Come usare Windows Auditing per fermare i CryptoVirus


Essere in grado di vedere ciò che gli utenti della rete stanno facendo è fondamentale per la sicurezza di ogni infrastruttura aziendale. Windows, attraverso la sua funzione di Auditing, raggiunge proprio questo scopo.

L’Auditing, infatti, è un meccanismo per il monitoraggio di eventi, che ti permette di sapere:

  • quando e su quali postazioni si sono verificati comportamenti sospetti;
  • che cosa hanno innescato dopo la loro esecuzione.

Queste informazioni ti aiutano a monitorare cambiamenti non voluti sui file, ad esempio causati da ransomware come Cryptolocker e le sue declinazioni.

Una tecnica utile consiste nel controllare il file system, in particolare abilitando sia il servizio FSRM (File Server Resource Manager) sia l’auditing su piattaforma Windows in modo da:

  •  avere segnalazione in tempo reale dell’infezione;
  • disabilitare il PC o il server colpito da tale infezione in modo automatico, bloccando così la propagazione delle virus sui file in rete.

In questo post vediamo come configurare questa preziosa funzione di auditing su un server, in particolare per il monitoraggio di un file semaforo all’interno di una share di rete, scelto come trappola per il ransomware.

ABILITARE WINDOWS AUDITING

  • Creare una nuova GPO (per abilitare l’auditing avanzato degli oggetti
  • Abilitare Audit File System da Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Policy Configuration -> Audit Policies -> Object Access. Aprire Audit File System e mettere la spunta sia su Success che Failure.

  • Linkare la GPO alla OU dove risiede il file server e aspettare (o forzare) l’aggiornamento delle GPO (basta fare tasto destro sulla OU e seleziona Link en existing GPO).
  • Tasto destro sulla OU e fare Group Policy Update (solo Windows Server 2012 o superiori).

Trattandosi di Computer Config, va poi riavviato il server per rendere effettive le modifiche.

ABILITARE L’AUDITING SUL FILE COME TRAPPOLA PER CRYPTOLOCKER

Supponiamo di avere una directory aaa_trap all’interno della quale monitorare se il file test.docx viene alterato da CryptoLocker

  •  Tasto destro sul file (c:\share\aaa_trap\test.docx), Properties, Security -> Advanced,Auditing -> Add
  • Selezionare Everyone come Principal, All come Type, lasciare i permessi di default ed escludere dall’auditing gli utenti Administrator, System e qualsiasi altro utente legittimato ad interagire con quel file, impostando NOT member of each e And nella dropdown (evidenziata in gialla al punto 9 della figura seguente)
Una volta impostato l’Auditing, creare un’operazione pianificata da agganciare all’evento di Auditing che verrà scritto sul registro:
Creare un trigger agganciato all’evento Windows, impostando la seguente query XML personalizzata:
<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4656)]] and
*[EventData[Data[@Name='ObjectName'] and (Data='C:\SHARE\aaa_trap\test.docx')]]</Select>
  </Query>
</QueryList>
BLOCCARE INFEZIONE SUI FILE CONDIVISICome azione eseguiamo uno script Powershell (che disabilita servizio Server e manda un’ email).

Eseguire il programma Powershell
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

e come argomento passare lo script con lo switch –noe :
-noe -c “. \”C:\Users\Administrator\Desktop\test-crypto\stop_services.ps1″”

Lo script manderà una mail contenente i dettagli della macchina che è stata infettata.

CONCLUSIONI

Grazie a Windows Auditing, semplicemente usando gli strumenti messi a disposizione da Microsoft, puoi:

  • monitorare ogni modifica avvenuta al file semaforo.
  • disabilitare automaticamente la rete sul server in caso di una modifica sospetta.
  • rendere il tuo server e i suoi file condivisi protetti e (quasi) inviolabili.

Ti faccio notare che nell’esempio presentato è stato scelto un file trappola con un nome particolare, ipotizzando che la Crypto infezione inizi la sua azione di criptazione seguendo un ordine alfabetico sul nome dei file. Ti consiglio quindi di usare più file trappola per proteggere i tuoi share di rete.

Questa voce è stata pubblicata in Virus. Contrassegna il permalink.