Fachartikel

Gefahrenquelle Windows Script Host

Cyberkriminelle verschicken Ransomware-Infektionen oft als JavaScript-Anlagen – versteckt in ZIP-Dateien. Aktiviert der Nutzer dann eine entsprechende Datei, verwendet Windows den Microsoft Windows Script Host (WScript.exe) zur Ausführung des Programms. Der Anwendung sind standardmäßig eine ganze Reihe von Dateitypen zugeordnet, etwa JS, JSE, VBE, VBS, WSF und WSH. Am häufigsten kommen Java- und Visual-Basic-Skripte vor. Unser Fachartikel zeigt, dass IT-Administratoren bei jedem dieser Dateitypen genau evaluieren sollten, ob sie ihn wirklich benötigen.
Bei Java- und Visual Basic-Skripten sollte beim Administrator die rote Fahne nach oben schnellen.
Die einzigen, die tatsächlich einen guten Grund haben können, den Windows Script Host (WSH) zu benutzen, sind Systemadministratoren und Programmierer. Sie sollten dann aber über die möglichen Gefahren der Skriptdateien Bescheid wissen. Doch selbst für diese Experten empfiehlt es sich, die Programmverknüpfungen auf die Einstellung "Fragen, womit die Datei geöffnet werden soll" oder "Mit Notepad öffnen" zu ändern, sofern dies ihre Arbeitsprozesse nicht zu sehr einschränkt.

Optionen im Umgang mit WScript
Welche Option im generellen Umgang mit WScript die beste ist, hängt davon ab, wie oft ein Nutzer den Windows Script Host verwendet und ob der Administrator dem Anwender vertraut beziehungsweise zutraut, dabei die richtigen Entscheidungen zu treffen. Diese Möglichkeiten gibt es:

  • WScript komplett ausschalten, damit keine Skripte ausgeführt werden.
  • Die Programmverknüpfung auf "Fragen…" umstellen. Das heißt, der Benutzer wird jedes Mal gefragt, mit welchem Programm er eine bestimmte Art von Datei öffnen möchte.
  • Die Programmverknüpfung auf "Notepad" ändern. Das heißt, die betroffenen Dateien werden mit dem Notepad geöffnet und der Benutzer kann sich das Skript ansehen.
Dabei muss natürlich nicht für jede Datei-Endung die gleiche Lösung eingestellt werden. Nutzen die Mitarbeiter zum Beispiel in der Firma ein eigenes JavaScript und benötigen daher keine anderen Skript-Sprachen, kann der Administrator alle Endungen außer JS-Endungen auf "Fragen…" umstellen. Tipp für Profis: Benennen Sie das eigenen JavaScript in JVS um und ändern Sie anschließend die JS-Endung auf "fragen…" ab, denn diese Endung wird am meisten missbraucht.
WScript vollständig deaktivieren
Um WScript komplett abzuschalten, reicht es aus, folgenden Registry-Wert hinzuzufügen:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
"Enabled"=dword:00000000
Wenn der Nutzer anschließend versucht, WScript zu öffnen, wird ihm die Nachricht "Script Host deaktiviert, wenden Sie sich an Ihren Administrator" angezeigt.

Ändern der Standardprogramme
In den Einstellungen können Administratoren einige Änderungen vornehmen, um das Risiko einer Infektion zu verringern. Zur Modifikation der Standardprogramme gibt es mehrere Möglichkeiten. Die entsprechenden Systemeinstellungen befinden sich unter "Systemsteuerung / Programme / Standardprogramme" oder in den Windows-10-Einstellungen unter "System / Standard-Apps / Standard-Apps nach Datei"


Bei einschlägigen Dateiendungen empfiehlt es sich, bei den Standardprogrammen den Windows Script Host
durch das Notepad zu ersetzen.


Ist nur ein System zu bearbeiten, dann ist es am einfachsten, eine Datei mit der gewünschten Endung zu suchen oder zu erstellen. Nun klicken Sie mit einem Rechtsklick auf die Datei und wählen unter "Öffnen mit" in der Liste den Punkt "Standardprogramm auswählen…". Um die Verknüpfung auf das Notepad zu lenken, wählt Sie jetzt "Notepad" aus und setzt einen Haken bei "Dieses Programm (oder App) für alle *-Dateien verwenden". Wenn es mehrere Rechner zu bearbeiten gilt, kann ein Registry-Skript viel Zeit sparen.

Programmverknüpfung ändern
Etwas komplizierter wird es, wenn eine vollständige Blockierung nicht möglich ist und der Administrator WSH nur teilweise deaktivieren will. Das Beispiel unten zeigt auf, wie etwa eine Verknüpfung für JS- und VBS-Dateien geändert werden muss, damit REG-Dateien mit dem Notepad geöffnet werden.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
FileExts\.js\UserChoice]
"Progid"="REG_SZ", "Applications\notepad.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
FileExts\.vbs\UserChoice]
"Progid"="REG_SZ", "Applications\notepad.exe"
Je nach Bedarf lassen sich beliebig viele Endungen hinzufügen.

Alternative: AppLocker einsetzen
Die Nutzung von AppLocker – oder im Falle älterer Steuerungssysteme von sogenannten "Richtlinien für Softwareeinschränkung (SRP)" – ist zwar komplexer, bietet aber auch einige Vorteile. Solange sich keine Windows-XP- oder Windows-7-Home-Rechner im Netzwerk befinden, ist AppLocker stets die bessere Wahl:

  • Der Administrator bestimmt, welche Apps laufen dürfen und muss nicht befürchten, dass eine App ohne sein Wissen verwendet wird.
  • Er kann dabei den Herausgeber beschränken damit zum Beispiel nur eigene Skripte verarbeitet werden.
  • Fehlermeldungen lassen sich so anpassen, dass Benutzer, wenn zum Beispiel der Zugang zu einer Webseite verweigert wird, an den Administrator verwiesen werden.
  • AppLocker-Regeln können auf einen bestimmten Benutzer beziehungsweise eine Benutzergruppe angepasst werden.
  • Der Überwachungsmodus ermöglicht das Testen der Auswirkung einer Richtlinie, bevor der Administrator die Richtlinie implementiert.
AppLocker lässt sich auch mit der PowerShell steuern. Dazu lädt der Administrator mit import-module applocker die entsprechenden Cmdlets . Eine Liste aller verfügbaren Cmdlets verschafft get-command *applocker*.

Fazit
Es gibt mehrere Methoden, um die Gefahren von Skripten zu minimieren. Einige davon sind oben beschrieben. Auch erfahrene Administratoren sollten die potentielle Bedrohung, die von WScript ausgeht, nicht aus den Augen verlieren und entsprechende Schutzmaßnahmen ergreifen.
1.02.2017/ln/Pieter Arntz, Malware Analyst bei Malwarebytes

Nachrichten

E-Mail-Inspektor [17.02.2017]

SonicWall stellt seine 'E-Mail Security' in Version 9.0 vor. Mit an Bord ist der sogenannte 'Capture Advanced Threat Protection Service', der den E-Mail-Verkehr überprüft und schädliche Dateien blockiert. Mit der Betaversion von SonicOS 6.2.7 zeigt der Hersteller zudem neue Features des Appliance-Betriebssystems. [mehr]

Verdächtige Nutzeraktivitäten maschinell erkennen [16.02.2017]

Centrify gibt den Startschuss für seinen neuen 'Analytics Service', der Benutzerkonten gegen Missbrauch absichern soll. Dabei nutzt der Dienst zur Risikoeinschätzung maschinelles Lernen, basierend auf dem sich ständig verändernden Anwenderverhalten. So etwa ermöglicht das Werkzeug, bei Zweifeln an der Identität eines Nutzers eine zusätzliche Multifaktor-Authentifizierung anzufordern. [mehr]

Tipps & Tools

IT-Administrator Intensiv-Seminar 'Hyper-V' [13.02.2017]

War VMware über lange Zeit hinweg unbestrittener Marktführer bei der Servervirtualisierung, hat Microsofts Hypervisor in den letzten Jahren mächtig aufgeholt. Unser fünftägiges Intensiv-Seminar im März und Mai zeigt deshalb optimale Vorgehensweisen bei der Einführung von Hyper-V, behandelt anschließend die Themen Cluster und Hochverfügbarkeit und verschafft Einblicke in die Möglichkeiten, die sich Administratoren zum Beispiel mit Hyper-V Replica bieten. Das alles anhand der neuesten Ausgabe der Virtualisierungstechnologie, eingeführt mit Windows Server 2016. [mehr]

Citrix Store-Front-Cluster richtig updaten [5.02.2017]

Regelmäßige Upgrades sind auch in einer Citrix-Umgebung empfehlenswert, um das Beste aus Hard- und Software herauszuholen und etwaige Probleme schon proaktiv zu verhindern oder bestenfalls ganz zu beheben. Dies trifft besonders auf Unternehmen zu, die NetScaler für das Load Balancing eines Store-Front-Clusters nutzen. Bei diesem Upgrade sind allerdings einige Dinge zu beachten. [mehr]

Buchbesprechung

SQL Hacking

von Justin Clarke et al.

Anzeigen