WannaCry

Ryuk

DarkSide (hacking group)

<p>Stellt sicher, dass die Domäne Härtungsmaßnahmen zum Schutz gegen Ransomware implementiert hat.</p>


<p>Ransomware ist die Cyberdrohung, die weltweit aktuell die meisten Störungen verursacht. Diese Bedrohung betrifft nahezu alle Branchen und hat mehrere zugrunde liegende Ursachen, die von den Sicherheitsteams bei ihren Abwehrstrategien alle zu berücksichtigen sind.</p>


Unzureichende Härtung gegen Ransomware

Die zum Konfigurieren der Regelerzwingung ausführbarer AppLocker-Dateien verwendeten Parameter werden in der Umgebung nicht verwendet.

Fehlendes GPO zum Konfigurieren der Regelerzwingung ausführbarer AppLocker-Dateien

Die zum Konfigurieren der Regelerzwingung des AppLocker-Skripts verwendeten Parameter werden in der Umgebung nicht verwendet.

Fehlendes GPO zum Konfigurieren der Regelerzwingung des AppLocker-Skripts

Die zum Konfigurieren von Standard-Dateizuordnungen (OpenWith) verwendeten Parameter für gefährliche Erweiterungen werden in der Umgebung nicht verwendet.

Fehlendes GPO zum Konfigurieren von Standard-Dateizuordnungen (OpenWith) für gefährliche Erweiterungen

Die zum Konfigurieren der Standarddeaktivierung von VBA (Makros) verwendeten Parameter, die sich auf alle Office-Anwendungen auswirken, werden nicht in der Umgebung verwendet.

Fehlendes GPO zum Konfigurieren der Standarddeaktivierung von VBA (Makros), die sich auf alle Office-Anwendungen auswirkt

Die zum Konfigurieren einer starken PowerShell-Ausführungsrichtlinie verwendeten Parameter werden in der Umgebung nicht verwendet.

Fehlendes GPO zum Konfigurieren einer starken PowerShell-Ausführungsrichtlinie

Die zum Konfigurieren der Deaktivierung von WSH verwendeten Parameter werden in der Umgebung nicht verwendet.

Fehlendes GPO zum Konfigurieren der Deaktivierung von WSH

Die zum Konfigurieren von Standard-Dateizuordnungen (OpenWith) verwendeten Parameter für gefährliche Erweiterungen stimmen nicht mit dem erwarteten Wert überein.

Unsichere Konfiguration gefährlicher Dateizuordnungen

Die zum Konfigurieren der Standarddeaktivierung von VBA (Makros) verwendeten Parameter, die sich auf alle Office-Anwendungen auswirken, stimmen nicht mit dem erwarteten Wert überein.

Unsichere Konfiguration der Standarddeaktivierung von VBA (Makros), die sich auf alle Office-Anwendungen auswirkt

Die zum Konfigurieren der PowerShell-Ausführungsrichtlinie verwendeten Parameter stimmen nicht mit dem erwarteten Wert überein.

Unsichere Konfiguration der PowerShell-Ausführungsrichtlinie

Die zum Konfigurieren der WSH verwendeten Parameter stimmen nicht mit dem erwarteten Wert überein.

Unsichere Konfiguration der WSH-Deaktivierung

Die zum Konfigurieren der AppLocker-Regelerzwingung verwendeten Parameter stimmen nicht mit dem erwarteten Wert überein.

Unsichere Konfiguration der AppLocker-Regelerzwingung

PowerShell Constrained Language Mode(CLM) wird per Umgebungsvariable erzwungen. Das wird von Microsoft nicht empfohlen (weitere Einzelheiten finden Sie in der IoE-Beschreibung). Diese Konfiguration ist gefährlich, weil ein Angreifer problemlos die Umgebungsvariable ändern kann, um diese Erzwingung des eingeschränkten Sprachmodus zu entfernen.

Unsichere Konfiguration von PowerShell Constrained Language Mode (CLM)

Die Standard-Dateizuordnungen für die Einstellungen gefährlicher Erweiterungen werden nicht auf alle Container angewendet, die Benutzer enthalten.

Sichere Konfiguration gefährlicher Dateizuordnungen wird nicht auf alle Benutzer angewendet

Die Konfiguration der Standarddeaktivierung von VBA (Makros), die sich auf alle Office-Anwendungen auswirkt, ist nicht für alle Container erfolgt, die Computer enthalten.

Die sichere Konfiguration der Standarddeaktivierung von VBA (Makros) wird nicht auf alle Computer angewendet.

Die Einstellung der PowerShell-Ausführungsrichtlinie wird nicht für alle Container erzwungen, die Computer enthalten.

Sichere Konfiguration der PowerShell-Ausführungsrichtlinie wird nicht auf alle Computer angewendet

Die Deaktivierung von WSH wird nicht für alle Container erzwungen, die Computer enthalten.

Die sichere Konfiguration der Einstellungen zum Deaktivieren von WSH wird nicht auf alle Computer angewendet

In Office-Dokumenten enthaltene Makros werden nicht an die registrierte AMSI-Engine gesendet.

Erkennungen

Unzureichende Härtung gegen Ransomware

medium

Beschreibung

Lösung

Siehe auch

Indikatordetails

Bekannte Tools von Angreifern