CryptoLocker と P2PZeus (GameOverZeus) の最適な保護の確保
Resolution
DGA を用いたゼウスと Cryptolocker の背景
今日、ゼウスと Cryptolocker を含む多くのマルウェアの家族は、さまざまな DGA (ドメイン生成アルゴリズム) を利用して、DNS を通じて制御サーバーに接触を確立し、指示を受信します。これらの家族がに達するかもしれない1日あたりの1000ドメインまである。これは、検出に役立つ重要なブレッドクラムの1つです。
ゼウス/Cryptolocker の FBI からの情報
FBI、パロアルトネットワークや他の企業によるテイクダウンで、含まれているインテリジェンスを受け、P2PZeus と Cryptolocker は、これらの家族のための DGA アルゴリズムをリバースエンジニアリングすることによって、次の3年間に手を差し伸べることを250K の url を、どのようなパロアルト・ネットワーク・デバイスは、すでにします。これらは、リストを通過した後、約71K のドメインに削減されます。これらのドメインは1日だけ生きて来て、次の死んでいる。
DNS 署名の観点からは、パロアルトネットワークの脅威チームは、それらのドメインの署名を作成するとして、彼らはライブになる (彼らは署名をリリースする前に、ドメインがライブに行く3日)、次のものとして、それらを引退オンラインになる。これは本質的には、デバイスが起動しない署名に対してチェックしていないので、よりインテリジェントで効率的であるローリングカバレッジで、結果。
汎 DB パースペクティブから、関連付けられた DNS 署名が廃止された場合、マルウェアエントリは通常削除されます。この FBI の通知の高いプロファイルの性質を考えると、パロアルトネットワークは例外を行い、一度にパン DB にすべてのドメインを追加します。DNS 署名は、ローリングカバレッジで続行されます。
ゼウス、Cryptolocker、および Cryptowall のその他の検出/防止のベストプラクティス:
- ip 署名を使用して、ゼウスまたは Cryptolocker を落とす可能性のあるクライアント側の攻撃から脆弱性が悪用されるのを防ぎます。
- 厳密な IPS ポリシーを使用してインラインブロッキングを検討します。システムにマルウェアをダウンロードしてドロップすることで、クライアント側の脆弱性がドライブで悪用されないようにします。
- 活用 av: パロアルトネットワークは、Cryptolocker と Zbot のための実質的な av 署名のカバレッジを持っています。Cryptolocker はまた悪意のあるファイルを含むかもしれない悪意のある pdf/オフィス文書または ZIP の付属品として社会工学によって来ることができる。
- AV の命名は非常に他のベンダーと一致するように挑戦することができます。我々は、"ウイルス/jnxyz" 型名の下に多くのサンプルのカバレッジを追加しました。トロイの木馬-身代金/crilock, トロイの木馬/win32. ロック画面—ウイルスの脅威ボールトの "LOCK" の下で検索します。
- Trojan-SPY/win32. zbot および PWS/win32 zbot –ウイルス脅威ボールトの zbot の下で検索します。
- 使用してスパイウェア/CnC の検出は、追加の亜種をプルダウン可能性があります感染したシステムを見つけるために。 スパイウェア/DNS 検出が有効になっていることを確認します。
- 疑わしい dns--疑わしい dns クエリを調査し、修復します。これらは、感染したシステムの可能性が高いです。
- 例: 疑わしい DNS クエリ (汎用:lilokobimqit) (4042599)
- スパイウェア CnC の署名:
- ID # 13433 "Cryptolocker コマンドと制御トラフィック"、13131、Spyware-Zbot の p2p、13050、zbot を含む最新のカバレッジのスパイウェアの下で "zbot" または Cryptolocker を検索します。コマンドと制御のトラフィック
- 疑わしい dns--疑わしい dns クエリを調査し、修復します。これらは、感染したシステムの可能性が高いです。
- URL フィルタリングサブスクリプションを汎 DB で利用して、悪意のあるドメインからの脅威のダウンロードと既知の悪意のあるドメインへの接続を防止
- ブロックのマルウェアのドメインだけでなく、プロキシの回避、および P2P
- 不明なカテゴリの web サイトで "続行ページ" を使用する
- Cryptolocker またはゼウスに関連する未知の、0日のマルウェアまたはスポイトを検出するために山火事を活用する
- 山火事は、自動的に悪意のある行動やマルウェアを表示し、追加の感染を防ぐために AV 署名、DNS と CnC の署名をプッシュします。
注:少なくともすべての Microsoft office、PDF および Java、および PE ファイルは、山火事になるはずです。
- 山火事は、自動的に悪意のある行動やマルウェアを表示し、追加の感染を防ぐために AV 署名、DNS と CnC の署名をプッシュします。
- ファイルブロックを活用する:
- 従業員がダウンロードを許可されている場合は、すべての PE ファイルをブロックするか、[続行] ページを使用してください。EXE のリマインダーとして
- ウェブメールからの復号化:
- 従業員が cryptolocker であることが判明したフェデックスをダウンロードした場合、彼らは脅威の防止でそれを検査できることを確認してください
- ボットネットレポートを活用して感染したシステムを見つける:
- 既に感染しているシステムを見逃していないことを確認するには、ボットネットのレポートを見て
- 感染したシステムを検索する陥没を作成する
- パン OS 6.0 機能を使用して、感染したシステムを簡単に検出できるようにする
- ファイアウォールを活用する:
- TCP 不明および UDP 不明のアラートを調査します。これらは、マルウェアやリモートアクセストロイの木馬ビーコンのための CnC ベクトルかもしれない.
- ソフトウェアの更新プログラム:
- これは、従業員が Adobe Reader をインストールしないことをお勧めします, Flash と Java の更新これらのポップアップ. ユーザーのすべての更新プログラムのインストールを検討するか、ユーザーが直接 web サイトにアクセスします。マルウェアの作者は、偽のリーダーをインストールするには、あなたの従業員を取得するソーシャルエンジニアリングの戦術を食い物にする, フラッシュと Java の更新, しかし、これらは、感染のベクトルの一部になることができます.
山火事における Cryptolocker 行動の概要例
- 作成または変更されたファイル
- 新しいプロセスの生成
- 変更した Windows レジストリ
- 自動開始機能を有効にするためのレジストリまたはシステム構成の変更
- Internet Explorer のセキュリティ設定を変更しました
- HTTP で POST メソッドを使用しました。
- ユーザードキュメントフォルダに実行可能ファイルを作成しました
- ユーザードキュメントフォルダからプロセスを開始しました
- 自体を削除
- 非表示の実行可能ファイルを作成
- アクセス蜂蜜ファイル
- ローカルディレクトリからの自動開始としてファイルを登録
- ホスト名の代わりに直接 IP を使用
- サンプル自体をコピーしようとしました
- 疑わしいユーザーエージェントを使用したサンプル
次に、FBI から5/6/14 のサンプル Cryptolocker ドメインの例を示します。
5/6/14 a. srwjusavvdtgit.ru
5/6/14 a. cyroeuvcjmawxh.ru
5/6/14 a. lrivijijtdutyf.ru
5/6/14 a. uhcnfwtpfcayqa.ru
5/6/14 a. dcdraouktfgamb.ru
5/6/14 a. mjxwjqqnhqpxln.ru
5/6/14 a. gvokgggxkhoefw.ru
5/6/14 a. boxblbanryhwhp.ru
5/6/14 a. qimhayesuxjyjp.ru
5/6/14 a. hqcgewkpofoywn.ru
5/6/14 a. jixtncyhsvfrwa.ru
5/6/14 a. aqnsrwovxikryf.ru
5/6/14 a. bsspfhnayuvwsd.ru
5/6/14 a. rbiojftwscbwrt.ru
5/6/14 a. xdskyfehjbfhtg.ru
5/6/14 a. mvtiohexaenqsy.ru
5/6/14 a. pfotdcrngdoikp.ru
5/6/14 a. wdlojxkvhayjox.ru
5/6/14 a. fupbpiycgrwlpc.ru
5/6/14 a. hqingcttomaxox.ru
5/6/14 a. osvwdclkohrndd.ru
5/6/14 a. hnrwotfkrskyen.ru
5/6/14 a. ayvpngeatjtfxf.ru
5/6/14 a. urfimdhlwjsfja.ru
5/6/14 a. jwclbtjkeowjmh.ru
5/6/14 a. epleanvnxjvjux.ru
5/6/14 a. dlfyucsaunfudn.ru
所有者: maurisy