Announcement

Collapse
No announcement yet.

Policy von Symantec für ADC gegen Ransomware

Collapse
X
  • Filter
  • Time
  • Show
Clear All
new posts

  • Policy von Symantec für ADC gegen Ransomware

    Symantec hat eine Regel für die „Application and Device Control“ als weiteren Schutz gegen Ransomware/Malware herausgegeben.

    Wie diese Regel im Kern aussieht und was sie bewirkt, zeige ich kurz in diesem Beitrag.


    Die Regel verbietet Programmen wie Outlook, Word, Excel, Adobe PDF Reader etc. Unterprozesse zu starten, wie z.B. die Command Shell oder die Powershell von Windows.

    In den wenigsten Fällen wird dies gewünscht sein, daher ist das Blockieren dieser Möglichkeit ein guter Ansatz.

    1.jpg




    An dieser Stelle der Regel wird definiert für welche Prozesse das blockieren/beenden von Unterprozessen gilt.

    Das hinzufügen weiterer Prozesse ist an dieser Stelle leicht möglich.



    2.jpg




    Im nächsten Schritt wird ausgewählt welche Unterprozesse vor einem Zugriff geschützt werden sollen.

    In diesem Beispiel die cmd.exe und die powershell.exe.



    3.jpg




    Zuletzt wird noch ausgewählt, ob der User über den Vorfall informiert wird und was mit den Prozessen passiert.

    In diesem Beispiel werden die Prozesse beendet und der User informiert.



    4.jpg




    Um einen Angriffsversuch mit einem manipulierten Worddokument zu simulieren kann man sich einfach ein Dokument mit folgendem Macro erstellen.



    5.jpg




    Ist die Regel aktiviert und einer Gruppe zugewiesen, sollte sich bei der Ausführung der Datei,
    SEP melden und auf den Angriff hinweisen sowie Word inklusive Unterprozesse beenden.


    Wie immer gilt, diese Regeln vorher in kleinen Gruppen testen, bevor Sie produktiv eingesetzt werden.


    Die Regel gibt es hier als Download




    Last edited by rubiks; 13.12.2016, 09:05.

  • #2
    Ein Bundle mit weiteren Regeln gegen Ransomware von Symantec, inklusive der im Beitrag gezeigten, gibt es hier als Download.

    Comment


    • #3
      Update der Policy für die Endungen .zzzzz, .zeptro, aesir.


      http://www.heise.de/newsticker/meldu...m-3506049.html


      https://www.heise.de/security/meldun...g-3493965.html

      Comment


      • #4
        Eine Richtlinie wie die oben aufgeführte kann unter umständen das Ausbrechen der Ransomware Goldeneye verhindern/erschweren:

        https://www.heise.de/security/meldun...t-3561396.html

        https://www.heise.de/security/meldun...n-3562281.html

        Comment


        • #5
          Eine sehr aktuell gehaltene Liste mit aktuellen Ransomware Extensions finden Sie unter folgendem Link:

          https://fsrm.experiant.ca/

          Comment


          • #6
            Hallo, wie aktuell ist dieser threat noch?

            Comment


            • #7
              Hallo Segelflieger,

              es lohnt sich noch immer diese Regel als zusätzlichen Schutz zu implementieren.

              Da Outlook, Word, Excel, Adobe PDF Reader etc. in den wenigsten Fällen Unterprozesse wie Powershell oder die Commandline starten müssen.

              Comment

              Working...
              X