勒索预防的最佳做法
Resolution
什么是勒索软件?
勒索软件是一个恶意软件系列,它试图加密最终用户计算机上的文件,然后要求某种形式的电子支付恢复加密的文件。
勒索软件是现代威胁环境中比较常见的威胁之一;有许多不同的变种,感染可以花费很多钱来恢复,和负责感染的行为者被驱使,通过勒索他们的受害者创造尽可能多的收入。
本文将作为一些最佳实践的一般指南,以帮助保持网络没有勒索软件感染。
勒索软件是如何交付的?
勒索软件主要通过以下途径交付给目标:
- 网页仿冒电子邮件可能包含恶意附件。 这些附件是不常交在可执行文件的形式;作为安全厂商和安全最佳做法要求接受通过电子邮件的可执行文件是,一般情况下,我们想要阻止,威胁演员必须适应不断变化的景观。 这可以通过间接传递机制。 在 Windows 中,例如,一个恶意的演员可能会选择交货少直接法︰ 将经过模糊处理的 JavaScript 文件嵌入到档案和依赖于最终用户的余生。 打开一个。 JS Windows 主机上的文件将启动默认浏览器,然后 JavaScript 可以联系外部 URL 以获取可执行文件,将其交付给受害者并执行它。 此时,阻止用户通过电子邮件接收可执行的不再有效,因为可执行通过 HTTP 。
- 已知利用漏洞的工具包(如钓鱼器或中微子)通过利用易受攻击的 Web 服务器并托管恶意 Web 脚本向用户提供勒索软件,这些脚本在满足特定条件时利用访问者,然后传递恶意有效负载(钓鱼者利用工具包文章 @Unit42)。
- 注意到有针对性的勒索并跟踪最近,在哪些组织了外部面临 web 服务器受到恶意行为者为了占有一席之地,着手映射出来,环境和部署文件囊及集体。 (萨姆萨恶意软件的演变文章 @ Unit42)
防止勒索软件攻击-安全配置文件
PAN-OS 在杀链的不同点有保护,以解决勒索软件感染,并防止它进入网络。 A 安全概况及其目的的概要可在此处找到: 安全 policy 基础知识
1) 为了打击漏洞套件和已知漏洞,内容中存在许多 漏洞 签名 PAN-OS 。 为了保护用户免受这些漏洞的侵害,使用"严格"的漏洞保护 policy 可以提供帮助,并建议这样做。 在最起码,确保预防与启用了签名反对高严重性签名行动是必要的。 A 对漏洞保护配置文件的严格立场将有助于防止漏洞利用套件暴露,并有助于防止外部面向 Web 服务器免受已知漏洞的利用。
一些潜在的相关签名包括漏洞利用套件标记的签名(见下面的参考 1)、恶意软件 XOR 混淆检测、微软 Windows OLE 远程代码执行、恶意 PE 检测和 JavaScript 混淆检测。
此外,由于 JavaScript 是用于阻止文件的不受支持的文件类型,因此可以调查签名 39002 和 39003 上的操作,后者可检查源内是否存在 JavaScript 文件 SMTP 。
为了改善安全态势,我们建议为以下威胁创建一个例外 ID 。将它们设置为"拒绝",这将阻止匹配这些签名的流量。
但是,我们建议在使用"警报"设置之前在您的环境中进行测试,以确保合法流量不会被阻止,尽管电子邮件中发送的.js文件没有多少合法用途。
| 威胁 ID | 描述 |
| 38353 | 此签名表示 MSO 检测到恶意文件 |
| 38590 | 此签名表示 MSO 检测到恶意文件 |
| 38591 | 此签名表示 MSO 检测到恶意文件 |
| 39002 | 此签名检测直接在电子邮件中发送的 .js.wsf 或 .hta 文件 |
| 39003 | 此签名检测 ZIP 电子邮件中发送的文件夹中的.js .wsf或 。hta 文件 |
有关可用漏洞签名的更多数据,请参阅威胁 Vault 2.0。
(漏洞利用工具包和网络钓鱼漏洞配置文件| 漏洞保护配置文件)
2) 为了防止恶意有效载荷的传递, PAN-OS 有一个 防病毒 扫描引擎,可以检查最常传输病毒内容的支持协议,包括 :http、smtp、imap、pop3、ftp 和 smb。 确保使用预防行动的防病毒配置文件被分配到允许通常针对的流量的任何安全规则(例如,Web 浏览 Internet 和电子邮件访问),最好有一个防病毒配置文件分配给它,并将其配置 Wildfire 为支持其的协议的"行动"和"行动"列的预防性操作。 (请参阅预防 - 动态更新部分,了解差异的详细信息)。
(防病毒配置文件)
3) URL 过滤 可以配置为阻止访问网址的可疑类别,如恶意软件/网络钓鱼/未知/动态 DNS /代理回避/可疑/停放,这将阻止主机通过 HTTP 网络服务器 Palo Alto 网络看到主机可疑内容/恶意软件。
(摘自专家: URL 过滤实施和故障排除)
4)使用设备的文件阻止功能 PAN-OS 。 PAN-OS 能够识别数据流中支持的文件类型,并根据您如何配置它们采取行动。 勒索 (和一般的恶意软件作者) 最常见的策略是时间的要站起来为交付新的基础设施,用于短,量,然后退休它。 这可以防止声誉基于滤波,通过时间安全供应商可以分类基础设施称为恶意的、 聪明的威胁行为者已退休它和经营其他地方。 解决这个问题的一个解决方案是将常见恶意有效载荷类型(如 Flash、 PDF 可执行和 Office 文档)的文件拦截与设置 URL 为"未知"的服务/类别以及目标为公共互联网的安全规则相结合。 这有效地防止了普通有效载荷类型的传输,无论 AV 检测原因很简单,因为您的 PAN-OS 设备不知道文件的来源。
请注意, policy 应仔细配置此类更改,以确保不影响合法流量。 由于 Palo Alto 网络无法扫描公司内部互联网站点,因此在 URL 发布此类阻止之前,必须确保对未知类别活动的过滤日志进行审查,以防止导致内部用户的服务中断。 URL为目前尚未由 Palo Alto 网络分类的站点创建自定义类别 firewall 可以为您准备此步骤。
此外,考虑阻止某些文件类型可能也相关 SMTP ,因为勒索软件活动的很大一部分利用带有恶意附件的网络钓鱼电子邮件作为感染媒介。
相关文件类型包括:所有 PE 文件类型(exe,cpl,dll,ocx,sys,scr,博士,埃菲,方,皮夫 HLP LNK ),, CHM BAT VBE
阻止或提醒加密文件类型也有助于减少曝光(加密 zip)。
对未阻止的所有文件类型进行警报以进行可见性和日志分析可能很有用。
(来自字段的提示:文件阻止配置文件)
5) 勒索软件的某些变种会接触外部基础设施以接收数据(例如来自声明的基础设施的输入,以生成加密密钥来加密您的文件):因此,重要的是要配置一个 反间谍软件 配置文件与"严格"的设置,并确保它适用于安全规则,其中流量出口到公共互联网
(反间谍软件配置文件)
此外,反间谍软件配置文件包含行动时,可疑 DNS 查询 被发现。 防病毒和 Wildfire 内容包含 Palo Alto 网络已确定可能与恶意流量关联的域列表;网络管理员可以 DNS 用此配置文件阻止对这些域的请求,或者选择将流量沉入 IP 他们已配置的内部地址以供进一步分析。 真正敬业的管理员将看到在这里做一些有趣的配置的潜力:一旦有人劫持 DNS 并将其重定向到水槽中,在该地址站起 Web 服务器 IP 可以允许管理员检查成功查找可能导致的结果 DNS 。
(如何配置 DNS 沉井| 如何验证 DNS 沉井功能是工作 | 视频教程:如何配置 DNS 沉井)
6) 如果获得许可,应配置 Wildfire 提交, 以便将支持的文件类型提交到 Wildfire 云中进行评估。 这将允许 Palo Alto 网络 firewall 识别新的恶意软件变种,为它们创建签名,并在我们的内容更新中提供它们(请参阅预防 - 动态更新部分,了解内容交付的详细信息
)(提交文件供 WildFire 分析|Wildfire配置、测试和监控 )
7) PAN-OS 支持使用外部动态列表用于安全规则,以防止基于外部声誉来源的目的地进行通信。 虽然帕洛阿尔托网络公司目前没有策划自己的批准来源列表,但有一个汇总的资源清单,供客户消费 在这里。
(在|中使用动态块列表Policy如何配置动态块列表 ( DBL ) 或外部块列表 ( EBL )
8)SSL解密的使用是实施最佳实践时需要考虑的一个重要因素:如果穿越的数据流 firewall 是加密的,并且无法解密以进行检查,则上述任何预防措施都不可能发生。 防病毒检查将无法在 HTTPS 流式传输或加密电子邮件上运行: URL 过滤是针对 SNI 分配给 Web 服务器的证书上的常见名称/上的最佳努力:如果 PAN-OS 由于文件正在加密而无法识别文件,则无法进行文件拦截; Wildfire PAN-OS 如果无法识别支持的转发文件类型,则无法进行提交:如果无法识别支持的文件类型以进行转发,则无法进行提交:如果流量是加密的,则漏洞和间谍软件配置文件无法检查和比较流量与已知签名。 这使得 SSL 解密成为确保网络没有盲点的组成部分。
(SSL 解密资源列表)
9) 尽可能允许在安全规则中具体应用。 如果可能,请考虑阻止"未知 tcp"和"未知 udp"流量,并在需要时为内部应用程序创建自定义应用程序。
10) AutoFocus autofocus(paloaltonetworks.com) 可用于更好地了解勒索软件特定变种的行为模式。 当勒索引爆时,它生成两个主机和网络侧的工件往往是唯一的以帮助确定它是哪种类型的勒索;这可以包括文件扩展名已加密的文件,格式的赎金注意到只剩下恢复指令和 C2 交通到外部 web 主机,只是仅举几例。 查看常见的勒索软件家庭标签 AutoFocus 可以说明什么是独特的变种,并可以帮助用户了解每个变种的样子。 掌握这些知识将使网络管理员更好地武装起来,以应对潜在的感染。
AutoFocus 还可以提供有关勒索软件针对哪些组织、行业或其同行的上下文。 这可以允许在发生任何事件之前进行某种程度的主动数据收集,并更好地准备管理员加强防御,为将来的任何攻击做好准备。
人们甚至可能将 AutoFocus 妥协指标与其他 PAN-OS 预防功能(如外部动态列表)相结合,以帮助提高其安全态势。
(技巧和技巧:| AutoFocus FAQ 如何使用AutoFocus)
防止勒索软件攻击 - 动态更新
以及正确配置 PAN-OS 安全配置文件,确保设备上提供的最新内容将有助于保护网络免受最新威胁。
(管理内容更新)
帕洛阿尔托网络以多种形式提供内容:
- 对于 URL 过滤 PAN-DB ,/BrightCloud 查找发生在访问网址时(其中缓存在一段时间后过期)。 因此,过滤不需要计划更新 URL 。
- 防病毒 更新大约每 24 小时发布一次,提前发布 AM PST (请注意,这是一个估计值,时间可能会根据质量保证流程而变化)。 因此,建议每天至少配置一 PAN-OS 次设备来更新防病毒内容。 防病毒内容包含已知恶意文件的签名,并且内容是通过 Wildfire 对提交的样本进行沙盒分析而生成的。 此内容联系到"操作"列下的防病毒安全配置文件。
- Wildfire 更新(如果许可)大约每15分钟提供一次。 因此,建议配置设备 PAN-OS Wildfire 以尽可能频繁地更新内容;这将确保设备在任何给定时间都有最新的签名,并保持最新的预防功能。 此内容与"行动"列中的防病毒安全配置 Wildfire 文件相关。
- 应用程序和威胁 更新大约每 7 天发生一次,从星期二晚上发布到周三上午(偶尔会有紧急内容更新以及每周两次定期发布之间)。 因此, PAN-OS 建议每周至少配置一次设备来更新应用程序和威胁。 请注意 ,这些软件包包含对应用程序识别功能的更新,建议管理员彻底审查发布说明,以便在安装内容之前充分了解所需的任何潜在影响或配置更改。 此软件包的"威胁"部分包含漏洞签名 (绑到漏洞保护安全配置文件) 的更新和对间谍软件签名 (绑成反间谍软件的安全配置文件) 的更新。
作为一个关闭说明,值得一提,备份严重影响已经受到勒索的网络上最好的防守。 只要最新和有担保的备份数据是可用的补救在感染后的会有明显减少压力折磨的缔约方和组织。