FSRM : Protéger Son Serveur De Fichiers Des Ransomwares Jeudi 20 Avril 2017 16:33

FSRM : Protéger son serveur de fichiers des ransomwares jeudi 20 avril 2017 16:33

• I. Présentation • II. Installation du gestionnaire de ressources du serveur de fichiers • III. Configurer le SMTP pour recevoir les notifications • IV. Création d’un groupe d’extensions de fichiers • V. Créer un modèle de filtre de fichiers • VI. Créer un filtre de fichiers • VII. Test de la configuration • VIII. Pour aller plus loin

I. Présentation Les données qu’elles soient personnelles ou professionnelles ont une valeur certaine, et ça il y a des personnes malintentionnées qu’ils l’ont bien compris et qui veulent en tirer profit avec des malwares, ou plus particulièrement avec les ransomwares qui sont la grande tendance depuis quelque temps. Pour rappel, un ransomware, en français rançongiciel, est un logiciel qui va chiffrer vos données et vous demander de l’argent pour pouvoir récupérer les données, sous peine de les perdre. Pour se protéger face à cette menace, que l’on peut représenter par Cryptolocker ou plus récemment Locky, il y a différentes couches de sécurité à mettre en place. Tout d’abord, ça passe par une protection au niveau des e-mails avec un filtre anti-spam, du filtrage web pour éviter que les utilisateurs aillent sur des sites où ils n’ont rien à faire, ou encore protéger votre serveur de fichiers, c’est d’ailleurs ce dernier point qui nous intéresse. Dans le cadre de ce tutoriel, il sera question de protéger un serveur de fichiers sous Windows Server 2012 R2 ou sur Windows Server 2008 R2, pour cela on s’appuie sur le File Server Resource Manager (FSRM) , en français « Gestionnaire de ressources du serveur de fichiers ». Il intègre une fonctionnalité qui permet de filtrer les fichiers, l’objectif sera alors de bloquer certaines extensions (et fichiers) propres au comportement d’un ransomware, et d’en avertir l’administrateur par e-mail et/ou par une entrée dans l’observateur d’événements. Par exemple, un ransomware qui chiffre vos fichiers avec l’extension « .locky » donc on va bloquer cette extension. II. Installation du gestionnaire de ressources du serveur de fichiers Tout d’abord, nous allons installer la fonctionnalité FSRM et la console associée qui permet de la gérer. Pour cela, on va passer par PowerShell, déjà on peut vérifier si la fonctionnalité est déjà installée ou pas :

Pour Windows 2012 R2 Get-WindowsFeature ou Get-WindowsFeature -Name FS-Resource-Manager

Comme la fonctionnalité n’est pas installée (état « Available »), on va l’installer et installer sa console de gestion : Executer en premier cette commande pour pouvoir exécuter un script powershell: Set-ExecutionPolicy -ExecutionPolicy Unrestricted

Ensuite on peut commencer : Install-WindowsFeature -Name FS-Resource-Manager -IncludeManagementTools

Voilà, la fonctionnalité est installée vous pouvez lancer la console « Gestionnaire de ressources du serveur de fichiers » depuis les outils d’administration.

Pour Windows 2008 R2

Procédures Page 1 Import-Module Servermanager

Add-WindowsFeature FS-FileServer,FS-Resource-Manager

III. Configurer le SMTP pour recevoir les notifications Si vous souhaitez recevoir des notifications par e-mail, il faut préciser un serveur SMTP au sein des options de la console FSRM. Pour cela, effectuez un clic droit sur « Gestionnaire de ressources du serveur de fichiers » et cliquez sur « Configurer les options ».

Procédures Page 2 Dans l’onglet « Notifications par courrier électronique » remplissez les champs « Serveur SMTP » et « Administrateurs destinataires par défaut ». Validez. Note : Il n’est pas proposé de rentrer des credentials pour s’authentifier auprès du serveur SMTP, ce qui est plutôt dommage, si vous avez besoin d’une solution de contournement vous pouvez vous appuyer sur un serveur relai SMTP.

Configuration limites de notifications

Procédures Page 3 IV. Création d’un groupe d’extensions de fichiers On va continuer en créant un groupe de fichiers qui va regrouper un ensemble d’extensions liées aux ransomwares dans notre cas. Pour cela, sous « Gestion du filtrage de fichiers », effectuez un clic droit sur « Groupes de fichiers » puis « Créer un groupe de fichiers ». (il y a une commande PowerShell en fin de paragraphe pour le faire rapidement)

Nommez ce groupe de fichiers comme vous le souhaitez, « Fichiers ransomwares » ou « Fichiers Crypto » par exemple. Ensuite, il va falloir inclure les extensions, il y en a une bonne quantité et le processus d’ajout en mode graphique est assez long (voir juste après la liste pour le faire en PowerShell).

Procédures Page 4 Voici par exemple une liste non exhaustive des extensions et des fichiers de note qui accompagne généralement ces ransomwares : _Locky_recover_instructions.txt DECRYPT_INSTRUCTIONS.TXT DECRYPT_INSTRUCTIONS.HTML DECRYPT_INSTRUCTION.TXT DECRYPT_INSTRUCTION.HTML HELP_DECRYPT.TXT HELP_DECRYPT.HTML DecryptAllFiles.txt enc_files.txt HowDecrypt.txt How_Decrypt.txt How_Decrypt.html HELP_TO_DECRYPT_YOUR_FILES.txt HELP_RESTORE_FILES.txt HELP_TO_SAVE_FILES.txt restore_files*.txt restore_files.txt RECOVERY_KEY.TXT how to decrypt aes files.lnk HELP_DECRYPT.PNG HELP_DECRYPT.lnk DecryptAllFiles*.txt Decrypt.exe ATTENTION!!!.txt AllFilesAreLocked*.bmp MESSAGE.txt *.locky *.ezz *.ecc *.exx *.7z.encrypted *.ctbl *.encrypted *.aaa *.xtbl *.abc *.JUST *.EnCiPhErEd *.cryptolocker *.micro *.vvv

Pour créer ce groupe de fichiers directement en PowerShell et gagner du temps dans la création, voici la commande correspondante :

New-FsrmFileGroup -Name "Fichiers Crypto" –IncludePattern

Procédures Page 5 New-FsrmFileGroup -Name "Fichiers Crypto" –IncludePattern @("*.k","*.encoderpass","*.key","*.ecc","*.ezz","*.exx","*.zzz","*.xyz","*.aaa","*.abc","*.ccc","*.vvv","*.xxx","*.ttt","*.micro","*.encrypte d","*.locked","*.crypto","_crypt","*.crinf","*.r5a","*.xrtn","*.XTBL","*.crypt","*.R16M01D05","*.pzdc","*.good","*.LOL!","*.OMG!","*.RD M","*.RRK","*.encryptedRSA","*.crjoker","*.EnCiPhErEd","*.LeChiffre","*.keybtc@inbox_com","*.0x0","*.bleep","*.1999","*.vault","*.HA3 ","*.toxcrypt","*.magic","*.SUPERCRYPT","*.CTBL","*.CTB2","*.locky","*.777","*.7ev3n","*.7h9r","*.7zipper","*.8lock8","*.ACCDFISA v2.0","*.AdamLocker","*.AES_KEY_GEN_ASSIST","*.AES-NI","*.Al-Namrood","*.Al-Namrood 2.0","*.Alcatraz","*.Alfa","*.Alma Locker","*.Alpha","*.AMBA","*.AnDROid","*.AngryDuck","*.Anubis","*.Apocalypse","*.ApocalypseVM","*.ASN1 Encoder","*.AutoLocky","*.AxCrypter","*.BadBlock","*.BadEncript","*.BandarChor","*.BankAccountSummary","*.Bart","*.Bart v2.0","*.BitCrypt","*.BitCrypt 2.0","*.BitCryptor","*.BitStak","*.Black Feather","*.Black Shades","*.Blocatto","*.Booyah","*.BrainCrypt","*.Brazilian*","*.BTCamant","*.Bucbi","*.BuyUnlockCode","*.Cancer","*.Cerber","*.Cerber *","*.CerberTear","*.Chimera","*.CHIP","*.CockBlocker","*.Coin*","*.CoinVault","*.Comrade*","*.Conficker","*.Coverton","*.CradleCore", "*.Cripton","*.CrptXXX","*.Cry9","*.Cryakl","*.CryFile","*.CryLocker","*.CrypMic","*.CrypMic*","*.Crypren","*.Crypt0","*.Crypt0L0cker","*. Crypt38","*.CryptConsole","*.CryptFuck","*.CryptInfinite","*.CryptoDefense","*.CryptoDevil","*.CryptoFinancial","*.CryptoFortress","*.Cry ptoHasYou","*.CryptoHitman","*.CryptoJacky","*.CryptoJoker","*.CryptoLocker3","*.CryptoLockerEU","*.CryptoLuck","*.CryptoMix","*.Cry ptoMix*","*.CryptON","*.Crypton","*.CryptorBit","*.CryptoRoger","*.CryptoShield","*.CryptoShocker","*.CryptoTorLocker","*.CryptoWall* ","*.CryptoWire","*.CryptXXX","*.CryptXXX*","*.CryPy","*.CrySiS","*.CTB-Faker","*.CTB- Locker","*.Damage","*.Deadly","*.DEDCryptor","*.DeriaLock","*.Dharma*","*.onion","*.wallet","*.Digisom","*.DirtyDecrypt","*.DMA*","* .Domino","*.Done","*.DoNotChange","*.DXXD","*.DynA- Crypt","*.ECLR*","*.EdgeLocker","*.EduCrypt","*.EncrypTile","*.EncryptoJJS","*.Encryptor*","*.Enigma","*.Enjey*","*.EnkripsiPC","*.Erebu s","*.Evil","*.Exotic","*.Fabiansomware","*.Fadesoft","*.Fantom","*.FenixLocker","*.FindZip","*.FireCrypt","*.Flatcher3","*.FLKR","*.Flyper ","*.FS0ciety","*.FuckSociety","*.FunFact","*.GC47","*.GhostCrypt","*.Globe","*.Broken","*.Globe3","*.GlobeImposter","*.GOG","*.Golde nEye","*.Gomasom","*.GPCode","*.GX40","*.HadesLocker","*.HappyDayzz","*.Heimdall","*.Help50","*.HelpDCFile","*.Herbst","*.Hermes *","*.HiddenTear","*.HollyCrypt","*.HolyCrypt*","*.Hucky","*.HydraCrypt","*.IFN643","*.iRansom","*.Ishtar","*.Jack*","*.Jager","*.JapanL ocker","*.Jigsaw","*.Jigsaw*","*.JobCrypter","*.JuicyLemon","*.Kaenlupuf","*.Karma","*.Karmen","*.Kasiski","*.KawaiiLocker","*.KeRanger ","*.KeyBTC","*.KEYHolder","*.KillerLocker","*.KimcilWare","*.Kirk","*.Kolobo","*.Kostya","*.Kozy*","*.Kraken","*.KratosCrypt","*.Krider", "*.Kriptovor","*.KryptoLocker","*.L33TAF*","*.LambdaLocker","*.LeChiffre","*.LLTP","*.LMAOxUS","*.Lock2017","*.Lock93","*.Locked- In","*.LockLock","*.Locky","*.Lortok","*.LoveServer","*.LowLevel04","*.MafiaWare","*.Magic","*.Maktub*","*.Marlboro","*.MarsJoke","*. Matrix","*.Meteoritan","*.MirCop","*.MireWare","*.Mischa","*.MNS*","*.Mobef","*.MOTD","*.MRCR1","*.n1n1n1","*.NanoLocker","*.N Crypt","*.NegozI","*.Nemucod","*.Nemucod-7z","*.Netix","*.Nhtnwcuf","*.NMoreira","*.NotAHero","*.Nuke","*.NullByte","*.NxRansomw are","*.ODCODC","*.One","*.OpenToYou","*.OzozaLocker","*.PadCrypt","*.PayDay","*.PaySafeGen","*.PClock*","*.Philadelphia","*.Pickle s","*.PopCornTime","*.Potato","*.PowerLocky","*.PowerShell*","*.PowerWare","*.Pr0tector","*.PrincessLocker*","*.Project34","*.Protect ed*","*.PyL33T","*.R980","*.RAA- SEP","*.Radamant*","*.RanRan","*.RansomCuck","*.RansomPlus","*.RarVault","*.Razy","*.REKTLocker","*.RemindMe","*.RenLocker","*.R ensenWare","*.Roga","*.Rokku","*.RoshaLock","*.RotorCrypt","*.Roza","*.Russian*","*.SADStory","*.Sage*","*.Salsa","*.SamSam","*.Sanc tion","*.Sanctions","*.Satan","*.Satana","*.SerbRansom","*.Serpent","*.ShellLocker","*.Shigo","*.ShinoLocker","*.Shujin","*.Simple_Encod er","*.Smrss32","*.SNSLocker","*.Spora","*.Sport","*.SQ_","*.Stampado","*.SuperCrypt","*.Surprise","*.SZFLocker","*.Team*","*.Telecryp t","*.TeslaCrypt*","*.TowerWeb","*.ToxCrypt","*.Trojan*","*.Troldesh*","*.TrueCrypter","*.TrumpLocker","*.UCCU","*.UmbreCrypt","*.U nblockUPC","*.Ungluk","*.Unknown*","*.Unlock26","*.Unlock92 *","*.UserFilesLocker","*.USR0","*.Uyari","*.V8Locker","*.VaultCrypt","*.VenisRansomware","*.VenusLocker","*.VindowsLocker","*.Vorte x","*.VxLock","*.WannaCryptor","*.WildFire*","*.Winnix*","*.WinRarer","*.WonderCrypter","*.XCrypt","*.Xorist","*.Xort","*.XRTN","*.XT P*","*.XYZWare","*.YouAreFucked","*.YourRansom","*.zCrypt","*.Zekwacrypt","*.ZeroCrypt","*.ZimbraCryptor","*.ZinoCrypt","*.Zyklon"," HELPDECRYPT.TXT","HELP_YOUR_FILES.TXT","HELP_TO_DECRYPT_YOUR_FILES.txt","RECOVERY_KEY.txt","HELP_RESTORE_FILES.txt","HELP_ RECOVER_FILES.txt","HELP_TO_SAVE_FILES.txt","DecryptAllFiles.txt","DECRYPT_INSTRUCTIONS.TXT","INSTRUCCIONES_DESCIFRADO.TXT"," How_To_Recover_Files.txt","YOUR_FILES.HTML","YOUR_FILES.url","Help_Decrypt.txt","DECRYPT_INSTRUCTION.TXT","HOW_TO_DECRYPT_ FILES.TXT","ReadDecryptFilesHere.txt","Coin.Locker.txt","_secret_code.txt","About_Files.txt","Read.txt","ReadMe.txt","DECRYPT_ReadMe. TXT","DecryptAllFiles.txt","FILESAREGONE.TXT","IAMREADYTOPAY.TXT","HELLOTHERE.TXT","READTHISNOW!!!.TXT","SECRETIDHERE.KEY"," IHAVEYOURSECRET.KEY","SECRET.KEY","HELPDECYPRT_YOUR_FILES.HTML","help_decrypt_your_files.html","HELP_TO_SAVE_FILES.txt","RE COVERY_FILES.txt","RECOVERY_FILE.TXT","RECOVERY_FILE*.txt","HowtoRESTORE_FILES.txt","HowtoRestore_FILES.txt","howto_recover_fil e.txt","restorefiles.txt","howrecover+*.txt","_how_recover.txt","recoveryfile*.txt","recoverfile*.txt","recoveryfile*.txt","Howto_Restore_FI LES.TXT","help_recover_instructions+*.txt","_Locky_recover_instructions.txt")

Dans cette commande, il suffit d’utiliser le paramètre Name pour le nom du groupe et IncludePattern pour la liste des fichiers et extensions à inclure. Vous pourrez toujours la modifier plus tard en PowerShell également avec Set-FsrmFileGroup. Exemple: Set-FsrmFileGroup -Name "Fichiers Crypto" -IncludePattern @("*.mp3", "*.wmv")

Cette commande permet de mettre à jour une liste si besoin (sauf celles qui sont déjà complètes!!!) filescrn filegroup modify /Filegroup:"Fichiers Crypto 2" /Members:"*.mp3|*.wmv"

Passons à l’étape suivante…….

V. Créer un modèle de filtre de fichiers On va désormais appliquer une politique sur notre groupe de fichiers précédemment créé, pour cela créez un modèle de filtre de fichiers via un clic droit sur l’entrée du même nom.

Procédures Page 7 Dans l’onglet « Paramètres », vous devez impérativement sélectionner le filtrage actif pour réaliser un blocage des extensions et fichiers du groupe de fichiers que nous venons de créer, et que vous devez sélectionner juste en dessous. Pensez également à nommer ce modèle avec un nom explicite. ATTENTION!!! Pour 2008 R2 il faut cocher toutes les listes créées

Pour Windows 2012

Pour Windows 2008R2

Procédures Page 8 Dans l’onglet « Message électronique », on va activer la première option pour activer les notifications, si vous ne souhaitez pas recevoir d’e-mail n’activez pas l’option. Vous pouvez alors personnaliser l’objet et le corps du message, il y a un bon nombre de variables pour personnaliser les messages.

Procédures Page 9 Pour activer la génération d’entrée dans le journal des événements, il suffit d’aller dans l’onglet correspondant et d’activer l’option. Nous verrons à la fin du tutoriel dans notre test un exemple d’entrée générée.

Procédures Page 10 Dans l'onglet commande, - entrez dans le champs "exécutez cette commande ou ce script" : C:\Windows\System32\cmd.exe - Entrez dans le champs "arguments de la commande" : /c "C:\StartRansomwareBlockSmb.cmd"

- Décompresser et Copier les fichiers suivants dans C:\ - https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce/file/149466/1/RansomwareBlockSmb.zip

Procédures Page 11 StartRanso mwareBlo...

Ransomwar eBlockSmb - Téléchargez ce fichier MSI, le copier à la racine de C:\ et l'installer (SubInAcl.exe) - https://www.microsoft.com/en-us/download/confirmation.aspx?id=23510

Liste des extensions de ransomware mise à jour régulièrement https://www.file-extensions.org/filetype/extension/name/ransomware-encrypted-files https://id-ransomware.malwarehunterteam.com/

Validez et vous verrez notre filtre apparaître auprès de ceux présents par défaut. À ce moment-là, le filtre est prêt à être utilisé, mais n’a aucun lien avec les lecteurs locaux où se situent nos données, c’est la dernière étape à réaliser.

VI. Créer un filtre de fichiers Sur « Filtres de fichiers », effectuez un clic droit et créer un filtre de fichiers.

Dans le champ « Chemin d’accès du filtre de fichiers », indiquez le chemin vers un de vos partages ou même la racine d’un lecteur de données pour une protection globale. Sélectionnez ensuite votre modèle de filtre de fichiers, comme sur l’image ci-dessous et validez.

Procédures Page 12 VII. Test de la configuration La configuration est validée et active sur le chemin « C:\Partage » dans le cadre de mon exemple, si j’ouvre une console PowerShell et que je tente de créer un fichier avec une extension interdite, j’obtiens un accès refusé bien que je sois administrateur. À l’inverse, si je crée un fichier avec une extension autorisée, la création s’effectue.

Dans l’observateur d’événement, un nouvel événement est arrivé :

Procédures Page 13 Test de renommage d'un fichier .docx en .locky

Procédures Page 14 Test de création d'un fichier .locky

Réception du mail d'alerte

Procédures Page 15 VIII. Pour aller plus loin Pour aller encore plus loin, on peut aussi désactiver l'utilisateur qui attaque le serveur

Ajouter en fin de boucle "if" les lignes ci-dessous (remplacer NOMDOMAINE par le nom de domaine NETBIOS du client) $BadUser2 = $BadUser.Replace("NOMDOMAINE\","") Disable-ADAccount $BadUser2 IX. Pour éviter que cela se reproduise Créer un compte "backup" sur l'AD, mettre un répertoire pour les backup des postes avec uniquement ce compte en lecture/écriture. Utiliser un outil de backup capable de se logger sur le nas sous un autre utilisateur que l’utilisateur courant du PC (par exemple veeam endpoint marche bien et il est gratuit ==> https://www.veeam.com/fr/endpoint-backup-free.html ) Le principe est assez simple lorsque l'utilisateur se prend un crypto, il va aller chiffrer tous les documents auxquels il a accès, incluant les lecteurs réseau. Si il n'as pas accès au répertoire de backup il ne pourra pas le chiffrer.

FIN….

Procédures Page 16