Category Archives: Cybertrusler

Ransomware og Software Restriction Policy

I Maj skrev jeg om Ransomware, hvor jeg lovet at skrive hvilke foldere og ekskluderinger der skal laves. Beskyttelse af  Windows Vista og op efter, laves en ny GPO og oprettes følgende ekskluderinger:

Path (Sti) Security Level Description
%AppData%\*.exe Disallowed Forhindre Cryotolocker eksekverbare filer fra at køre i %AppData%
%AppData%\*\*.exe Disallowed Forhindre virus payloads fra at køre i subfolder i %AppData%
%LocalAppData%\Temp\Rar*\*.exe Disallowed Forhindre udpakket WinRar eksekverbare filer vedhæftet i e-mail at køre i %LocalAppData%
%LocalAppData%\Temp\7z*\*.exe Disallowed Forhindre udpakket 7z eksekverbare filer vedhæftet i e-mail at køre i %LocalAppData%
%LocalAppData%\Temp\wz*\*.exe Disallowed Forhindre udpakket WinZip eksekverbare filer vvedhæftet i e-mail at køre i %LocalAppData%
%LocalAppData%\Temp\*.zip\*.exe Disallowed Forhindre ikke pakket eksekverbare filer vedhæftet i e-mail at køre i %LocalAppData%

 

Ransomware

Jeg skriver dette indlæg på grund af der er markant stigning af ransomware angreb i Danmark. Angrebne er i stor stil rettet mod små og mellemstore firmaer, men i den grad også private. Ransomware kryptere dine filer på harddisken og fileshare, efterlader en besked på din skærm, hvor der står at dine filer er krypteret og at du har begrænset til til at betale et beløb hvis du vil have dekrypteret dine filer igen. Det er en dårlig ide at beltale de kriminelle for så har de en god grund til at forsætte, de tjener penge.

Der er ikke kun Windows computer der er i fare. Så skete det at det føreste ransomware har officielt ramt OSX.

Den nye Petya ransomware overskriver master boot rekord (MBR), det betyder at computeren ikke kan boote. Petya bliver distribueret gennem spam e-mails der er maskerede som jobansøgninger som er rettet direkte mod HR afdelingen. E-mailen har et link til DropBox der indehold selv-udpakkende arkiv fil der er forklædet som ansøgerens CV og et falsk foto. Når arkiv filen bliver downloaded og eksekveret bliver ransomwaren installeret og kryptere master file tabel (MFT). Programmet overskriver computeren’s MBR og vil trigge en kritisk Windows fejl der får computeren til at reboote.

Du sidder sikker og tænker, at der må være noget man kan gøre for at beskytte sin computer mod ransomeware?. Jo der er 6 tips du kan følge og gøre det svære for ransomware at køre på din computer.

  1. Tag jævnligt backup af dine dokumenter, billeder o.s.v. lad vær med at gemme backuppen på computeren. Så du altid kan gendanne dem igen hvis de skulle blive krypteret.
  2. Aktiver ikke makroer. Deaktiver makroer i Office.
  3. Overvej at installere Office Viewer, så kan du se Word og Excel dokumenter uden makroer. Office Viewers supportere ikke makroer.
  4. Opdater, Opdater, Opdater. Malware udnytter ofte Fejl (Bug) i software og programmer.
  5. Undlad at være lokal Administrator på din computer.
  6. Deaktiver Adobe Flash i din Internet browser. Du kan deaktiver og spørg for at aktivere.
  7. Brug Software Restriction Policy https://technet.microsoft.com/en-us/library/bb457006.aspx er til hardcore brugeren. Jeg vil senere skrive mere om hvad for foldere og hvilke ekskluderinger der skal laves.

DDoS Angreb

Digital Attack Map er bygget gennem et samarbejde mellem Google Idéer og Arbor Networks. sitet viser live DDoS angreb rund om i verden, her kan brugerne udforske historieske tendenser og find rapporter om udfald sket på en given dag.

Se Digital Attack Map her.

Heartbleed opdate

Heartbleed, software sårbarhed i hundredtusindvis af web-servere, som gjorde deres indhold åbne for angribere, påvirker også forbruger-enheder, har sikkerhedseksperter advaret.

Hardware, herunder smartphones, routere og kabel tilsluttet bokse er alle potentielt berørte, hvilket udgør en risiko for alt fra datatyveri til angriberne beslaglægger kontrollen over en sårbare enhed.

Netværkstilsluttede enheder ofte køre en grundlæggende web-server for at lade en administrator få adgang online kontrolpanel, I mange tilfælde er disse servere sikret med OpenSSL og deres software vil skal opdateres.

Netværk giganten Cisco har bekræftet, at en række af sine produkter er sårbare, herunder desktop-telefoner, videokonference hardware og VPN-software. De undersøger yderligere 83 produkter til potentielle sårbarheder.

Listen over kompromitterede enheder er enorm,  de fleste af enhederne ikke vil blive lappet, fordi deres brugere ved ikke, hvordan man gør det. Mange af de enheder er fra producenter, som ikke længere frigerver firmware opdateringer ældre enheder.

Brugerne ikke ændre adgangskoder, indtil de er sikre på sårbarheden er blevet rettet. Den bedste måde at være sikker på er at vente på den berørte virksomhed til specifikt at sige, at det er tid til at ændre adgangskoder.

Da nyheden om Heartbleed brød den 6. april har mere end 10.000 hjemmesider tilbagekaldt og genudstedt deres certifikater, hvilket giver en idé om problemets omfang.

Heartbleed

Der har været skrevet meget om Heartbleed i aviser og online medier. Heartbleed, bliver betegnet som en af værste trusler på Internettet i nyre tid. Det siges at National Security Agency (NSA) har kendt til sårbarheden i mindst 2 år, og har bevidst ikke oplyst om sårbarheden, for bevist at udnytte den til overvågning.

Heartbleed, gør det muligt for en hacker at læse en webserver hukommelse, hvilket typisk omfatter den private nøgle, at protokollen bruger til at kryptere trafikken mellem server og en browser.

Sårbarheden, der blev opdaget i OpenSSL i 2011, påvirker alle versioner af open source-implementering af Secure Socket Layer (SSL) og Transport Layer Security (TLS) protokoller. OpenSSL er almindeligt anvendt i web-servere, som den populære open-source Apache, og i cloud-tjenester. OpenSSL projekt har frigivet en patch, der bør installeret hurtigst muligt.

Det næste skridt ville være at ændre SSL-certifikater, der anvendes af serverne, da der ikke er nogen mulighed for at vide, om de er blevet kompromitteret. En angriber der udnytte fejlen kan gøre det uden at efterlade spor.

Nets vurdere , at Heartbleed er gået udenom NemID, og dankortet. Har man en konto på Facebook, Twitter, Yahoo, Tumblr, Dropbox og mange flere hjemmesider. Har man en konto på en hjemmeside der bruger HTTPS, bør der straks skiftes password når hullet er blevet lukket.