CSIS

Sådan kan Microsoft driver blackliste hjælpe med at beskytte infrastruktur mod avancerede angreb

Vidste du, at Microsoft vedligeholder og løbende opdaterer en  liste over ondsindede drivere som anvendes i APT angreb og APT malware?

Vidste du, at denne block-liste kan bruges til at hardne dit windows miljø mod driver basereret malware som rammer nyere versioner af Windows?

Helt kort så har Microsoft frigivet en omfattende liste med hashes/IoCs over ondsindede, og som i Windows 10, 11 og på Windows Server 2016 og nyere, kan bruges til at beskytte ens windows infrastruktur mod disse uønskede drivere. Listen omfatter signerede drivere der anvendes i avancerede angreb.

 

Den pågældende driver-block liste er oprettet med henblik på at hardne windows mod tredjeparts drivere som misbruges til:

-  At udnytte sårbarheder i Windows til at gennemføre rettighedseskalering

-  Malware eller certifikater, der misbruges til at signere kode, så det kan afvikles på driver niveau

-  Drivere, som kan omgå Windows sikkerhedsdesign, med henblik på rettighedseskalering eller dataeksfiltration

 

Microsoft anbefaler, at HVCI eller S mode aktiveres med henblik på at yde et ekstra lags beskyttelse mod avanceret malware og angreb mod Windows styresystem. Hvis det ikke er muligt, at aktivere HVCI eller S mode, så kan driver block reglerne også implementeres direkte i "Windows Defender Application Control policy".

 

NB: Denne type tiltag bør testes grundigt før en udrulning/implementering, da fejlagtig blokering af drivere, kan føre til systemnedbrud og Blue Screen of Death (BSoD).

Endeligt kan jeg supplere med, at vi har set flere af disse hashes/IoCs anvendt i angreb mod virksomheder i Danmark, så det giver god mening at overveje at implementere dette ekstra lag af sikkerhed.

 

Yderligere oplysninger:

https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver-block-rules

https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-block-rules

Newsletter

Sign up

Stay informed.
Get our Cyber Bytes!