Managed Detection & Response
Always On – we ensure our customers’ resilience, 24x7x365
Read more
Sådan kan Microsoft driver blackliste hjælpe med at beskytte infrastruktur mod avancerede angreb
Vidste du, at Microsoft vedligeholder og løbende opdaterer en liste over ondsindede drivere som anvendes i APT angreb og APT malware?
Vidste du, at denne block-liste kan bruges til at hardne dit windows miljø mod driver basereret malware som rammer nyere versioner af Windows?
Helt kort så har Microsoft frigivet en omfattende liste med hashes/IoCs over ondsindede, og som i Windows 10, 11 og på Windows Server 2016 og nyere, kan bruges til at beskytte ens windows infrastruktur mod disse uønskede drivere. Listen omfatter signerede drivere der anvendes i avancerede angreb.
Den pågældende driver-block liste er oprettet med henblik på at hardne windows mod tredjeparts drivere som misbruges til:
- At udnytte sårbarheder i Windows til at gennemføre rettighedseskalering
- Malware eller certifikater, der misbruges til at signere kode, så det kan afvikles på driver niveau
- Drivere, som kan omgå Windows sikkerhedsdesign, med henblik på rettighedseskalering eller dataeksfiltration
Microsoft anbefaler, at HVCI eller S mode aktiveres med henblik på at yde et ekstra lags beskyttelse mod avanceret malware og angreb mod Windows styresystem. Hvis det ikke er muligt, at aktivere HVCI eller S mode, så kan driver block reglerne også implementeres direkte i "Windows Defender Application Control policy".
NB: Denne type tiltag bør testes grundigt før en udrulning/implementering, da fejlagtig blokering af drivere, kan føre til systemnedbrud og Blue Screen of Death (BSoD).
Endeligt kan jeg supplere med, at vi har set flere af disse hashes/IoCs anvendt i angreb mod virksomheder i Danmark, så det giver god mening at overveje at implementere dette ekstra lag af sikkerhed.
Yderligere oplysninger:
Newsletter
Sign up
Stay informed.
Get our Cyber Bytes!