wannacryまたはwannacry 2.0を、Active Directoryを介して設定されたユーザーの読み取り権限のみで停止または減速できますか

1

Active Directoryがあるとします。

Active Directoryにルールを設定し、アカウントに読み取り専用でアクセスを制限します。

今、ユーザーのPCにメールを送信したいランサムウェアがありますが、すべてのユーザーは読み取り権限が制限されており、何も書き込むことができないので、ネットワークに拡散できますか?

私の理解では、答えはノーになりますが、聞いたとおり、wannacryは伝播するために読み取り許可を必要としません。

あなたが与えることができるかもしれないあらゆるヒントに感謝します。

ありがとう。

windows  administrator  malware  active-directory 
アンディ・K
ソース
この問題をすべて解決する代わりに、更新プログラムを実行して修正プログラムを入手してみませんか?
カイザーウルフ
@Kaizerwolfは、明日、未知の脆弱性にフラグを立てる次のランサムウェアに直面した場合を想像します。
アンディK
はい、ランサムウェアは一般的に、書き込み権限の欠如によって妨害される可能性があります。「アンチランサムウェア」機能を提供するほとんどのAVシステムは、選択した場所のファイルへのアプリケーションの書き込みアクセスを制限します。ただし、WannaCryはWormable-exploitであり、OS機能を誤用することで拡散するため、Propagationとは無関係であるため、OSパッチのみが実際に影響することに注意してください。ただし、書き込みアクセスがないと、ドキュメントを暗号化できません。
フランクトーマス
@FrankThomas回答としてコメントを入れていただけますか?
アンディK
すべてのユーザーは読み取り権限が制限されており、何も書き込むことができないため、ネットワークに拡散できますか?- はい実際には、拡散を防ぐパッチをインストールしていない限り拡散します。どのように拡散するかは、共有ドライブの読み取り/書き込み権限とは関係ありません。
ラムハウンド

回答:

1

あなたの質問は、「アクセス制御はワームの拡散を防ぎますか?」に要約されるようです。

一般的な答えは「たぶん」です。アクセス制御を持つことは、多層防御の一種です。つまり、悪意のあるソフトウェアがやろうとしていること(他のシステムへの拡散、サーバーの暗号化、データの盗用)を行うために突破しなければならないもう1つの障壁です。

通常、ほとんどのアクセス制御システムには、アクセス制御の構成(アクセス制御とは何か、どのユーザー/ IP /オブジェクトを許可/ブロックするかなど)を変更できるメカニズムがあります。そのため、多くのセキュリティ研究のターゲット(ブラックハットとホワイトハットの両方による)は、アクセス制御システムの構成メカニズムと、アクセス制御を変更するために不正アクセスを取得するために必要なものです。

そのため、これが1つの方法です。攻撃ベクトルを許可するために許可/禁止されているものを攻撃者が正当に変更できるエクスプロイトを見つけます。たとえば、ドメイン制御管理者への権限昇格を取得すると、攻撃者がネットワークドライブでワームの拡散を許可するAD設定を変更できる可能性があります。

もう1つの方法は、強制されている場合でも、バイパスできるアクセス制御メカニズムを見つけることです。これは、警官を過ぎて恐ろしく高速化するソフトウェアと同等であり、警官があなたを見ても、彼の車はあなたに追いつくのに十分な速さで行くことができず、あなたは何とかバックアップを求めても正義を完全に逃れます道路。

そのため、設定を変更するのではなく、そのような脆弱性が見つかった場合、設定は重要ではありません。攻撃者が気にするすべての設定を「ブロック」または「無効」のままにします。攻撃者のデータを許可または有効にしたかのように扱うようにシステムを説得するデータのペイロードを効果的に送信できます。

パッチが適用されていない脆弱性を持つネットワークソフトウェアがあり、誰かがその脆弱性を知っている場合、あなたは決して安全ではありません。「ゼロデイ」脆弱性は常に発生するため、実際には安全ではありません。明日、新しいゼロデイが発生し、新しいエクスプロイトを利用する可能性があります。

アクセス制御は、この種の攻撃のすべての形態を確実に防ぐことはできません。暗号化マルウェアのようなものがあなたの一日を台無しにすることを防ぐ最も信頼できる方法は、ネットワークに決して接続されていないオフラインのバックアップを持つことです。物理的セキュリティの弱点をうまく利用できる攻撃ベクトルはほとんどありません。また、個々の施設を非常に具体的に標的にする必要がある攻撃ベクトルはほとんどありません(たとえば、許可された従業員のバッジを盗み、それを使用して無防備な入り口から入ります)。

アクセス制御以外にも、詳細な防御メカニズムがあります(ただし、万能薬ではありません)。SnortのようなNetwork Intrusion Detection System(NIDS)も、ワイヤ上の攻撃ペイロードを検出し、脆弱なシステムに到達する前にそれらをブロックすることにより、あなたを助けることができます。ヒューリスティックとターゲットパターンマッチングを使用して、既知または潜在的な悪用の試みを特定し、それらをブロックします。これらのシステムの多くには、何らかの種類のリアルタイム更新サービスが付属しており、既知の攻撃ベクトルが検出されるとすぐにブロックルールを適用して、すべてのシステムを免疫できるようになるまでに数日または数週間かかる場合がありますソフトウェアパッチ。したがって、それらは脆弱性のウィンドウを減らします。

しかし、いいえ、組み合わされたすべての最良のセキュリティ対策は、パッチ未適用の脆弱性を利用する適切に標的化された一連のエクスプロイトに対して完全に無効です。これで夜間に問題が発生しない場合は、EAL7認定のオペレーティングシステムを作成または購入してください(また、同じ認定レベルではない追加のソフトウェアを実行しないでください)。脆弱性が存在しないことを数学的に100.0%肯定的にする唯一の方法です。(しかし、それでも、ユーザーエラーは設定の脆弱性を悪用する設定ミスにつながる可能性があります -完全に安全なドアロックを持ち、それをロック解除したままにすることと同等です-終わりません。)

全然
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.