Endpoint beskyttelse mod Serpent Ransomware

Jeg fik forleden dag tilsendt en mail af en person, som bad mig kigge på det link der var i mailen.
Jeg fandt ud af, at der var tale om en ny ransomware variant, som kaldes Serpent og rammer danske brugere.
https://www.proofpoint.com/us/threat-insight/post/new-serpent-ransomware-targets-danish-speakers

Den bliver distribueret via en såkaldt Spear Phishing mail, hvor navn og firma er korrekt beskrevet og sproget virker også forholdsvis troværdigt.
Jeg har tidligere blogget omkring endpoint beskyttelse i et Microsoft miljø.
http://blog.jravn.dk/?p=2401

Så jeg tænkte, at jeg ville prøve en række af disse tidligere beskrevet sikkerhedslag af i praksis, mod Serpent Ransomware.
Første lag jeg testede med, var den Microsoft service som hedder Office 365 Advanced Threat Protection (Office 365 ATP).
https://products.office.com/en/exchange/online-email-threat-protection

Jeg sendte således mailen fra min hotmail account til min test Office 365 mail, hvor jeg havde Office 365 Advanced Threat Protection aktiveret.

I mailen kan man se, at Office 365 ATP har erstattet det originale link med Safe Links.

Når jeg klikker på linket, bliver jeg gjort opmærksom på, at jeg ikke kan komme videre.
Jeg kan heller ikke klikke på linket tomrer…Jeg kan kun vælge “Luk denne side”

Da næsten alt ransomware kommer ind til brugeren via mail, mener jeg denne Office 365 ATP service er rigtig vigtig, at have implementeret i sin Enterprise i dag.
Vi antager nu at mailen var sluppet forbi Office 365 ATP eller virksomheden ikke har fået implementeret denne service endnu.
Jeg åbner den samme mail fra min Hotmail. Læg mærke til at linket ikke har ændret sig.

Jeg klikker på linket og åbner et Word dokument.

Jeg klikker på “Aktiver redigering”. Men Makroen bliver blokeret, fordi jeg har aktiveret endnu et sikkerhedslag, som i Office 2016, blokerer for makroer i Office dokumenter, som kommer fra internettet.
https://blogs.technet.microsoft.com/mmpc/2016/03/22/new-feature-in-office-2016-can-block-macros-and-help-prevent-infection/

Hvis denne sikkerhedspolitik ikke var sat, havde jeg downloadet og fået kørt Serpent Ransomwaren.

Som yderligere test, de-aktiverede jeg makro blokeringen i min Office 2016 og kørte Word dokumentet en gang til.
Jeg var logget på en test PC med Windows 10, hvor brugeren ikke havde lokal admin rettigheder. UAC var sat til max med Always Notify.
Via process explorer kunne jeg se, at den hentede to exe-filer, som blev eksekveret.
Men de fejlede i at lave privilege escalation med UAC bypass via eventvwr.exe.
Dette er også beskrevet i det første link, som omtaler Serpent Ransomware.

Serpent kørte i min test profil og krypterede de test filer jeg havde lavet forinden. Det var typisk i folderne desktop, documents, pictures mfl.

Ved at været logget på med standard bruger og UAC sat til max, kunne Serpent ikke lave privilege escalation og f.eks. kryptere andre brugerprofiler eller eksekvere yderligere malware i systemlaget.
Det er selvfølgelig slemt nok, at den krypterer alle data i user profilen, men de kan forhåbentlig hurtig genskabes igen.
Som den sidste test, loggede jeg på med en admin account og satte UAC til default setting. Her kunne Serpent lave privilege escalation via UAC bypass.

UAC bypass bliver rettet med den nye Windows 10 Creators Update.
http://www.winhelponline.com/blog/microsoft-fixes-eventvwr-exe-uac-bypass-exploit-windows-10-creators-update/

Min test, viste således, at for at opnå god sikkerhed, kræver det, at man implementere flere sikkerhedslag.
Men ingen tvivl om, at Office 365 ATP servicen kan være et effektivt sikkerhedslag mod ransomware, da brugerne ikke får lov at klikke på linket der fører til malware.

Se nedenstående link, for mere info om, hvordan Microsoft følger op på nuværende og fremtidige ransomware trusler/angreb.

Ransomware: a declining nuisance or an evolving menace?
https://blogs.technet.microsoft.com/mmpc/2017/02/14/ransomware-2016-threat-landscape-review/

 

Comments are closed.