Effektive tiltak for å stoppe et angrep i tidlig fase «Initial Access»

Vår erfaring er at de fleste angrepene i dag benytter MS Office dokumenter med macro, lenker i e-post, phishing med Microsoft-basert innhold som f.eks. deling av filer med MS Teams og HTA-lenker som noen eksempler.

Vi ser også mange forsøk mot åpne «Remote Desktop RDP»-porter, VPN-pålogginger og Office 365-pålogginger. Det er viktig å være klar over at det finnes enkle verktøy for phishing av Office 365 2FA (to-faktor-pålogging), som brukes i forbindelse med tradisjonelle phishing-kampanjer.

Da vil angripere kunne stjele to-faktor PIN og sesjon i tillegg til passord. Det har også blitt avdekket enkelte svært veldig alvorlige sårbarheter den siste tiden i blant annet Google Chrome (CVE-2020-15999) og en sårbarhet knyttet til AD domenekontrollere (CVE-2020-1472) «ZeroLogon».

Nedenfor har vi noen enkle tiltak vi alltid anbefaler. Bruk gjerne også gjerne litt tid på MITRE sine hjemmesider og se på de ulike metodene benyttet ved «initial access».

• Blokker lenker med .HTA endelse på lokal klient, i brannmur, eller mail-gateway
• Blokker følgende filtyper på e-post og lokalt: .RTF, .SCR, .LNK, MS Macro, passordbeskyttede .ZIP e.l.
• Blokker kjøring av Powershell & CMD for vanlige brukere med GPO.
• Blokker kjøring av macro med applikasjonskontroll eller GPO
• Sårbarhetsskanning/sårbarhetsadmnistrasjon for å avdekke åpne porter fra internett (RDP) og sårbare systemer Ref: (CVE-2020-15999) &(CVE-2020-1472).

Flere av disse tiltakene er enkle å iverksette, men ta gjerne kontakt med oss om dere ønsker bistand med sårbarhetsadministrasjon, rådgiving rundt etablering av tiltak eller har andre spørsmål.