← Anasayfa

Fidye Virüslerine Pranga Vurmak: AppLocker ve PowerShell Kalkanı

Güvenlik, powershellPowerShell

Ağa sızıp fidye (Ransomware) dağıtan casus yazılımlarının sığınağı hep Kullanıcıların AppData veya Temp dizinleri olmuştur, çünkü oralara dosya asmak için Root yetkisi gerekmez. Bunu Firewall ile değil (Ağ üzerinden yürümediği için) tamamen işletim sistemi kuralıyla (AppLocker) engelleriz.

Kök Hücreye PowerShell Zinciri

New-AppLockerPolicy -RuleType Publisher, Hash, Path -User "Everyone" -Optimize
Set-AppLockerPolicy -XmlPolicy "C:\Policy\GuvenlikKoruma.xml" -Merge

Siz o XML kalıplarında C:\Users\*\AppData\Local\Temp\*.exe şema kurallarını 'Deny' yani men etmiş şekilde AppLocker'a yedirdiğiniz an; şirket ağı şok etkisi taşır. Artık Ransomeware ne zaman ki C C diskine .exe yi yapıştırıp tetiklerse, İşletim Sistemi onu anında Mavi kalkanı ile 'Sistem Yöneticileriniz bu Uygulamayı Blokladı' mesajıyla parçalatır ve yayılma zınk diye durur. Antivirüs beklemeyiz, çekirdeği şifreleriz.