D
Ransomware – File Screen (FSRM)
1)Prés-requis
2)Installation de FSRM sur votre serveur de fichier
3)Configuration des options de FSRM
4)Configuration de File Screen
5)Autoriser à nouveau l’utilisateur à accéder à ses shares
6)Pour aller plus loin…
6.1 Création d’un honeypot
6.2 Remonter le warning de FSRM en alerte sur notre eMonitoring
6.3 Update auto du File Group Cryptolocker
[paste:font size="5"]ftp://ftp.netika.com/TOOLS/FSRM/Cryptolocker/
-Créer sur le serveur FSRM un répertoire nommé « FSRMScripts » dans « C:\ » - Vous pouvez modifier l’emplacement et/ou le nom de ce dossier mais il faudra modifier les scripts KillUserSession.bat et KillUserSession.ps1).
-Déplacez les scripts dans le dossier FSRMScripts.
[paste:font size="5"]2)Installation de FSRM sur votre serveur de fichier
qLancez « Server Manager » => « Add Roles and Features ».
qCochez « File Server Resource Manager » et installez le rôle.
qRelancez le serveur.
3)Configuration des options de FSRM
qLancez FSRM, clic droit sur « File Server Ressource Manager (Local) » => « Configure Options… »
qDans l’onglet « E-mail » si voulu, vous pouvez configurer l’envoi de notifications vers votre adresse et/ou l’IT interne de votre client.
qFSRM enverra un mail à chaque modification de fichier non souhaitée, cela risque donc de vous envoyer beaucoup de mail en quelques secondes J - L’onglet « Notifications Limits » permet de limiter le nombre de notifications, logs par minute.
4)Configuration de File Screen
qExécutez « FSRM_CreateFSGroup.bat » (en admin) pour créer le groupe « Cryptolocker » avec une première liste d’extensions à monitorer.
qLancez FSRM. Créez une template par exemple nommé « Cryptolocker Template » dans « File Screens Templates ».
qDans l’onglet « Settings » cochez votre file group Cryptolocker et sélectionnez « Passive screening » - Certains Crypto suppriment les fichiers s’ils ne peuvent pas les modifier.
qDans l’onglet « E-mail Message », ajouter votre adresse mail (si vous le souhaitez).
qDans l’onglet « Event Log » cochez « Send warning to event log ».
qDans l’onglet « Command », précisez l’exécution du script « KillUserSession.bat » (qui exécutera le script powershell KillUserSession.ps1 présent dans C:\FSRMScripts) – Le but est d’ajouter un accès refusé sur les répertoires partagés du serveur de fichier uniquement pour l’utilisateur qui exécuterait le Cryptolocker. Les permissions NTFS ne sont donc pas impactées et permet de bloquer l’accès au répertoire courant en quelque secondes.
qAjoutez l’argument « [Source Io Owner] ».
qCochez « Local System ».
qLa modification de L’onglet « Report » n’est pas nécessaire.
qEnregistrez la template par « OK ».
qDans « File Screen » créez un nouveau screen.
qIndiquez le chemin à surveiller, de préférence l’entièreté de votre partition contenant les fichiers utilisateurs (D:\).
qSélectionnez votre template « Cryptolocker Template » précédemment créée.
qLa configuration de votre File Screen sera par défaut identique à votre template, vous pouvez néanmoins l’éditer pour changer par exemple d’adresse mail.
5)Autoriser à nouveau l’utilisateur à accéder à ses shares
Après que l’infection soit under control J, cette commande permet de proprement retirer l’accès refusé de tous les répertoires partagés pour l’utilisateur en question.
Get-SmbShare -Special $false | ForEach-Object { Unblock-SmbShareAccess -Name $_.Name -AccountName ‘login’ -Force }
6)Pour aller plus loin…
6.1 Création d’un Honeypot
Certains Cryptolocker qui attaquent les partages réseaux s’occupent de crypter le 1er dossier de la liste des répertoires partagés avant de descendre au second et ainsi de suite. La création d’un honeypot (piège) comme top folder permet de bloquer l’utilisateur qui écrirait dans ce dossier sans impacter les vrais fichiers.
qCréez (par exemple) le répertoire $honeypot (le dollar passe avant un underscore) dans votre répertoire partagé.
qAttribuez les droits en lecture/écritures pour tous les utilisateurs du domaine.
qCréez un fichier texte dans le but d’alerter vos utilisateurs de ne rien écrire dans ce dossier mais aussi pour avoir un fichier que le Cryptolocker pourra crypter J - Readme.txt par exemple.
qLancez FSRM, dans File Group, créez un nouveau groupe nommé « All Files » avec comme extension *.*
qDans File Screen, créez un nouveau screen et le faire pointer directement vers votre honeypot. Utilisez la template Cryptolocker précédemment créée (voir page 4).
qEditez votre nouveau File Screen, décochez le groupe « Cryptolocker », cochez le groupe « All Files »
qEnregistrez par OK.
qTestez !
N’importe quelle modification de l’extension du fichier présent dans ce dossier ou l’ajout d’un fichier bloquera l’utilisateur de tous les partages réseaux du serveur en question.
6.2 Remonter le warning de FSRM en alerte sur notre eMonitoring
L’idée est d’alerter les membres de l’helpdesk que le client X est sujet à un Cryptolocker.
FSRM écrit un warning event avec l’ID 8215 quand une extension de fichier non autorisée est détectée. Le but est d’indiquer au monitoring de remonter cet évènement en alerte.
qSur l’eMonitoring, éditez votre serveur sur lequel est installé FSRM.
qDans l’onglet « AgentChecks », éditez Application Log « Windows Server (Eventlog Application) »
qCochez « Rules » et ajoutez : 'Warning:SRMSVC:0:8215': alert log;
qEnregistrez par OK.
-Testez !
Ce qui donne par exemple :
6.3 Update auto du File Group Cryptolocker
L’idée est de tenir une liste d’extensions utilisée par les cryptolockers automatiquement à jour. L’administrateur du site JPElectron semble pour l’instant tenir une liste à jour J - Il faudra cependant vérifier de temps en temps si c’est toujours le cas.
Le script powershell « CryptolockerDownloadList.ps1 » récupère la liste d’extensions à bloquer de JPElectron et crée le fichier « CryptolockerUpdate.bat » dans le répertoire C:\FSRMScripts.
qCréez une tâche planifiée, donnez-lui un nom.
qCochez « Run whether user is logged on or not »
qDéfinissez un trigger
qDans Actions, créer une nouvelle action type « start a program ».
qDans le champ « Program/Script, inscrivez » : "C:\Windows\syswow64\Windowspowershell\v1.0\powershell.exe"
qDans « add argument » : -executionpolicy Unrestricted -file "C:\FSRMScripts\RanswomareDownloadList.ps1"
qCréez une deuxième action
qDans le champ « Program/Script, inscrivez » : C:\Scripts\CryptolockerUpdate.bat
qDans « add argument » : le nom de votre File Group (dans la procédure « Cryptolocker »).
Attention cette liste écrasera la précédente, si vous ajoutez des extensions qui ne sont pas dans la liste de JPElectron, elles seront supprimées. Pour ce faire, créez un autre File Group perso que vous ajouterai dans votre File Screen.
-Exécutez la tâche manuellement et confirmer que vous avez bien un fichier nommé CryptolockerUpdate.bat dans C:\FSRMScripts et que votre File Group est aussi bien à jour.
1)Prés-requis
2)Installation de FSRM sur votre serveur de fichier
3)Configuration des options de FSRM
4)Configuration de File Screen
5)Autoriser à nouveau l’utilisateur à accéder à ses shares
6)Pour aller plus loin…
6.1 Création d’un honeypot
6.2 Remonter le warning de FSRM en alerte sur notre eMonitoring
6.3 Update auto du File Group Cryptolocker
[paste:font size="5"]ftp://ftp.netika.com/TOOLS/FSRM/Cryptolocker/
-Créer sur le serveur FSRM un répertoire nommé « FSRMScripts » dans « C:\ » - Vous pouvez modifier l’emplacement et/ou le nom de ce dossier mais il faudra modifier les scripts KillUserSession.bat et KillUserSession.ps1).
-Déplacez les scripts dans le dossier FSRMScripts.
[paste:font size="5"]2)Installation de FSRM sur votre serveur de fichier
qLancez « Server Manager » => « Add Roles and Features ».
qCochez « File Server Resource Manager » et installez le rôle.
qRelancez le serveur.
3)Configuration des options de FSRM
qLancez FSRM, clic droit sur « File Server Ressource Manager (Local) » => « Configure Options… »
qDans l’onglet « E-mail » si voulu, vous pouvez configurer l’envoi de notifications vers votre adresse et/ou l’IT interne de votre client.
qFSRM enverra un mail à chaque modification de fichier non souhaitée, cela risque donc de vous envoyer beaucoup de mail en quelques secondes J - L’onglet « Notifications Limits » permet de limiter le nombre de notifications, logs par minute.
4)Configuration de File Screen
qExécutez « FSRM_CreateFSGroup.bat » (en admin) pour créer le groupe « Cryptolocker » avec une première liste d’extensions à monitorer.
qLancez FSRM. Créez une template par exemple nommé « Cryptolocker Template » dans « File Screens Templates ».
qDans l’onglet « Settings » cochez votre file group Cryptolocker et sélectionnez « Passive screening » - Certains Crypto suppriment les fichiers s’ils ne peuvent pas les modifier.
qDans l’onglet « E-mail Message », ajouter votre adresse mail (si vous le souhaitez).
qDans l’onglet « Event Log » cochez « Send warning to event log ».
qDans l’onglet « Command », précisez l’exécution du script « KillUserSession.bat » (qui exécutera le script powershell KillUserSession.ps1 présent dans C:\FSRMScripts) – Le but est d’ajouter un accès refusé sur les répertoires partagés du serveur de fichier uniquement pour l’utilisateur qui exécuterait le Cryptolocker. Les permissions NTFS ne sont donc pas impactées et permet de bloquer l’accès au répertoire courant en quelque secondes.
qAjoutez l’argument « [Source Io Owner] ».
qCochez « Local System ».
qLa modification de L’onglet « Report » n’est pas nécessaire.
qEnregistrez la template par « OK ».
qDans « File Screen » créez un nouveau screen.
qIndiquez le chemin à surveiller, de préférence l’entièreté de votre partition contenant les fichiers utilisateurs (D:\).
qSélectionnez votre template « Cryptolocker Template » précédemment créée.
qLa configuration de votre File Screen sera par défaut identique à votre template, vous pouvez néanmoins l’éditer pour changer par exemple d’adresse mail.
5)Autoriser à nouveau l’utilisateur à accéder à ses shares
Après que l’infection soit under control J, cette commande permet de proprement retirer l’accès refusé de tous les répertoires partagés pour l’utilisateur en question.
Get-SmbShare -Special $false | ForEach-Object { Unblock-SmbShareAccess -Name $_.Name -AccountName ‘login’ -Force }
6)Pour aller plus loin…
6.1 Création d’un Honeypot
Certains Cryptolocker qui attaquent les partages réseaux s’occupent de crypter le 1er dossier de la liste des répertoires partagés avant de descendre au second et ainsi de suite. La création d’un honeypot (piège) comme top folder permet de bloquer l’utilisateur qui écrirait dans ce dossier sans impacter les vrais fichiers.
qCréez (par exemple) le répertoire $honeypot (le dollar passe avant un underscore) dans votre répertoire partagé.
qAttribuez les droits en lecture/écritures pour tous les utilisateurs du domaine.
qCréez un fichier texte dans le but d’alerter vos utilisateurs de ne rien écrire dans ce dossier mais aussi pour avoir un fichier que le Cryptolocker pourra crypter J - Readme.txt par exemple.
qLancez FSRM, dans File Group, créez un nouveau groupe nommé « All Files » avec comme extension *.*
qDans File Screen, créez un nouveau screen et le faire pointer directement vers votre honeypot. Utilisez la template Cryptolocker précédemment créée (voir page 4).
qEditez votre nouveau File Screen, décochez le groupe « Cryptolocker », cochez le groupe « All Files »
qEnregistrez par OK.
qTestez !
N’importe quelle modification de l’extension du fichier présent dans ce dossier ou l’ajout d’un fichier bloquera l’utilisateur de tous les partages réseaux du serveur en question.
6.2 Remonter le warning de FSRM en alerte sur notre eMonitoring
L’idée est d’alerter les membres de l’helpdesk que le client X est sujet à un Cryptolocker.
FSRM écrit un warning event avec l’ID 8215 quand une extension de fichier non autorisée est détectée. Le but est d’indiquer au monitoring de remonter cet évènement en alerte.
qSur l’eMonitoring, éditez votre serveur sur lequel est installé FSRM.
qDans l’onglet « AgentChecks », éditez Application Log « Windows Server (Eventlog Application) »
qCochez « Rules » et ajoutez : 'Warning:SRMSVC:0:8215': alert log;
qEnregistrez par OK.
-Testez !
Ce qui donne par exemple :
6.3 Update auto du File Group Cryptolocker
L’idée est de tenir une liste d’extensions utilisée par les cryptolockers automatiquement à jour. L’administrateur du site JPElectron semble pour l’instant tenir une liste à jour J - Il faudra cependant vérifier de temps en temps si c’est toujours le cas.
Le script powershell « CryptolockerDownloadList.ps1 » récupère la liste d’extensions à bloquer de JPElectron et crée le fichier « CryptolockerUpdate.bat » dans le répertoire C:\FSRMScripts.
qCréez une tâche planifiée, donnez-lui un nom.
qCochez « Run whether user is logged on or not »
qDéfinissez un trigger
qDans Actions, créer une nouvelle action type « start a program ».
qDans le champ « Program/Script, inscrivez » : "C:\Windows\syswow64\Windowspowershell\v1.0\powershell.exe"
qDans « add argument » : -executionpolicy Unrestricted -file "C:\FSRMScripts\RanswomareDownloadList.ps1"
qCréez une deuxième action
qDans le champ « Program/Script, inscrivez » : C:\Scripts\CryptolockerUpdate.bat
qDans « add argument » : le nom de votre File Group (dans la procédure « Cryptolocker »).
Attention cette liste écrasera la précédente, si vous ajoutez des extensions qui ne sont pas dans la liste de JPElectron, elles seront supprimées. Pour ce faire, créez un autre File Group perso que vous ajouterai dans votre File Screen.
-Exécutez la tâche manuellement et confirmer que vous avez bien un fichier nommé CryptolockerUpdate.bat dans C:\FSRMScripts et que votre File Group est aussi bien à jour.