery for 2003/2008 R2/2012.
http://www.edeconsulting.be/activedirectorypublications.asp

Office 2013 Proofing Tools

Du kan downloade Office 2013 Office proofing tools fra nedenstående link

Office Proofing Tools
http://office.microsoft.com/en-ie/office-language-options-FX102851176.aspx?LpArch=x86&ver=15&app=winword.exe

For mere info, se dette link
Companion proofing languages for Office 2013
http://technet.microsoft.com/en-us/library/ee942198.aspx

Hvordan du kan installere Office proofing tools kan se her.
Download Microsoft Office 2013 Proofing Tools – Fonts, Spelling, Translations [All Languages]
http://www.technize.net/office-2013-proofing-tools-2/

Azure IaaS – Part 1 of 31

Nedenstående links giver et godt overblik for, hvilke step man skal igennem for at flytte dele af ens eksisterende infrastruktur til Azure på en Hyper-V platform.
Der kommer nye blog-post til. Lige nu er serien nået til part 19.

31 Days of Servers in the Cloud: Windows Azure IaaS and You (Part 1 of 31)
http://blogs.technet.com/b/matthewms/archive/2013/01/01/31-days-of-servers-in-the-cloud-windows-azure-iaas-and-you-part-1-of-31.aspx

31 Days of Servers in the Cloud
http://blogs.technet.com/b/matthewms/p/getazureiaas.aspx