jueves, 12 de junio de 2014

Bloqueando malware con AppLocker

Compartir este artículo:
Buenas a todos, en el post de hoy os hablaremos de AppLocker, y en concreto sobre lo útil que puede llegar a ser para bloquear ciertos malware que puedan extenderse por un organismo, como pueda ser el caso de virus como el Conficker.

AppLocker es una funcionalidad incorporada a los sistemas operativos Windows desde Windows Server 2008 R2 y Windows 7 que permiten crear reglas para permitir o denegar la ejecución de aplicaciones basándose en las identidades de los archivos y especificar qué usuarios o grupos pueden ejecutar esas aplicaciones.

Mediante el uso de AppLocker podremos controlar los siguientes tipos de aplicaciones: 
  • archivos ejecutables (.exe y .com)
  • scripts (.js, .ps1, .vbs, .cmd y .bat)
  • archivos de Windows Installer (.msi y .msp)
  • archivos DLL (.dll y .ocx)
En este post vamos a utilizar AppLocker para crear una nueva regla que bloquee el malware flu. Para ello no seleccionaremos la ruta donde se suele instalar, sino que utilizaremos su hash. De esta manera, cada vez que este software intente ejecutarse, aunque tenga otro nombre y se despliegue en otra ruta diferente, va a ser bloqueado. Cierto es que si cambian lo más mínimo el malware, su hash variará y no funcionará nuestra regla. Pero para casos concretos como el de un conficker que se haya colado en nuestra red, y se esté extendiendo viralmente por la red, puede ser de gran ayuda.

Para abrir el menú de AppLocker tendremos que abrir secpol.msc:


A continuación con el botón derecho del ratón seleccionaremos la opción "Crear nueva regla":


Y pulsaremos en "Denegar":


El siguiente paso será marcar "Hash de archivo":


Y seleccionaremos una muestra del malware, para que calcule su hash:




Si todo ha ido correctamente, ya tendremos la regla creada, y no volverá a ejecutarse el malware:


Eso es todo por hoy, 

Saludos!

No hay comentarios:

Publicar un comentario en la entrada

Related Posts Plugin for WordPress, Blogger...