Meilleures pratiques pour la prévention du Ransomware

• Les e-mails de phishing peuvent contenir des pièces jointes malveillantes. Ces pièces jointes ne sont pas toujours livrés sous forme exécutable ; comme fournisseurs de sécurité et de la sécurité conseillées dictent que recevoir des exécutables par courrier électronique est, en général, quelque chose que nous voulons empêcher, menace acteurs doivent s’adapter à l’évolution du paysage. Cela peut être fait par des mécanismes d’exécution indirecte. Dans Windows, par exemple, un acteur malveillant peut opter pour une méthode moins directe de la livraison : incorporer un fichier JavaScript obscurci dans une archive et dépendent de l’utilisateur final pour le reste. Ouverture d’un . JS fichier sur un hôte Windows va lancer le navigateur par défaut, et le JavaScript peut ensuite tendre la main à un externe pour URL saisir un exécutable, le livrer à la victime, et l’exécuter. À ce stade, empêcher les utilisateurs de recevoir des exécutions par e-mail n’est plus efficace, car l’exécutable est livré via HTTP .
• Exploit kits (tels que Angler, ou Neutrino) ont été connus pour livrer ransomware aux utilisateurs en exploitant les serveurs Web vulnérables et l’hébergement de scripts Web malveillants sur eux qui exploitent les visiteurs lorsque certains critères sont remplis, puis la livraison d’une charge utile malveillante (Angler Exploit Kit article @ Unit42)
• Ransomware ciblée a été remarqué et suivi récemment, dans quelles organisations avaient externe face à des serveurs web compromise par des acteurs malveillants afin de prendre pied, qui a procédé pour cartographier l’environnement dehors et déployé le fichier cryptor massivement. (Evolution de SamSa Malware article @ Unit42)

Prévention des attaques Ransomware - Profils de sécurité
PAN-OS a des protections à différents points de la chaîne kill pour traiter l’infection ransomware et l’empêcher d’entrer dans un réseau. A vue d’ensemble générale des profils de sécurité et leur but est disponible ici: Principesfondamentaux de sécurité 1) Pour lutter contre les kits d’exploitation et les policy vulnérabilités

connues, de nombreuses signatures de vulnérabilité existent dans le PAN-OS contenu. Afin de protéger les utilisateurs contre ces exploits, l’utilisation d’une protection de vulnérabilité policy « stricte » peut aider et est recommandée. Au minimum, s’assurer signatures sont activés avec préventif contre les signatures de gravité critique est nécessaire. A une position stricte sur les profils de protection des vulnérabilités aidera à prévenir l’exposition au kit d’exploitation et aidera à protéger les serveurs Web externes face à l’exploitation des vulnérabilités connues.

Certaines signatures potentiellement pertinentes incluent les signatures étiquetées exploit-kit (voir référence 1 ci-dessous), malware XOR obfuscation detection, Microsoft Windows OLE Remote Code Execution, Malicious PE Detection, et JavaScript Obfuscation Detection.

En outre, comme JavaScript est un type de fichier non pris en charge pour le blocage de fichiers, il est avantageux d’enquêter sur les actions sur les signatures 39002 et 39003, qui inspectent la présence de fichiers JavaScript dans les SMTP flux.

Afin d’améliorer la posture de sécurité, nous vous recommandons de créer une exception pour la ID menace ci-dessous.Les mettre à « nier » qui bloquerait le trafic correspondant à ces signatures.

Toutefois, nous vous recommandons de tester dans votre environnement avant avec un paramètre « alerte » pour s’assurer que le trafic légitime n’est pas bloqué, bien qu’il n’y ait pas beaucoup d’utilisations légitimes pour les fichiers .js envoyés dans un e-mail.

Menace ID	Description
38353	Cette signature indique qu’un MSO fichier malveillant est détecté
38590	Cette signature indique qu’un MSO fichier malveillant est détecté
38591	Cette signature indique qu’un MSO fichier malveillant est détecté
39002	Cette signature détecte un fichier .wsf ou .hta .js directement envoyé dans un e-mail
39003	Cette signature détecte un fichier .js .wsf ou .hta dans un dossier ZIP envoyé dans un e-mail

Pour plus de données concernant les signatures vulnérabilité disponibles, veuillez faire référence à ThreatVault 2.0.
( Exploiterles catégories de profil de vulnérabilité de kit et de phishing | Profils de protection des vulnérabilités)
 

2)Pour empêcher la livraison de charges utiles malveillantes, PAN-OS dispose d’un moteur de numérisation anti-virus qui peut inspecter les protocoles pris en charge sur lesquels le contenu viral est le plus souvent transféré, y compris: http, smtp, imap, pop3, ftp, et la miette. S’assurer qu’un profil anti-virus avec une action préventive est attribué à toute règle de sécurité qui permet un trafic qui est généralement ciblé (navigation Web sur Internet, et accès au courrier électronique par exemple) devrait idéalement avoir un profil anti-virus qui lui est attribué avec des actions préventives configurées à la fois pour l’action Wildfire et -action colonne pour les protocoles sur lesquels il est pris en charge. (Voir la section Prévention - Mises à jour dynamiques pour plus de détails sur la différence).
(Profils antivirus)

3)Le URL filtrage peut être configuré pour bloquer l’accès aux URL dans des catégories suspectes telles que malware/phishing/inconnu/dynamique/proxy-avoidance/questionable/parked, DNS ce qui empêchera un hôte de tendre la main via HTTP un serveur Web Palo Alto Networks a vu héberger du contenu suspect / malware. 
(De la part des experts : mise URL en œuvre du filtrage et dépannage )

4) Utilisez les fonctionnalités de blocage de fichiers de l’appareil. PAN-OS PAN-OS est capable d’identifier les types de fichiers pris en charge dans les flux de données et de prendre des mesures en fonction de la façon dont vous les avez configurés. Une tactique commune de ransomware (et les auteurs de logiciels malveillants en général) est de se lever de nouvelles infrastructures pour la livraison, utilisez-le pendant un court laps de temps et puis il s’installe. Cela empêche le filtrage selon réputation, que par la sécurité de temps fournisseurs peuvent classifier l’infrastructure comme l’appelle menace malveillante, habile acteurs ont pris leur retraite et opèrent ailleurs. Une solution à cela est de combiner le blocage de fichiers de types de charge utile malveillants communs (tels que Flash, PDF , Exécutable, et documents Office) avec une règle de sécurité avec le service / URL catégorie définie à « Inconnu » et la destination étant l’Internet public. Cela empêche effectivement le transfert de types de charge utile communs indépendamment AV de la détection simplement parce que votre appareil ne connaît pas la source du PAN-OS fichier.

Veuillez noter que les policy modifications de ce type doivent être soigneusement configurées pour s’assurer que le trafic légitime n’est pas touché. Comme Palo Alto Networks ne peut pas scanner les sites intranet URL de l’entreprise, il est important de s’assurer que les journaux de filtrage pour l’activité de catégorie Inconnu sont examinés avant d’adopter un bloc de ce type pour éviter de provoquer une panne de service pour les utilisateurs internes. Créer des URL catégories personnalisées pour les sites qui ne sont pas actuellement classés par les réseaux Palo Alto firewall peut vous préparer à cette étape.

En outre, il peut également être pertinent d’envisager de bloquer certains types de fichiers SMTP plus , car une partie importante des campagnes Ransomware tirer parti des e-mails de phishing avec des pièces jointes malveillantes comme un vecteur d’infection.

Les types de fichiers pertinents incluent : PE Tous les types de fichiers (exe, cpl, dll, ocx, sys, scr, drv, efi, fon, pif), , , , HLP LNK CHM BAT . VBE 

Le blocage ou l’alerte sur les types de fichiers cryptés peut également aider à réduire l’exposition (crypté-zip).

Il peut être utile d’alerter sur tous les types de fichiers qui ne sont pas bloqués pour la visibilité et l’analyse du journal.
(Conseils sur le terrain: Profil de blocage de fichiers)

5)Certaines variantes de ransomware atteindre l’infrastructure externe pour recevoir des données (telles que l’entrée de l’infrastructure déclarée pour générer des clés de cryptage pour chiffrer vos fichiers); en tant que tel, il est important de configurer un profil anti-spyware avec un paramètre « strict » et de s’assurer qu’il est appliqué aux règles de sécurité dans lesquelles le trafic s’écarte vers l’Internet public
( Profilsanti-spyware)

En outre, le profil Anti-Spyware contient des actions pour lorsque des DNS requêtes suspectes sont détectées. L’anti-virus et le contenu contient une liste de domaines que Palo Alto Networks a identifiés comme Wildfire étant potentiellement associés à du trafic malveillant; les administrateurs réseau peuvent bloquer les DNS requêtes vers ces domaines avec ce profil, ou choisir de gouffre le trafic vers une adresse interne IP qu’ils ont configurée pour une analyse plus approfondie. Les administrateurs vraiment dévoués verront le potentiel ici de faire une configuration intéressante ; une fois que l’on DNS l’a détourné et redirigé vers un gouffre, debout un serveur Web à cette adresse peut permettre à IP l’administrateur d’inspecter ce qui peut avoir résulté DNS d’une recherche réussie.
(Comment configurer DNS sinkhole | Comment vérifier la DNS fonction sinkhole fonctionne| Tutoriel vidéo: Comment configurer DNS Sinkhole)  

6) S’ils sont autorisés, Wildfireles soumissions doivent être configurées pour permettre la soumission de types de fichiers pris en charge au Wildfire cloud pour évaluation. Cela permettra aux réseaux Palo Alto d’identifier firewall de nouvelles variantes de logiciels malveillants, de créer une signature pour eux et de les fournir dans nos mises à jour de contenu (voir la section Prévention - Mises à jour dynamiques pour plus de détails sur la diffusion du contenu)
( Soumettre des fichierspour WildFire analyse | WildfireConfiguration, test et surveillance)  

7) prend PAN-OS en charge l’utilisation de listes dynamiques externes pour une utilisation dans une règle de sécurité pour empêcher la communication avec des destinations basées sur des sources externes de réputation. Bien que Palo Alto Networks ne soit pas actuellement le curé de sa propre liste de sources approuvées, il existe une liste agrégée de ressources pour la consommation des clients disponibles ici. 
(Utilisez une liste de blocs dynamiques dansPolicy | Comment configurer la liste de blocs dynamiques DBL ( ) ou liste de blocs externes ( EBL )

) 8) L’utilisation SSLdu décryptage est un facteur important à prendre en compte lors de la mise en œuvre des meilleures pratiques; aucune des préventions ci-dessus ne peut se produire si les flux de données traversant le sont firewall cryptés et ne peuvent pas être déchiffrés pour inspection. L’inspection anti-virus ne fonctionnera pas sur les HTTPS flux ou les courriels cryptés; URL Le filtrage est le meilleur effort contre le nom SNI commun/ sur le certificat attribué au serveur Web; Le blocage des fichiers ne peut pas se produire s’il ne peut pas identifier les fichiers en raison du PAN-OS protocole qu’ils traversent étant crypté; Wildfire les soumissions ne peuvent pas se produire si elles ne peuvent pas identifier les types de fichiers pris en charge pour la transfert en raison du protocole PAN-OS qu’ils traversent étant crypté; Les profils de vulnérabilité et de spyware ne peuvent pas inspecter et comparer le trafic avec les signatures connues si le trafic est crypté. Cela fait SSL du décryptage une partie intégrante de s’assurer qu’un réseau n’a pas d’angles morts.
(SSL liste des ressources de décryptage)

9)Autant que possible, permettre une application spécifique dans la règle de sécurité. Si possible, envisagez de bloquerle trafic « inconnu-tcp» et« unknown-udp» et de créer des applications personnalisées pour les applications internes si nécessaire. 

10) AutoFocus (autofocus.paloaltonetworks.com) peut être utilisé pour mieux comprendre les modèles de comportement d’une variante particulière de ransomware. Lorsque ransomware explose, les artefacts qu’il génère aussi bien du côté hôte et réseau sont souvent assez uniques pour aider à identifier quel type de ransomware c’est ; Cela peut inclure l’extension des fichiers cryptés, format des notes rançon qui se retrouvent avec instructions de récupération et le trafic de C2 à des hébergeurs externes, pour n’en nommer que quelques-uns. Examen des balises familiales ransomware commune AutoFocus peut illustrer ce qui est unique à quelle variante et peut aider les utilisateurs à comprendre ce que chaque variante ressemble. Le fait d’être armé de ces connaissances rendra un administrateur réseau mieux armé pour faire face à une infection potentielle.

AutoFocus peut également prêter le contexte quant à ce ransomwares ciblent quelles organisations, industries, ou leurs pairs. Cela peut permettre une certaine mesure de collecte de données pro-active avant tout incident et mieux préparer les administrateurs à renforcer leurs défenses en préparation de toute attaque future.

On pourrait même combiner des AutoFocus indicateurs de compromis avec d’autres fonctions PAN-OS préventives comme les listes dynamiques externes pour aider à augmenter leur posture de sécurité.
(Trucs et AutoFocus FAQ astuces: | Comment utiliser AutoFocus)

Prévention des attaques Ransomware — Mises à jour dynamiques
ainsi que la configuration adéquate des profils de PAN-OS sécurité, s’assurer que le contenu le plus récent est disponible sur l’appareil aidera à garder un réseau à l’abri des dernières menaces.
( Gérerles mises à jour de contenu)

Palo Alto Networks fournit du contenu sous de nombreuses formes :

• Pour URL le filtrage, PAN-DB /BrightCloud les recherches se produisent lorsque les URL sont accessibles (avec mise en cache d’entre elles qui expire après une période). En tant que tel, aucune mise à jour planifiée n’est nécessaire pour URL le filtrage.
• Mises à jour anti-virus se produisent à peu près une fois toutes les 24 heures, la publication tôt ( S’il vous plaît noter qu’il AM PST s’agit d’une estimation, et le temps peut changer en fonction des processus d’assurance de la qualité). En tant que tel, configurer un PAN-OS dispositif pour mettre à jour le contenu anti-virus au moins une fois par jour est recommandé. Le contenu anti-virus contient des signatures pour les fichiers malveillants connus, et le contenu est généré à la suite de l’analyse Wildfire bac à sable des échantillons soumis. Ce contenu s’arrime le profil de sécurité anti-virus sous la colonne « Action ».
• Wildfire mises à jour (si elle est autorisée) sont disponibles environ toutes les 15 minutes. En tant que tel, la configuration d’un dispositif pour mettre à jour le contenu aussi souvent que possible est recommandée; cela permettra de PAN-OS Wildfire s’assurer que l’appareil a les dernières signatures à un moment donné, et de maintenir les capacités de prévention à jour. Ce contenu est lié au profil de sécurité Anti-Virus dans la colonne Wildfire " Action « .
• Les mises à jour des applications et des menaces se produisent à peu près une fois tous les 7 jours, et sont publiées du mardi soir au mercredi matin (il pourrait y avoir une mise à jour occasionnelle du contenu d’urgence entre deux versions hebdomadaires régulières). En tant que tel, configurer un PAN-OS appareil pour mettre à jour les applications et les menaces au moins une fois par semaine est recommandé. Veuillez noter que ces paquets contiennent des mises à jour des capacités d’identification des applications et qu’il est recommandé aux administrateurs d’examiner en profondeur les notes de version afin de bien comprendre les modifications potentielles d’impact ou de configuration requises avant l’installation du contenu. La partie de « Menaces » de ce paquet contient des mises à jour de signatures de vulnérabilité (attachant dans le profil de sécurité de protection vulnérabilité) et mises à jour de signatures de Spyware (attachant dans le profil de sécurité Anti-Spyware).

Comme une note de la fermeture, il est à noter que les sauvegardes sont la meilleure défense contre des conséquences graves sur un réseau qui a été infecté par ransomware. Tant que les données de sauvegarde à jour et sécurisées soient disponibles, restauration après infection aura beaucoup moins de contrainte sur les affligés de partis et organisations.