จากการกระจายตัวและการเติบโตของ Ransomware ที่เปลี่ยนจากพฤติกรรมที่ติดแล้วชิ่ง กลายเป็นติดแล้วแพร่กระจายของ WannaCry และ Petya ทำให้ทาง Microsoft เองจึงต้องปรับมาตรการป้องกัน ransomware เพิ่มขึ้นใน Windows 10

 

Microsoft มีการปรับเพิ่ม Security Countermeasure ในระดับ Enterprise มากมาย

  • Device Guard สำหรับการบังคับในการตรวจสอบความถูกต้องด้วย policy ต่างๆจนนำไปสู่การอนุญาตให้รันเฉพาะ trusted signed apps เท่านั้น. ทำให้สามารถ block การแพร่กระจายตอนต้นของ Petya ซึ่งมีการใช้งาน untrusted binary​ ได้ และรวมถึงการป้องกันการรัน untrusted DLL, ไม่ว่าจะผ่าน PSEXEC หรือ WMI ก็ตาม
  • Credential Guard เป็น virtualization-based security เพื่อจะแยก LSASS process ออกมา, นั่นทำให้มันถูกป้องกันจากการ dump credential ด้วยเครื่องมืออย่าง Mimikatz tool. รวมถึงยัง protect ข้อมูล credential ของ domain ที่เก็บไว้ใน Windows Credential Store. Access tokens ที่ถูกพบใน memory ยังสามารถเข้าถึงได้โดย Petya แต่สิ่งดังกล่าวมีผลน้อยกว่า mechanism อื่นๆ, และต้องใช้ third-party tools และ processes อื่นๆที่จะเข้าไปดึงจาก memory ขณะที่ Petya ทำงานอยู่.
  • มีการเพิ่มมาตรการให้เกิด exploit ได้น้อยลงปรับเพิ่มมาตรการป้องกันส่วน execute ของ memory ให้รัดกุมมากขึ้น ซึ่งสิ่งต่างๆจะถูกเพิ่มเข้าไป Windows 10 Anniversary และ Creators Update อยู่แล้ว
  • UEFI Secure Boot เป็นมาตรฐานการป้องกันใน hardware เพื่อจะป้องกันส่วนการ boot process และ firmware จากการแก้ไข การป้องกันส่วนนี้จะช่วยหยุดการถูกเข้ารหัสใน disk จาก Petya. เมื่อ Petya’s บังคับให้ reboot, ส่วน Secure Boot จะตรวจจับ boot loader ที่ผิดปกติและป้องกันการรัน, ทำให้ลดความเสียหายและป้องกันการเข้ารหัสในส่วน disk sector ที่จะนำไปสู่การสูญเสียข้อมูล เครื่องที่อยู่ใน state ดังกล่าวจะป้องกันจากการ boot​ และสามารถ recovered ข้อมูลด้วย Windows USB/DVD media ทั่วไปได้.
  • App Locker ใช้สำหรับการป้องกันไฟล์นามสกุลใดๆ หรือไฟล์ใดๆที่เราต้องการป้องกัน สำหรับเครื่องใดๆที่ไม่มี Device Guard เพราะการไม่ถึงระดับที่ hardware requirements กำหนดไว้หรือ OS รุ่นเก่าใดๆที่ไม่รองรับนั่นเอง (e.g. Windows 7).

และส่วนท้ายสุด, administrators ของ OS เก่าๆอย่าง Windows 7 ซึ่งไม่ได้ประโยชน์จาก hardware ใหม่ๆ และ software mitigations, อาจจำเป็นต้องคิดจะทำการ hardened (การปรับปรุง configuration ให้เครื่องปลอดภัยและมีความรัดกุมในการใช้งานมากขึ้น) ระบบแทน ซึ่งจะช่วยให้เกิดกระจายได้อย่างช้าลง การทำ hardened อาจจะส่งผลให้เกิดไม่สามารถใช้ function บางอย่างได้ เช่น file-sharing หรือ remote management และจำเป็นต้องมีการทดสอบอย่างระมัดระวังก่อนนำไปใช้งานจริง deployment.

  • การใช้คำสั่ง firewall ในการ block file-sharing services (SMB) เฉพาะ IP

netsh firewall set service fileandprint

netsh firewall set service RemoteAdmin disable

  • ป้องกันการรันคำสั่งผ่าน PSEXEC

FOR /F “usebackq tokens=2 delims=:” %a IN (sc.exe sdshow scmanager) DO  sc.exe sdset scmanager D:(D;;0x00040002;;;NU)%a

หากต้องการรายละเอียดป้องกันส่วน bootloader เพิ่มเติมแนะนำให้อ่านจาก source ได้เลยครับ

Source:: Microsoft