Assurer une protection optimale pour CryptoLocker et P2PZeus (GameOverZeus)

Assurer une protection optimale pour CryptoLocker et P2PZeus (GameOverZeus)

17305
Created On 09/26/18 19:13 PM - Last Modified 06/09/23 02:58 AM


Resolution


Fond sur Zeus et Cryptolocker utilisant la DGA

De nombreuses familles de malwares d'aujourd'hui, y compris Zeus et Cryptolocker, utilisent diverses DGA (algorithmes de génération de domaine) pour atteindre les serveurs de contrôle par le biais du DNS pour établir le contact et recevoir des instructions. Il y a jusqu'à 1 000 domaines par jour que ces familles peuvent atteindre. Cela peut être l'une des chapelure cruciale pour aider à les détecter.

Intelligence du FBI sur Zeus/Cryptolocker

Avec le retrait par le FBI, Palo Alto réseaux et d'autres entreprises, a reçu des renseignements qui comprenaient, 250 000 URLs que P2PZeus et Cryptolocker atteindra pour les 3 prochaines années par ingénierie inverse de l'algorithme DGA pour ces familles, semblable à ce que Palo Les appareils du réseau Alto le font déjà. Ceux-ci sont réduits à environ 71K domaines, après avoir passé par les listes. Ces domaines ne sont vivants que pour un jour et sont morts le lendemain.

D'un point de vue de signature DNS, l'équipe de Palo Alto Networks menace crée des signatures pour ces domaines comme ils deviennent en direct (ils libèrent les signatures 3 jours avant que les domaines vont vivre), puis les retirer comme les prochains viennent en ligne. Cela résulte essentiellement en une couverture de roulement, qui est plus intelligent et efficace puisque l'appareil ne vérifie pas contre les signatures qui ne serait jamais le feu.

D'un point de vue pan-dB, les entrées de malware sont généralement supprimées si la signature DNS associée est retirée. Compte tenu de la nature très médiatisée de cette notification du FBI, Palo Alto Networks fera une exception et va ajouter tous les domaines dans Pan-dB à la fois. Les signatures DNS se poursuivront avec une couverture propagée.

Autres pratiques exemplaires de détection et de prévention pour Zeus, Cryptolocker et Cryptowall:

  • Utilisez des signatures IPS pour éviter que la vulnérabilité ne soit exploitée à partir d'attaques côté client qui pourraient baisser Zeus ou Cryptolocker
    • Envisagez le blocage en ligne avec une stratégie IPS stricte. Empêcher la vulnérabilité côté client d'être exploitée avec un lecteur en téléchargement et en supprimant le malware sur le système.
  • Levier AV: Palo Alto Networks a une couverture de signature AV substantielle pour Cryptolocker et Zbot. Cryptolocker peut également venir via l'ingénierie sociale en tant que documents PDF malveillants/Office ou des pièces jointes zip qui pourraient inclure des fichiers malveillants.
    • L'appellation AV peut être très difficile à assortir avec d'autres fournisseurs. Nous avons ajouté une couverture pour de nombreux échantillons sous le nom de type "virus/Win32. Generic. jnxyz". Trojan-Ransom, Ransom/Win32. crilock, Trojan/Win32. lockscreen — recherche sous "Lock" dans la voûte de menaces de virus.
    • Trojan-Spy/Win32. Zbot et PWS/Win32. Zbot-recherche sous Zbot dans la voûte de menace de virus.
  • Utilisez la détection de spyware/CNC pour trouver des systèmes infectés qui peuvent tirer vers le bas des variantes supplémentaires.  Assurez-vous que la détection Spyware/DNS est activée.
    • DNS suspect--enquêter et assainir toute requête DNS suspecte. Ces systèmes sont probablement infectés.
      • Exemple: requête DNS suspecte (Generique:lilokobimqit. KZ) (4042599)
    • Signatures CNC spyware:
      • Rechercher "Zbot" ou Cryptolocker dans la menace Vault sous Spyware pour la dernière couverture, y compris ID # 13433 "Cryptolocker commande et contrôle du trafic", 13131, Spyware-Zbot. P2P, 13050, Zbot. Gen commande et contrôle du trafic
  • Utiliser l'abonnement de filtrage d'URL avec Pan-DB pour empêcher les menaces d'être téléchargées à partir de domaines malveillants et de se connecter à des domaines malveillants connus
    • Bloquer sur les domaines Malware, ainsi que l'évitement de proxy, et P2P
    • Utilisez une page "continuer" sur les sites Web de catégorie inconnue
  • Tirer un feu de forêt pour détecter les inconnus et 0-Day Malware ou compte-gouttes liés à Cryptolocker ou Zeus
    • Wildfire va automatiquement Voir le comportement malveillant et les logiciels malveillants et de pousser les signatures AV, DNS et CNC signatures pour prévenir les infections supplémentaires.
      Note: tous les fichiers Microsoft Office, PDF et Java, et PE au minimum devraient être aller à Wildfire.
  • Levier de blocage de fichiers:
    • Envisagez de bloquer tous les fichiers PE ou d'utiliser une «page continue» si les employés sont autorisés à télécharger. EXE comme un rappel
  • Décryptage de webmail:
    • Si un employé télécharge un FedEx. zip qui s'avère être cryptolocker, assurez-vous qu'ils peuvent l'inspecter avec la prévention de la menace
  • Tirer parti du rapport botnet pour trouver les systèmes infectés:
    • Regardez le rapport botnet pour vous assurer que vous n'avez pas manqué les systèmes déjà infectés
  • Créer un gouffre pour trouver des systèmes infectés
    • Utilisez la fonction Pan-OS 6,0 pour vous assurer que vous trouvez des systèmes déjà infectés facilement
  • Tirer parti du pare-feu:
    • Enquêter sur les alertes TCP-Unknown et UDP-Unknown. Ceux-ci pourraient être le vecteur CNC pour le malware ou l'accès à distance de Troie balisage.
  • Mises à jour pour les logiciels:
    • Il est recommandé que les employés ne pas installer Adobe Reader, Flash et Java mises à jour si ces pop-up. Envisagez d'installer toutes les mises à jour pour les utilisateurs ou que les utilisateurs visitent directement les sites Web. Les auteurs de malwares s'attaqueront aux tactiques d'ingénierie sociale pour obtenir vos employés pour installer le lecteur faux, Flash et mises à jour de Java, mais ceux-ci peuvent faire partie du vecteur d'infection.

Exemple de comportement Cryptolocker dans Wildfire

  • Fichiers créés ou modifiés
  • Nouveaux processus engendrés
  • Registres Windows modifiés
  • Registres modifiés ou configuration système pour activer la fonction de démarrage automatique
  • Modification des paramètres de sécurité d'Internet Explorer
  • Utilisé la méthode post dans http
  • Création d'un fichier exécutable dans un dossier de document utilisateur
  • Démarrage d'un processus à partir d'un dossier de document utilisateur
  • Lui-même supprimé
  • Création d'un fichier exécutable masqué
  • Fichiers Honey consultés
  • Enregistrement d'un fichier en tant que démarrage automatique à partir d'un répertoire local
  • Utilisé IP directe au lieu du nom d'hôte
  • L'échantillon a tenté de se copier
  • Échantillon utilisé un utilisateur suspect-agent

Les exemples suivants sont exemple Cryptolocker domaines pour 5/6/14 du FBI:

5/6/14 a. srwjusavvdtgit.ru

5/6/14 a. cyroeuvcjmawxh.ru

5/6/14 a. lrivijijtdutyf.ru

5/6/14 a. uhcnfwtpfcayqa.ru

5/6/14 a. dcdraouktfgamb.ru

5/6/14 a. mjxwjqqnhqpxln.ru

5/6/14 a. gvokgggxkhoefw.ru

5/6/14 a. boxblbanryhwhp.ru

5/6/14 a. qimhayesuxjyjp.ru

5/6/14 a. hqcgewkpofoywn.ru

5/6/14 a. jixtncyhsvfrwa.ru

5/6/14 a. aqnsrwovxikryf.ru

5/6/14 a. bsspfhnayuvwsd.ru

5/6/14 a. rbiojftwscbwrt.ru

5/6/14 a. xdskyfehjbfhtg.ru

5/6/14 a. mvtiohexaenqsy.ru

5/6/14 a. pfotdcrngdoikp.ru

5/6/14 a. wdlojxkvhayjox.ru

5/6/14 a. fupbpiycgrwlpc.ru

5/6/14 a. hqingcttomaxox.ru

5/6/14 a. osvwdclkohrndd.ru

5/6/14 a. hnrwotfkrskyen.ru

5/6/14 a. ayvpngeatjtfxf.ru

5/6/14 a. urfimdhlwjsfja.ru

5/6/14 a. jwclbtjkeowjmh.ru

5/6/14 a. epleanvnxjvjux.ru

5/6/14 a. dlfyucsaunfudn.ru

propriétaire: mauriy
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm3OCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language