Gewährleistung eines optimalen Schutzes für cryptolocker und P2PZeus (gameoverzeus)

Gewährleistung eines optimalen Schutzes für cryptolocker und P2PZeus (gameoverzeus)

17311
Created On 09/26/18 19:13 PM - Last Modified 06/09/23 02:58 AM


Resolution


Hintergrund auf Zeus und cryptolocker mit DGA

Viele Malware-Familien, darunter Zeus und cryptolocker, nutzen heute verschiedene DGA (Domain-Generation-Algorithmen), um über die DNS auf die Steuerungs Server zu gelangen, um Kontakt herzustellen und Anweisungen zu erhalten. Es gibt bis zu 1.000 Domains pro Tag, die diese Familien erreichen können. Das kann einer der entscheidenden Brotkrümel sein, die helfen, Sie zu erkennen.

Geheimdienst vom FBI über Zeus/cryptolocker

Mit dem Takedown durch das FBI, Palo Alto Networks und andere Unternehmen, erhielt Intelligenz, die mit 250k URLs, die P2PZeus und cryptolocker erreichen, um für die nächsten 3 Jahre durch Reverse Engineering der DGA-Algorithmus für diese Familien, ähnlich dem, was Palo Alto-Netzwerkgeräte schon. Diese werden auf etwa 71k-Domains reduziert, nachdem Sie durch die Listen gegangen sind. Diese Domains werden nur für einen Tag lebendig und sind am nächsten tot.

Aus einer DNS-Signatur-Perspektive erstellt das Palo Alto Networks-Bedrohungs Team Signaturen für diese Domains, wenn Sie Live werden (Sie veröffentlichen die Signaturen 3 Tage, bevor die Domains Live gehen), und ziehen Sie dann in den Ruhestand, wenn die nächsten Online kommen. Dies führt im Wesentlichen zu einer rollenden Abdeckung, die intelligenter und effizienter ist, da das Gerät nicht gegen Signaturen prüft, die niemals feuern würden.

Aus der Pan-DB-Perspektive werden Malware-Einträge typischerweise entfernt, wenn die zugehörige DNS-Signatur in den Ruhestand geht. Angesichts der hohen Bekanntheit dieser FBI-Mitteilung werden Palo Alto Networks eine Ausnahme machen und alle Domains sofort in Pan-DB einfügen. DNS-Signaturen werden mit rollender Abdeckung fortgesetzt.

Weitere Erkennungs-/Präventionspraktiken für Zeus, cryptolocker und cryptowall:

  • Verwenden Sie IPS-Signaturen, um zu verhindern, dass die Verwundbarkeit von Client-Seiten Angriffen ausgenutzt wird, die Zeus oder cryptolocker fallen lassen könnten
    • Erwägen Sie die Inline-Sperrung mit einer strikten IPS-Politik. Verhindern Sie, dass die Verwundbarkeit der Client-Seite mit einem Laufwerk ausgenutzt wird, indem Sie die Malware auf das System herunterladen und ablegen.
  • Hebel-AV: Palo Alto Networks verfügt über eine umfangreiche AV-Signatur-Abdeckung für cryptolocker und ZBot. Cryptolocker können auch über Social Engineering als böswillige PDFs/Office-Dokumente oder zip-Anhänge kommen, die bösartige Dateien enthalten könnten.
    • AV-Namensgebung kann sehr herausfordernd sein, um mit anderen Anbietern zu passen. Wir haben die Abdeckung für viele Samples unter dem Typnamen "Virus/Win32. Generic. jnxyz" hinzugefügt. Trojan-Lösegeld, Lösegeld/Win32. crilock, Trojan/Win32. Schließ Bildschirm — Suche unter "Lock" im Virus Threat Vault.
    • Trojan-Spy/Win32. ZBot und PWS/Win32. ZBot – die Suche unter ZBot im Virus Threat Vault.
  • Verwenden Sie Spyware/CNC-Erkennung, um infizierte Systeme zu finden, die zusätzliche Varianten abziehen können.  Sicherstellen, dass Spyware/DNS-Erkennung aktiviert ist.
    • Verdächtiges DNS--untersuchen und Beheben von verdächtigen DNS-Abfragen. Das sind höchstwahrscheinlich infizierte Systeme.
      • Beispiel: verdächtige DNS-Abfrage (Generic:lilokobimqit. KZ) (4042599)
    • Spyware CNC Signaturen:
      • Suchen Sie "ZBot" oder cryptolocker in Threat Vault unter Spyware für die neueste Berichterstattung, einschließlich ID # 13433 "cryptolocker Kommando-und Steuerungs Verkehr", 13131, Spyware-ZBot. P2P, 13050, ZBot. Gen Kommando-und Kontroll Verkehr
  • Verwenden Sie URL-Filter-Abonnement mit Pan-DB, um zu verhindern, dass Bedrohungen von bösartigen Domains heruntergeladen werden und sich mit bekannten bösartigen Domains verbinden
    • Block auf Malware-Domains, sowie Proxy-Vermeidung, und P2P
    • Verwenden Sie eine "weiter-Seite" auf unbekannten Kategorien-Websites
  • Nutzen Sie Wildfire, um die unbekannte und 0-tägige Malware oder Dropper im Zusammenhang mit cryptolocker oder Zeus zu erkennen
    • Wildfire wird automatisch das bösartige Verhalten und die Malware sehen und AV-Signaturen, DNS und CNC-Signaturen Ausschieben, um zusätzliche Infektionen zu verhindern.
      Hinweis: alle Microsoft Office, PDF und Java, und PE-Dateien auf ein Minimum sollten zu Wildfire gehen.
  • Hebel-Dateisperrung:
    • Erwägen Sie das Blockieren aller PE-Dateien oder verwenden Sie eine "weiter-Seite", wenn die Mitarbeiter herunterladen dürfen. EXE es als Erinnerung
  • Entschlüsselung von Webmail:
    • Wenn ein Mitarbeiter einen FedEx. zip herunterlädt, der sich als kryptolocker erweist, stellen Sie sicher, dass er ihn mit Bedrohungs Vorbeugung inspizieren kann.
  • Nutzen Sie den Botnet-Bericht, um infizierte Systeme zu finden:
    • Schauen Sie sich den Botnet Report an, um sicherzustellen, dass Sie bereits infizierte Systeme nicht verpasst haben
  • Erstellen Sie ein sinkloch, um infizierte Systeme zu finden
    • Verwenden Sie die Pan-OS 6,0-Funktion, um sicherzustellen, dass Sie bereits infizierte Systeme leicht finden
  • Nutzen Sie die Firewall:
    • Untersuchen Sie TCP-unbekannte und UDP-unbekannte Warnungen. Diese könnten der CNC-Vektor für die Malware oder den Remote-Access-Trojaner sein.
  • Updates für Software:
    • Es wird empfohlen, dass die Mitarbeiter Adobe Reader, Flash und Java-Updates nicht installieren, wenn diese Pop-up. Erwägen Sie die Installation aller Updates für Benutzer oder haben Nutzer die Websites direkt zu besuchen. Malware-Autoren werden Social-Engineering-Taktiken ausnutzen, um Ihre Mitarbeiter dazu zu bringen, gefälschte Reader, Flash und Java-Updates zu installieren, aber diese können Teil des Infektions Vektors sein.

Cryptolocker Verhalten Zusammenfassung Beispiel in Lauffeuer

  • Erstellte oder modifizierte Dateien
  • Neue Prozesse hervorgebracht
  • Modifizierte Windows-Registrierungen
  • Modifizierte Registrierungen oder Systemkonfiguration, um die automatische Startfähigkeit zu ermöglichen
  • Veränderte Sicherheitseinstellungen des Internet Explorer
  • Benutzte die Post-Methode in http
  • Eine ausführbare Datei in einem Ordner für Benutzer Dokumente erstellt
  • Ein Prozess aus einem Benutzer Dokument-Ordner gestartet
  • Selbst gelöscht
  • Eine versteckte ausführbare Datei erstellt
  • Honig Dateien abgerufen
  • Eine Datei als Auto-Start aus einem lokalen Verzeichnis registriert
  • Verwendete direkte IP anstelle von Hostnamen
  • Probe versucht, sich selbst zu kopieren
  • Probe benutzte einen verdächtigen User-Agent

Im folgenden finden Sie Beispiele für cryptolocker-Domains für 5/6/14 vom FBI:

5/6/14 a. srwjusavvdtgit.ru

5/6/14 a. cyroeuvcjmawxh.ru

5/6/14 a. lrivijijtdutyf.ru

5/6/14 a. uhcnfwtpfcayqa.ru

5/6/14 a. dcdraouktfgamb.ru

5/6/14 a. mjxwjqqnhqpxln.ru

5/6/14 a. gvokgggxkhoefw.ru

5/6/14 a. boxblbanryhwhp.ru

5/6/14 a. qimhayesuxjyjp.ru

5/6/14 a. hqcgewkpofoywn.ru

5/6/14 a. jixtncyhsvfrwa.ru

5/6/14 a. aqnsrwovxikryf.ru

5/6/14 a. bsspfhnayuvwsd.ru

5/6/14 a. rbiojftwscbwrt.ru

5/6/14 a. xdskyfehjbfhtg.ru

5/6/14 a. mvtiohexaenqsy.ru

5/6/14 a. pfotdcrngdoikp.ru

5/6/14 a. wdlojxkvhayjox.ru

5/6/14 a. fupbpiycgrwlpc.ru

5/6/14 a. hqingcttomaxox.ru

5/6/14 a. osvwdclkohrndd.ru

5/6/14 a. hnrwotfkrskyen.ru

5/6/14 a. ayvpngeatjtfxf.ru

5/6/14 a. urfimdhlwjsfja.ru

5/6/14 a. jwclbtjkeowjmh.ru

5/6/14 a. epleanvnxjvjux.ru

5/6/14 a. dlfyucsaunfudn.ru

Besitzer: maurisy
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm3OCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language