Ryuk

DarkSide (hacking group)

WannaCry

<p>S'assure que les mesures de durcissement pour contrer les ransomwares ont été correctement déployées sur le domaine.</p>


<p>Les ransomwares représentent aujourd'hui la cybermenace la plus disruptive à laquelle nous sommes confrontés. Cette menace, dont les équipes de sécurité doivent tenir compte dans leurs stratégies de défense, affecte tous les secteurs d'activité.</p>


Durcissement insuffisant contre les ransomwares

Les paramètres servant à la configuration de l'application des règles AppLocker relatives aux exécutables ne sont pas définis dans l'environnement.

Absence de GPO configurant l'application des règles AppLocker relatives aux exécutables

Le PowerShell Constrained Language Mode (CLM) est appliqué via une variable d'environnement, ce qui n'est pas recommandée par Microsoft (voir description de l'IoE pour plus de détails). Cette configuration est dangereuse car un attaquant peut facilement modifier la variable d'environnement pour supprimer l'application du Constrained Language Mode.

Configuration dangereuse du PowerShell Constrained Language Mode (CLM)

La configuration des associations d'extensions risquées n'est pas appliquée à l'ensemble des conteneurs contenant des utilisateurs.

Configuration sécurisée des associations d'extensions risquées non appliquée à l'ensemble des utilisateurs

La configuration de la désactivation par défaut du moteur VBA (macros) impactant les applications Office n'est pas appliquée à l'ensemble des conteneurs contenant des utilisateurs.

Configuration sécurisée de la désactivation du moteur VBA (macros) non appliquée à l'ensemble des utilisateurs

Les paramètres définis pour la configuration d'une stratégie d'exécution PowerShell forte ne correspondent pas aux valeurs attendues.

Configuration dangereuse de la stratégie d'exécution PowerShell

Les paramètres définis pour la configuration de la désactivation de WSH ne correspondent pas aux valeurs attendues.

Configuration dangereuse de la désactivation de WSH

Les paramètres définis pour l'application des règles AppLocker ne correspondent pas aux valeurs attendues.

Configuration dangereuse de l'application des règles AppLocker

Les paramètres servant à la configuration de l'application des règles AppLocker relatives aux scripts ne sont pas définis dans l'environnement.

Absence de GPO configurant l'application des règles AppLocker relatives aux scripts

Les paramètres servant à la configuration d'une stratégie d'exécution PowerShell forte ne sont pas définis dans l'environnement.

Absence de GPO configurant une stratégie d'exécution PowerShell forte

Les paramètres définis pour la désactivation par défaut du moteur VBA (macros) impactant les applications Office ne correspondent pas aux valeurs attendues.

Configuration dangereuse du moteur VBA (macros) impactant les applications Office

Les paramètres servant à la configuration des associations par défaut des fichiers (Ouvrir Avec) ayant une extension risquée ne sont pas définis dans l'environnement.

Absence de GPO configurant les associations d'extensions risquées

Les paramètres servant à la désactivation par défaut du moteur VBA (macros) pour l'ensemble des applications Office ne sont pas définis dans l'environnement.

Absence de GPO configurant la désactivation par défaut du moteur VBA (macros) impactant les applications Office

Les paramètres servant à la configuration de la désactivation de WSH sont pas définis dans l'environnement.

Absence de GPO configurant la désactivation de WSH

Les paramètres définis pour la configuration des associations par défaut des fichiers (Ouvrir Avec) ayant une extension risquée ne correspondent pas aux valeurs attendues.

Configuration dangereuse des associations d'extensions risquées

La configuration d'une stratégie d'exécution PowerShell forte n'est pas appliquée à l'ensemble des conteneurs contenant des utilisateurs.

Configuration sécurisée de la stratégie d'exécution PowerShell non appliquée à l'ensemble des utilisateurs

La configuration concernant la désactivation de WSH n'est pas appliquée à l'ensemble des conteneurs contenant des ordinateurs.

Configuration sécurisée concernant la désactivation de WSH non appliquée à l'ensemble des ordinateurs

Les macros contenues dans les documents Office ne sont pas envoyées au moteur d'analyse AMSI déclaré.

Détections

Durcissement insuffisant contre les ransomwares

medium

Description

Solution

Voir aussi

Détails de l'indicateur

Outils connus des attaquants