Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Blokkade op uitvoeren installaties vanuit %AppData%
21-07-2016, 23:50 door Anoniem, 7 reacties
Beste lezer,
Deze week ben ik tweemaal verrast door exe files in .\AppData\Roaming en AppData\Local.
Gelukkig gaf ZoneAlarm een melding voor toestemming outbound traffic, anders had ik het niet geweten.
(NetBar.exe & AbraCadaBra_2105.exe)
MalwareBytes AntiMalware had niets gedetecteerd, ook niet tijdens scan terwijl NetBar.exe actief was.
Iets wat ik niet gewend ben van MBAM.
De twee .exe files heb ik inmiddels verwijdert, maar ik weet dat er een mogelijkheid is om bijvoorbeeld deze extensies niet te laten uitvoeren vanuit een bepaalde directory middels Group Policy Software Restriction.
Achteraf gezien even moeten uploaden naar virustotal, maar nu te laat :)
Echter, zoals ik het zie zitten daar wat haken en ogen aan m.b.t. het draaien van legitieme software zoals bijvoorbeeld TeamSpeak, Adobe products, etc.
Het handmatig toevoegen van de Group Policy Software Restriction is nogal een klus daar ik het ook op meerdere Pc's wil bewerkstelligen.
Google bied mij helaas geen soelaas, ik vind namelijk enkel een handmatige fix.
TL/DR: Heeft / kent iemand (Windows) software waarmee ik gemakkelijk het uitvoeren van .exe bestanden blokkeer in %appdata%, bij voorkeur met whitelisting optie?
Deze week ben ik tweemaal verrast door exe files in .\AppData\Roaming en AppData\Local.
Gelukkig gaf ZoneAlarm een melding voor toestemming outbound traffic, anders had ik het niet geweten.
(NetBar.exe & AbraCadaBra_2105.exe)
MalwareBytes AntiMalware had niets gedetecteerd, ook niet tijdens scan terwijl NetBar.exe actief was.
Iets wat ik niet gewend ben van MBAM.
De twee .exe files heb ik inmiddels verwijdert, maar ik weet dat er een mogelijkheid is om bijvoorbeeld deze extensies niet te laten uitvoeren vanuit een bepaalde directory middels Group Policy Software Restriction.
Achteraf gezien even moeten uploaden naar virustotal, maar nu te laat :)
Echter, zoals ik het zie zitten daar wat haken en ogen aan m.b.t. het draaien van legitieme software zoals bijvoorbeeld TeamSpeak, Adobe products, etc.
Het handmatig toevoegen van de Group Policy Software Restriction is nogal een klus daar ik het ook op meerdere Pc's wil bewerkstelligen.
Google bied mij helaas geen soelaas, ik vind namelijk enkel een handmatige fix.
TL/DR: Heeft / kent iemand (Windows) software waarmee ik gemakkelijk het uitvoeren van .exe bestanden blokkeer in %appdata%, bij voorkeur met whitelisting optie?
Reacties (7)
Cryptoprevent doet precies wat jij wilt:
- Blokkeren van applicaties in de betreffende (en nog andere riskante) mappen
- Blokkeren van uitvoering van bestanden zoals met extensie .pdf.exe
- Uitzonderingenlijst voor door jou wél gewenste applicaties's
Bij installatie ervan ontdekt het programma zelf welke applicaties er al in die mappen staan en vraagt je om toestemming om die niet te blokkeren. Handmatig kun je dat later nog wijzigen.
Het programma is freeware. De enige restrictie aan de freeware versie is dat je niet zelf filters (zoals *.pdf.exe) kunt samenstellen, dat kan alleen in de betaalde versie.
Het programma wordt na installatie en keuze van whitelist verder niet op de achtergrond uitgevoerd of gestart. Het enige dat gebeurt is het wijzigen van de Group Policy, dus registry waardes. Die je mbv hetzelfde programma eventueel weer in originele stand kunt terugzetten. (Hoofdmenu, remove all protections).
Originele bron:
https://www.foolishit.com/cryptoprevent-malware-prevention/
- Blokkeren van applicaties in de betreffende (en nog andere riskante) mappen
- Blokkeren van uitvoering van bestanden zoals met extensie .pdf.exe
- Uitzonderingenlijst voor door jou wél gewenste applicaties's
Bij installatie ervan ontdekt het programma zelf welke applicaties er al in die mappen staan en vraagt je om toestemming om die niet te blokkeren. Handmatig kun je dat later nog wijzigen.
Het programma is freeware. De enige restrictie aan de freeware versie is dat je niet zelf filters (zoals *.pdf.exe) kunt samenstellen, dat kan alleen in de betaalde versie.
Het programma wordt na installatie en keuze van whitelist verder niet op de achtergrond uitgevoerd of gestart. Het enige dat gebeurt is het wijzigen van de Group Policy, dus registry waardes. Die je mbv hetzelfde programma eventueel weer in originele stand kunt terugzetten. (Hoofdmenu, remove all protections).
Originele bron:
https://www.foolishit.com/cryptoprevent-malware-prevention/
Beste anoniem (10:02),
Dit maakt mijn digitaal leven weer een stukje veiliger.
Waarvoor mijn ware dank.
M.v.g,
X0L0X (Topicstarter)
Dit maakt mijn digitaal leven weer een stukje veiliger.
Waarvoor mijn ware dank.
M.v.g,
X0L0X (Topicstarter)
23-07-2016, 00:14 door
denii
Beste X0L0X,
Je kunt het eenvoudig met Applocker (microsoft product) instellen (standaard aanwezig binnen je group policy).
Nog mooier is dat je naast folders ook nog obv vendor of file hash kunt white-listen
Je kunt het eenvoudig met Applocker (microsoft product) instellen (standaard aanwezig binnen je group policy).
Nog mooier is dat je naast folders ook nog obv vendor of file hash kunt white-listen
De home versies hebben geen Group Policy, dus daar gaat het zonder meer al niet op die manier.
Bovendien is het best een hele klus om de juiste instellingen te verkrijgen.
Je moet toch echt wel weten welke mappen en extensies er geblokkeerd moeten worden.
Zo niet dan heb je er niets aan omdat riskante mappen dan niet beveiligd zijn zonder dat je er weet van hebt.
Group policy is meer iets voor professionals op Security gebied, die bekend zijn met de locaties in een PC waarr de risico's schuilen. Niets voor dagelijkse PC-gebruikers.
Dat hierboven genoemde programmaatje maakt het juist makkelijker, dus waarom niet?
Bovendien is het best een hele klus om de juiste instellingen te verkrijgen.
Je moet toch echt wel weten welke mappen en extensies er geblokkeerd moeten worden.
Zo niet dan heb je er niets aan omdat riskante mappen dan niet beveiligd zijn zonder dat je er weet van hebt.
Group policy is meer iets voor professionals op Security gebied, die bekend zijn met de locaties in een PC waarr de risico's schuilen. Niets voor dagelijkse PC-gebruikers.
Dat hierboven genoemde programmaatje maakt het juist makkelijker, dus waarom niet?
Thanks voor de heads up Denii,
Echter, ik moet toegeven dat ik Cryptoprevent extreem handig vind. Dit is echt een tool waar je met een paar klikken veel instelt i.p.v. het handmatig aanmaken van regels zoals in applocker.
M.v.g,
X0L0X
Echter, ik moet toegeven dat ik Cryptoprevent extreem handig vind. Dit is echt een tool waar je met een paar klikken veel instelt i.p.v. het handmatig aanmaken van regels zoals in applocker.
M.v.g,
X0L0X
Door denii: Beste X0L0X,
Je kunt het eenvoudig met Applocker (microsoft product) instellen (standaard aanwezig binnen je group policy).
Nog mooier is dat je naast folders ook nog obv vendor of file hash kunt white-listen
Je kunt het eenvoudig met Applocker (microsoft product) instellen (standaard aanwezig binnen je group policy).
Nog mooier is dat je naast folders ook nog obv vendor of file hash kunt white-listen
Applocker is alleen voor enterprise versies van windows.
23-07-2016, 13:43 door
Spiff has left the building
Door Anoniem, 11:32 uur:
Applocker is alleen voor enterprise versies van windows.
Voor de volledigheid: AppLocker is tevens beschikbaar in Windows 7 Ulitmate, en in Windows 10 Education.Applocker is alleen voor enterprise versies van windows.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.