At der kommer nye Vira og Malware hver dag er ikke en overraskelse, men udviklingen i Ransomware accelerere med en hastighed de fleste kun havde frygtet. Det nyeste skud på stammen af Malware er en der er døbt Petya.

Petya er en Crypto-ransomware der overskriver MBR og låser hele disken

Den største forskel på Petya op de andre Crypto-ransomware, er at den overskriver MBR ( Master Boot Record) på disken og dermed låse hele disken ned. De fleste andre Crypto-ransomware i dag låser kun enkelte filer.

Petya Screenshot

Petya Screenshot

De fleste gode Antivirus programmer finder denne malware. Trend Micro var den første af de store der fandt den, og har navngivet den “RANSOM_PETYA.A” i deres leksikon.

Sådan bliver du smittet:
I øjeblikket bliver den spredt med mail, som indeholder noget der ligner et link til et CV på Dropbox. Men i virkeligheden er det en EXE fil der afvikles med det samme, og låser din PC ned.

Resultatet:
Er dit udstyr først inficeret, ser du en skærm med instrukser i hvordan du betaler for at få låst din maskine op igen. Betalingen foregår via. Bitcoin og kan derfor ikke spores.

petya betalingsinfo

petya betalingsinfo

Sådan beskyttes en virksomhed:
– Web Security Gateway (Cisco Ironport eller tilsvarende)
– Korrekt Antivirus software (Trendmicro, Symantec eller Bitdefender)

Fik behov for at logge og overvåge en server jeg ikke måtte installere nogen applikation på, så jeg lavede dette lille PowerShell Script jeg gerne vil dele med verden.

Simple Ps Ping

Ide bag kode:
– Overvåg forbindelsen til en host
– Log resultatet i en tekstfil
– Gem logfil navngivet som den server man overvåger (eks. Mailserver01.log)
der senere kan vaskes i et spreadsheet eller importeres i Splunk

For at gøre den nemmere at andvende i dagligdagen, fortæller scriptet hvad den gør og hvor den lægger filen bagefter.

OBS: Husk at enten oprette folderen eller rette stien til logfilen!

Kode:
SimplePsPing.ps1 (txt format)

Citrix StressPrinters – CTX109374
Bruges til at teste om en printerdriver er robust nok til at blive brugt i et setup – både Citrix, RDP og andet. StressPrinters fungere ved at sætte mange samtidige instanser af printjobs i gang på samme tid.
Link: Citrix Support

Citrix Print Detective – CTX116474
Bruges til at identificere printerdrivers versioner og afhængigheder.
Link: Citrix Support

Driver Deleter
Udgivet af Kyocera og kan bruges til at slette gamle printerdrivers og rydde op i reg-databasen, når der skal fjernes gamle drivers. Serveren skal genstartes før ændringerne træder i kraft.
Link: Kyocera Support DL

I de tilfælde der er behov for at sætte tiden på en server op mod en ekstern NTP server, benyttet jeg selv denne kommando:

w32tm /config /update /manualpeerlist:"0.pool.ntp.org,0x8 1.pool.ntp.org,0x8 2.pool.ntp.org,0x8 3.pool.ntp.org,0x8" /syncfromflags:MANUAL

Ofte vælger jeg at sætte de primære DNS servere til også at køre NTP servicen og afvikler scriptet på de servere. Efterfølgende bliver de nævnte DNS server brugt som time-server i det lokale AD.

En klassiker inden for capacity management og daglig drift, er at servere løber tør for plads. Derfor kommer den gamle sætning “rettidig omhu” til sin ret i forbindelse med opsætning af bla. webservere. Med mindre kunden har et specifikt behov for at IIS logfiler skal gemmes, sletter jeg dem hvis de kommer over 180 dage. Det gøres nemmest med et gammeldags .BAT script formateret på følgende måde:

forfiles -p C:\inetpub\logs\LogFiles /s /m *.log -d -180 -c "Cmd /C DEL @File"

Selve kommandoen er ret intuitiv, så den behøver vist ikke mere forklaring.
Ofte er der også temp-foldere og andre filer der med fordel kan vedligeholdes på samme måde. Oftest gemmer jeg .BAT filer i en folder tæt på roden (eks. “c:\batchadmin”) og eksekvere det dagligt via. en scheduled task uden for backup eller anden peak hour.

Skal du måle oppetid via PowerShell, kan det gøres ved at trække tidspunktet for sidste boot ud på denne måde:

PoweShell Input
Get-CimInstance -ClassName win32_operatingsystem | select csname, lastbootuptime

Output:
boottime

Er Remote PowerShell tilgængeligt på dit netværk, kan du få data tilbage fra flere servere på en gang. Dette er koden hvis serverne hedder SRV01 og SRV02
invoke-command -computername SRV01, SRV02 {Get-CimInstance -ClassName win32_operatingsystem | select csname, lastbootuptime}

Hvis man overvåger sin diskkapacitet via en scriptet løsning, kan dette løses gennem PowerShell via denne enkelte linie der lister alle volumes. Scriptet virker ved at fremskaffe informationerne gennem WMI og Get-WmiObject er en PowerShell Cmdlet du vi elske 🙂

PowerShell Input:
get-wmiobject Win32_volume |select Name,Capacity,Freespace

Output:
Diskkapacitet via. powershell

I dagens udgave af Jyllands-Posten er der en artikel der beskriver Udenrigsministeriet blev hacket og det varede 4 måneder inden det blev opdaget. Selve artiklen vil jeg ikke kommentere og detaljerne omking hvordan Udenrigsministeriet blev hacket er klacificeret og det bør overlades til Center for Cybersikkerhed at udtale sig i sagen.

Til gengæld vil jeg forholde mig til den IT-Sikkerheds situation jeg ofte oplever hos kunder. Det gælder både kunder med on premise og cloud løsninger, da der efter min mening er en enkel årsag til situationen; Mangelfuldt beslutningsgrundlag da kompleksitet og trusselsbillede ofte er ugennemskueligt for beslutningstagere.

Eksempel #1 – Ingen Antivirus
Flere gange oplever jeg man bevist udlader at installere antivirus/malware software på serverne, fordi man fejlagtigt er af den overbevisning, en høj sikkerhedspolitik beskytter serverne mod angreb. Kunder virker oprigtigt overrasket når det går op for dem at et sikkeheds-exploit ikke begrænses at et komplekst password, eller at et Zero-day exploit ikke forhindres af en korrekt opdateret server. Er der derfor ikke installeret centralt administreret antivirus software på serverne, ved man ganske enkelt ikke at serveren er inficeret, som i eksemplet med Udenrigsministeriet, hvor det siges at være Center for Cybersikkerhed der slog alarm.

Tidligere var de fleste malwares formål at vælte en kørende server. I dag er fokus ændret til at give adgang til information, da vidensdeling på det sorte marked er en milliard-industri.

Eksempel #2 – Microsoft Antivirus
Et kig på AV-test.org hjemmesiden dokumentere det de fleste IT-konsulenter ofte oplever, at Microsoft Antivirus i er falsk sikkerhed i en flot indpakning. Dårlig antivirus er efter min mening værre end ingen antivirus, da en driftspersonalet fejlagtigt vil tro alt er i den skønneste orden, på trods af at alle servere er inficeret med trojans.
Antivirus test fra AV-test.org
Kilde AV-test.org

Eksempel #3 – Ingen central administration
Antivirus der kun notificere brugeren ved endpoints er kun marginalt bedre end fraværet af central administreret antivirus, da det overlades til enduser at vurdere og advisere IT-ansvarlige.

Anbefaling:
Følgende punkter bør efter min mening være et krav til enhver antivirus-løsning til erhverv:
– Central administration
– Outbreak-control
– Network Threat Protection
– Behavioral analysis

Personligt er Symantec Endpoint Protection mit første valg, ud fra både funktion, drift og pris. Men det er vigtigt at forstå at der ikke findes et perfekt antivirus software. Det drejer sig blot om at finde det der bedst passer til situationen.