Estoy haciendo una evaluación de la posible expansión de malo Conejo en nuestra organización. Nuestro personal no tiene privilegios de administrador en sus máquinas host. También hemos bloqueado los IOCs. ¿Es seguro decir que sin privilegios de administrador, el ransomware no podría instalar la actualización flash falsa / mimikatz?
¿Alguna otra indicación que debamos tener en cuenta, aparte de las de WannaCry, Petya, NotPetya?
En primer lugar, informar / advertir a los empleados de su organización, no haga clic en ventanas emergentes falsas de instalación flash.
Aquí hay un ejemplo:
Enwelivesecurity.comsedice:
UnodelosmétodosdedistribucióndeBadRabbitesmediantedescargadirecta. AlgunossitioswebpopularesestáncomprometidosytienenJavaScriptinyectadoen sucuerpoHTMLoenunodesusarchivos.js.
Esoesdesdelaperspectivadelusuario,ahoratomeconsejostécnicos:
Ycomodijo@RoyceWilliams,puedescrearlossiguientesarchivos:
c:\windows\infpub.dat&&c:\windows\cscc.datyeliminarTODOSLOSPERMISOS(herencia).
Tambiénpuedebloquearelaccesoalossiguientessitioscomprometidosdeestalista:
Más información sobre badrabbit siga aquí .
Una contramedida adicional específica es vacunar, usando este procedimiento para crear un par de archivos específicos:
C:\Windows\infpub.dat
C:\Windows\cscc.dat
... y luego elimine la herencia de permisos de ellos.
Lea otras preguntas en las etiquetas malware ransomware wannacry mimikatz