Ліки від скриптів

“выигрывает вовсе не тот, кто умеет играть по всем правилам;
выигрывает тот, кто умеет отказаться в нужный момент от всех правил,
навязать игре свои правила, не известные противнику,
а когда понадобится — отказаться и от них..”
Брати Стругацькі, “Град обречённый”

* WSH – клас методів доставки malware, що використовує функціонал Windows Script Host (cscript/wscript)

Скрипти в якості засобу доставки шкідливого коду почали використовувати не вчора і навіть не рік тому (я почав відстежувати WSH ще у 2015му). Не дивлячись на наявність наведених способів боротьби із скриптами, я періодично отримую інформацію про інциденти з ransomware на різних українських підприємствах.

Останнього разу жертвами #troldesh #shade стала велика організація.
Кампанія з темою розсилки “о заказе” триває вже майже рік…
Коли я поцікавився чому не було вжито контрзаходів проти WSH, виявилося що “оце не можемо, а оце не хочемо, а про це не знаємо..”

Я вважаю, що у 19му році втрачати дані і час від Ransomware який зайшов через WSH – це нонсенс.
Нагадаю іще раз з чим ми маємо справу:

Це третя зміна тактики. Спершу були архіви у приєднанні. Потім архіви за посиланням. Тепер додали проміжний PDF.

Схема атаки: email attach .PDF > URL > .ZIP > .JS > GET .EXE > encrypt

Отже якщо з певних причин ви не можете, або не хочете повністю вимкнути WSH або хоча би заблокувати мережевий трафік для wscript/cscript чи посилити фільтрацію Web та Email, ось вам ще один спосіб:

Нам потрібно зробити так, аби жертва (користувач) не змогла клікнути і запустити скрипт на виконання. Скрипт жертва може отримати через пошту (приєднання) або ж через Web (посилання на архів).

Я буду це робити через Access Protection у McAfee ENS.

Спершу потрібно обрати єдиний архіватор для усіх систем. Приклад правила буде із використанням 7zip, але це можна модифікувати під інший додаток.

Єдиний архіватор потрібен для того аби присвоїти йому і тільки йому відкриття/розпаковку архівів різного типу (ZIP, RAR, LZH, 7Z etc):

Якщо ви користуєтеся McAfee VSE/ENS або просто уважно поставилися до моїх порад, тоді при зміні реєстрації типів файлів ви можете отримати помилку (як отримав я, коли готував цей матеріал):

Нічого страшного – нам просто потрібно _тимчасово_ вимкнути вбудоване правило Access protection:

І застосувати прив’язку розширень для усіх користувачів іще раз:

А тепер потрібно створити нове правило Access Protection, яке буде блокувати спробу архіватора записати на диск скриптові типи файлів:

Action: Block + Report

Executables: 

**\7z.exe
**\7zFM.exe
**\7zG.exe

User Names: (не вказуємо конкретні, усі)

subrules > type: File

Operations: Create

Targets:

**\Users\**\*.js
**\Users\**\*.jse
**\Users\**\*.vb
**\Users\**\*.vbs
**\Users\**\*.vbe
**\Users\**\*.ws
**\Users\**\*.wsf
**\Users\**\*.exe

Правило враховує роботу із 7zip, але замість нього можна взяти інший додаток.

Формуємо перелік типів файлів, які заборонено писати на диск процесам архіватора.

Я обрав основні типи WSH, але за бажанням список можна розширити.

Правило створене і активоване. Давайте застосуємо і перевіримо його:

Три архіви: документи, скрипти і запускний файл. Почнемо:

Документи розпаковуються без зауважень. А що буде із скриптами?

Скрипти блокуються згідно логіки правила. А що буде із ЕХЕшником ?

Запис ЕХЕ на диск блокований. Все. Результат досягнуто.

Ми не вимикали WSH. Ми не блокували запуск wscript/cscript.

Ми заборонили архіватору писати (видобувати) на диск скриптові файли.

Сподіваюсь даний спосіб стане у нагоді і вбереже читачів від інцидентів із malware.

Будьте уважні та обережні.

VR