Cybersecurity

Come usare Windows Auditing per fermare i CryptoVirus

12 Ottobre 2016

Essere in grado di vedere ciò che gli utenti della rete stanno facendo è fondamentale per la sicurezza di ogni infrastruttura aziendale. Windows, attraverso la sua funzione di Auditing, raggiunge proprio questo scopo.
 
L’Auditing, infatti, è un meccanismo per il monitoraggio di eventi, che ti permette di sapere:

  • quando e su quali postazioni si sono verificati comportamenti sospetti;
  • che cosa hanno innescato dopo la loro esecuzione.

Queste informazioni ti aiutano a monitorare cambiamenti non voluti sui file, ad esempio causati da ransomware come Cryptolocker e le sue declinazioni.
 
Nei mesi scorsi, insieme al sempre eccellente Tullio Cozza di Omninet all’interno di questo webinar sulla prevenzione dei CryptoVirus, abbiamo visto che una tecnica utile (unita ad altre disponibili nella registrazione) consisteva nel controllare il file system, in particolare abilitando sia il servizio FSRM (File Server Resource Manager) sia l’auditing su piattaforma Windows in modo da:

  •  avere segnalazione in tempo reale dell’infezione; 
  • disabilitare il PC o il server colpito da tale infezione in modo automatico, bloccando così la propagazione delle virus sui file in rete.

In questo post vediamo come configurare questa preziosa funzione di auditing su un server, in particolare per il monitoraggio di un file semaforo all’interno di una share di rete, scelto come trappola per il ransomware.
 
Ringrazio subito Tullio Cozza per aver condiviso con noi informazioni tecniche, commenti e suggerimenti.
 

 

ABILITARE WINDOWS AUDITING

  • Creare una nuova GPO (per abilitare l’auditing avanzato degli oggetti
  • Abilitare Audit File System da Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Policy Configuration -> Audit Policies -> Object Access. Aprire Audit File System e mettere la spunta sia su Success che Failure


 

  • Linkare la GPO alla OU dove risiede il file server e aspettare (o forzare) l’aggiornamento delle GPO (basta fare tasto destro sulla OU e seleziona Link en existing GPO).
  • Tasto destro sulla OU e fare Group Policy Update (solo Windows Server 2012 o superiori).

Trattandosi di Computer Config, va poi riavviato il server per rendere effettive le modifiche.

 
 
ABILITARE L’AUDITING SUL FILE COME TRAPPOLA PER CRYPTOLOCKER

Supponiamo di avere una directory aaa_trap all’interno della quale monitorare se il file test.docx viene alterato da CryptoLocker (ti ricordo che tutti i dettagli sono disponibile in questo webinar)

  •  Tasto destro sul file (c:shareaaa_traptest.docx), Properties, Security -> Advanced, Auditing -> Add
  • Selezionare Everyone come Principal, All come Type, lasciare i permessi di default ed escludere dall’auditing gli utenti Administrator, System e qualsiasi altro utente legittimato ad interagire con quel file, impostando NOT member of each e And nella dropdown (evidenziata in gialla al punto 9 della figura seguente)

 
Una volta impostato l’Auditing, creare un’operazione pianificata da agganciare all’evento di Auditing che verrà scritto sul registro:
 
Creare un trigger agganciato all’evento Windows, impostando la seguente query XML personalizzata:
Per la versione testuale della query, clicca qui.

 


 
BLOCCARE INFEZIONE SUI FILE CONDIVISI
 
Come azione eseguiamo uno script Powershell (che disabilita servizio Server e manda un’ email).

Eseguire il programma Powershell
 C:WindowsSystem32WindowsPowerShellv1.0powershell.exe

e come argomento passare lo script con lo switch –noe :
-noe -c “. “C:UsersAdministratorDesktoptest-cryptostop_services.ps1″”
 

Lo script manderà una mail contenente i dettagli della macchina che è stata infettata.
 

CONCLUSIONI
  
Grazie a Windows Auditing, semplicemente usando gli strumenti messi a disposizione da Microsoft, puoi:

  • monitorare ogni modifica avvenuta al file semaforo.
  • disabilitare automaticamente la rete sul server in caso di una modifica sospetta.
  • rendere il tuo server e i suoi file condivisi protetti e (quasi) inviolabili.

Ti faccio notare che nell’esempio presentato è stato scelto un file trappola con un nome particolare, ipotizzando che la Crypto infezione inizi la sua azione di criptazione seguendo un ordine alfabetico sul nome dei file. Ti consiglio quindi di usare più file trappola per proteggere i tuoi share di rete.
 
Per approfondire meglio questo tema, scoprendo sia come proteggere anche i client sia usare una configurazione automatica, ti invito a vedere la registrazione di questo prezioso webinar.

Autore
Alessio Urban
Nasco a Milano nel 1979, mi sono sempre appassionato nel sapere come funzionassero gli oggetti, quindi dopo il liceo scientifico non potevo che finire a studiare Ingegneria.
In particolare ho scelto le telecomunicazioni per illudermi di poter controllare i devices e il loro software, ma in effetti mi sono reso subito conto fosse solo un'illusione avere il controllo di qualcosa in cui ci sia del software che vi gira :-)
Amo lo sport e mi piace fare qualche corsetta durante il weekend e sono un appassionato di piante, in particolare coltivo bonsai.
Mi trovi anche su linkedin, e su facebook anche se il secondo lo uso decisamente meno
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.