Windows Script Host або як перестати боятися скриптів

Всім привіт.
Останнім часом почастішали спроби доставки ransomware та троянського шкідливого коду через приманки у вигляді скриптів (.js*, .vbs, .wsf)
І хоча такий підхід абсолютно не новий (перший раз мені JS потрапив до рук 05/11/2015) але люди чомусь досі клікають і запускають, тому опишу прості прямолінійні варіанти як можна убезпечити організацію від зараження через цей механізм. Але давайте про все по порядку.
Нижче ви можете бачити зразки фішингових листів що ілюструють два типових способи доставки: приєднання та посилання:
Наша команда не одноразово наголошувала про необхідність блокування таких файлів по каналам web та email а також заборону їх створення у %AppData%.
Для тих, у кого поки немає комплексного захисту із білими списками та пісочницею, а також для тих, хто ігнорує застосування правил Access Protection у VSE/ENS пропоную на вибір два простих методи захисту від зараження через скрипти:
#1 Блокування доступу до мережі для процесу WScript
cmd від імені Адміністратора

netsh advfirewall firewall add rule name="_BLK_WScript" dir=out action=block program="C:\Windows\System32\wscript.exe"

* варто зазначити, що для повного захисту потрібно також створити схоже правило для консольного процесу cscript.exe
Результат роботи правила – при спробі запустити скрипт-приманку користувач буде отримувати помилку, а основна частина не буде завантажена:
#2 Деактивація механізму обробки скриптів
regedit від імені Адміністратора
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
Створити параметр типу “DWORD” з іменем “Enabled” і значенням “0
Результат роботи цього методу проілюстровано на знімку екрану вище – при спробі запуску будь якої скриптової приманки користувач отримуватиме помилку.
PS
Важливо зазначити, що дані контрзаходи базуються на вбудованих можливостях ОС і працюють одразу без перезавантаження.
І так, я в курсі, що такий підхід може спричинити проблеми в роботі програм, які залежать від скриптів, але в більшості випадків пересічний користувач може жити з виключеним WSH.
Використання описаних вище способів може бути тимчасово припинено у разі необхідності.
Але варто усвідомлювати, що навіть застосування одного із цих методів не є повноцінним захистом від сучасних масових та цільових атак.
Варто міркувати над впровадженням хочаби Access Protection або ж повного комплексу MAR, ATP =DAC + ATD
Будьте уважні та обережні.
VR
Advertisements

Tags: , , , , , , , , , ,

Trackbacks / Pingbacks

  1. fb CDN as malware distribution vector | Слава Україні — Героям Слава! - 04/09/2017
  2. IOC_Adwind_050917 | Слава Україні — Героям Слава! - 06/09/2017
  3. IOC_Ransom_troldesh_050917 | Слава Україні — Героям Слава! - 07/09/2017
  4. IOC_ransom_110917 | Слава Україні — Героям Слава! - 12/09/2017
  5. IOC_18Cerber-19Smokeloader | Слава Україні — Героям Слава! - 19/09/2017
  6. IOC_troldesh_ransom_220917 | Слава Україні — Героям Слава! - 22/09/2017
  7. IOC_Locky_220917 | Слава Україні — Героям Слава! - 22/09/2017
  8. IOC_vbs_asorti_280917 | Слава Україні — Героям Слава! - 29/09/2017
  9. IOC_Locky_041017 | Слава Україні — Героям Слава! - 04/10/2017
  10. IOC_Locky_05-061017 | Слава Україні — Героям Слава! - 06/10/2017
  11. IOC_smokeldr_111017 | Слава Україні — Героям Слава! - 11/10/2017
  12. IOC_vbs_asorti_111017 | Слава Україні — Героям Слава! - 12/10/2017
  13. IOC_Adwind_121017 | Слава Україні — Героям Слава! - 13/10/2017
  14. IOC_smokeldr_171017 | Слава Україні — Героям Слава! - 18/10/2017
  15. Еволюція скриптів | Слава Україні — Героям Слава! - 18/10/2017
  16. MS Office DDE як елемент доставки ШПЗ | Слава Україні — Героям Слава! - 20/10/2017
  17. AP vs DDE & macros | Слава Україні — Героям Слава! - 30/10/2017
  18. DDE_Locky_311017 | Слава Україні — Героям Слава! - 31/10/2017
  19. OLE(ps) замість DDE | Слава Україні — Героям Слава! - 02/11/2017
  20. %random%.doc > OLE(ps) > wera4.exe | Слава Україні — Героям Слава! - 07/11/2017
  21. IOC_zbot(RTF.OLE.JS)_021117 | Слава Україні — Героям Слава! - 09/11/2017
  22. IOC_smokeldr_121117_ДСНС_gov.ua | Слава Україні — Героям Слава! - 14/11/2017
  23. IOC_Scarab_231117 | Слава Україні — Героям Слава! - 27/11/2017
  24. IOC_trickbot_131217 | Слава Україні — Героям Слава! - 14/12/2017
  25. IOC_GlobeImposter_211217 | Слава Україні — Героям Слава! - 22/12/2017
  26. IOC_smokeldr_300118 | Слава Україні — Героям Слава! - 01/02/2018
  27. IOC_smokeldr_060218 | Слава Україні — Героям Слава! - 07/02/2018
  28. IOC_Adwind_070218 | Слава Україні — Героям Слава! - 07/02/2018
  29. IOC_pdf>doc_0218 | Слава Україні — Героям Слава! - 10/02/2018
  30. IOC_smokeldr_150218 | Слава Україні — Героям Слава! - 15/02/2018
  31. IOC_sitrof_smokeldr_230218 | Слава Україні — Героям Слава! - 23/02/2018
  32. IOC_pony_270218 | Слава Україні — Героям Слава! - 28/02/2018
  33. IOC_lokibot_panda_010318 | Слава Україні — Героям Слава! - 03/03/2018
  34. IOC_LokiBot_130318 | Слава Україні — Героям Слава! - 13/03/2018
  35. IOC_lokibot_140318 | Слава Україні — Героям Слава! - 15/03/2018
  36. IOC_chthonic_160318 | Слава Україні — Героям Слава! - 20/03/2018
  37. IOC_ursnif_210318 | Слава Україні — Героям Слава! - 22/03/2018
  38. IOC_trickbot_290318 | Слава Україні — Героям Слава! - 29/03/2018
  39. IOC_HawkEye_110418 | Слава Україні — Героям Слава! - 12/04/2018
  40. IOC_NetWire_RAT_250418 | Слава Україні — Героям Слава! - 25/04/2018
  41. IOC_Pony_030518 | Слава Україні — Героям Слава! - 04/05/2018
  42. IOC_Adwind_100518 | Слава Україні — Героям Слава! - 11/05/2018
  43. IOC_LokiBot_110518 | Слава Україні — Героям Слава! - 11/05/2018
  44. IOC_FlawedAmmyyRAT_250518 | Слава Україні — Героям Слава! - 07/06/2018
  45. IOC_FlawedAmmyyRAT_070618 | Слава Україні — Героям Слава! - 07/06/2018
  46. IOC_Trickbot_110618 | Слава Україні — Героям Слава! - 17/06/2018
  47. IOC_18-8174_180618 | Слава Україні — Героям Слава! - 19/06/2018
  48. IOC_Trickbot_040718 | Слава Україні — Героям Слава! - 05/07/2018
  49. IOC_lzh_190718 | Слава Україні — Героям Слава! - 19/07/2018
  50. IOC_doc_rtf11882_190718 | Слава Україні — Героям Слава! - 20/07/2018
  51. IOC_digest_12_2018 | Слава Україні — Героям Слава! - 30/01/2019
  52. подробности заказа | Слава Україні — Героям Слава! - 31/01/2019
  53. IOC_digest_01_2019 | Слава Україні — Героям Слава! - 10/02/2019
  54. IOC_digest_02_2019 | Слава Україні — Героям Слава! - 10/04/2019
  55. IOC_digest_03_2019 | Слава Україні — Героям Слава! - 10/04/2019

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: