Asegurando una protección óptima para CryptoLocker y P2PZeus (GameOverZeus)

Asegurando una protección óptima para CryptoLocker y P2PZeus (GameOverZeus)

17303
Created On 09/26/18 19:13 PM - Last Modified 06/09/23 02:58 AM


Resolution


Antecedentes de Zeus y Cryptolocker utilizando la DGA

Muchas familias de malware hoy en día, incluyendo Zeus y Cryptolocker, utilizan varios DGA (algoritmos de generación de dominio) para llegar a los servidores de control a través del DNS para establecer contacto y recibir instrucciones. Hay hasta 1.000 dominios por día que estas familias pueden llegar a. Esto puede ser una de las migas de pan cruciales para ayudar a detectarlos.

Inteligencia del FBI sobre Zeus/Cryptolocker

Con el derribo del FBI, Palo Alto Networks y otras empresas, recibieron inteligencia que incluía, 250K URLs que P2PZeus y Cryptolocker alcanzarán para los próximos 3 años por ingeniería inversa el algoritmo de la DGA para esas familias, similar a lo que palo Los dispositivos de red alto ya lo hacen. Estos se reducen a aproximadamente 71K dominios, después de pasar por las listas. Estos dominios sólo vienen vivos por un día y están muertos el próximo.

Desde el punto de vista de la firma DNS, el equipo de amenazas de Palo Alto Networks crea firmas para esos dominios a medida que se convierten en Live (liberan las firmas 3 días antes de que los dominios vayan en directo), y luego los retiran como los siguientes vienen en línea. Esto esencialmente resulta en la cobertura del balanceo, que es más inteligente y eficiente puesto que el dispositivo no está comprobando contra las firmas que nunca dispararían.

Desde una perspectiva pan-dB, las entradas de malware se eliminan normalmente si la firma DNS asociada se retira. Dada la naturaleza de alto perfil de este aviso del FBI, Palo Alto Networks hará una excepción y agregará todos los dominios a pan-dB a la vez. Las firmas DNS continuarán con la cobertura de balanceo.

Otras prácticas recomendadas de detección/prevención para Zeus, Cryptolocker y Cryptowall:

  • Utilice firmas IPS para evitar que se explote la vulnerabilidad de los ataques del lado del cliente que podrían soltar a Zeus o Cryptolocker
    • Considere el bloqueo en línea con una estricta Directiva IPS. Evite que la vulnerabilidad del lado del cliente se explote con una unidad mediante la descarga y la caída del malware en el sistema.
  • Apalancamiento AV: Palo Alto Networks tiene una importante cobertura de la firma AV para Cryptolocker y ZBot. Cryptolocker también puede venir a través de ingeniería social como PDF maliciosos/documentos de oficina o archivos adjuntos zip que pueden incluir ficheros maliciosos.
    • El nombre de AV puede ser muy difícil de igualar con otros proveedores. Hemos añadido cobertura para muchas muestras bajo el nombre de tipo "virus/Win32. Generic. jnxyz". Trojan-Ransom, Ransom/Win32. crilock, Trojan/Win32. Lockscreen — busca en "Lock" en la bóveda de amenazas de virus.
    • Trojan-Spy/Win32. ZBot y PWS/Win32. ZBot – buscar en Zbot en la bóveda de amenazas de virus.
  • Utilice la detección de spyware/CNC para encontrar los sistemas infectados que pueden tirar abajo de variantes adicionales.  Asegúrese de que la detección de spyware/DNS está activada.
    • DNS sospechoso: Investigue y remedie cualquier consulta DNS sospechosa. Estos son los sistemas más probables infectados.
      • Ejemplo: consulta DNS sospechosa (Generic:lilokobimqit. KZ) (4042599)
    • Firmas del CNC del spyware:
      • Search "Zbot" o Cryptolocker en la bóveda de la amenaza bajo spyware para la última cobertura incluyendo la identificación # 13433 "Cryptolocker el tráfico del comando y del control", 13131, spyware-ZBot. P2P, 13050, comando de ZBot. gen y tráfico del control
  • Utilice la suscripción de filtrado de URL con pan-dB para evitar que las amenazas se descarguen de dominios maliciosos y se conecten a dominios maliciosos conocidos
    • Bloquear en los dominios de malware, así como evitar proxy, y P2P
    • Usar una "página de continuar" en sitios web de categorías desconocidas
  • Aproveche Wildfire para detectar el malware desconocido y 0 días o cuentagotas relacionados con Cryptolocker o Zeus
    • Wildfire verá automáticamente el comportamiento malicioso y el malware y expulsará las firmas de AV, las firmas DNS y CNC para prevenir infecciones adicionales.
      Nota: todos los archivos de Microsoft Office, PDF y Java, y PE como mínimo deben ir a Wildfire.
  • Apalancamiento del bloqueo de archivos:
    • Considere la posibilidad de bloquear todos los archivos de PE o utilizar una ' continuar página ' si los empleados pueden descargar. EXE como un recordatorio
  • Desencriptación desde Webmail:
    • Si un empleado descarga un Fedex. zip que resulta ser cryptolocker, asegúrese de que puede inspeccionarlo con la prevención de amenazas
  • Aproveche el informe de bots para encontrar sistemas infectados:
    • Mire el informe de bots para asegurarse de que no ha perdido los sistemas ya infectados
  • Crear un sumidero para encontrar sistemas infectados
    • Utilice la función pan-os 6,0 para asegurarse de que encuentra los sistemas ya infectados con facilidad
  • Aproveche el Firewall:
    • Investigue las alertas TCP-Unknown y UDP-Unknown. Éstos podrían ser el vector del CNC para el malware o el Trojan del acceso alejado que señalaba con almenara hacia fuera.
  • Actualizaciones para el software:
    • Se recomienda que los empleados no instalen las actualizaciones de Adobe Reader, Flash y Java si estas ventanas emergentes. Considere la posibilidad de instalar todas las actualizaciones para usuarios o que los usuarios visiten los sitios web directamente. Los autores de malware se aprovecharán de las tácticas de ingeniería social para conseguir que sus empleados instalen las actualizaciones falsas de Reader, Flash y Java, pero éstas pueden ser parte del vector de infección.

Ejemplo de comportamiento Cryptolocker en Wildfire

  • Archivos creados o modificados
  • Nuevos procesos generados
  • Registros de Windows modificados
  • Registros modificados o configuración del sistema para habilitar la capacidad de inicio automático
  • Cambios en la configuración de seguridad de Internet Explorer
  • Utilizó el método post en http
  • Creación de un archivo ejecutable en una carpeta de documento de usuario
  • Inició un proceso desde una carpeta de documento de usuario
  • Borrado a sí mismo
  • Creado un archivo ejecutable oculto
  • Acceso a los archivos de miel
  • Registró un archivo como auto-inicio desde un directorio local
  • Se utiliza IP directa en lugar de nombre de host
  • Muestra intentó copiarse
  • Muestra utilizó un agente de usuario sospechoso

Los siguientes son ejemplos de los dominios Cryptolocker de ejemplo para 5/6/14 del FBI:

5/6/14 a. srwjusavvdtgit.ru

5/6/14 a. cyroeuvcjmawxh.ru

5/6/14 a. lrivijijtdutyf.ru

5/6/14 a. uhcnfwtpfcayqa.ru

5/6/14 a. dcdraouktfgamb.ru

5/6/14 a. mjxwjqqnhqpxln.ru

5/6/14 a. gvokgggxkhoefw.ru

5/6/14 a. boxblbanryhwhp.ru

5/6/14 a. qimhayesuxjyjp.ru

5/6/14 a. hqcgewkpofoywn.ru

5/6/14 a. jixtncyhsvfrwa.ru

5/6/14 a. aqnsrwovxikryf.ru

5/6/14 a. bsspfhnayuvwsd.ru

5/6/14 a. rbiojftwscbwrt.ru

5/6/14 a. xdskyfehjbfhtg.ru

5/6/14 a. mvtiohexaenqsy.ru

5/6/14 a. pfotdcrngdoikp.ru

5/6/14 a. wdlojxkvhayjox.ru

5/6/14 a. fupbpiycgrwlpc.ru

5/6/14 a. hqingcttomaxox.ru

5/6/14 a. osvwdclkohrndd.ru

5/6/14 a. hnrwotfkrskyen.ru

5/6/14 a. ayvpngeatjtfxf.ru

5/6/14 a. urfimdhlwjsfja.ru

5/6/14 a. jwclbtjkeowjmh.ru

5/6/14 a. epleanvnxjvjux.ru

5/6/14 a. dlfyucsaunfudn.ru

Propietario: mauriy
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm3OCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language