确保 CryptoLocker 和 P2PZeus 的最佳保护 (GameOverZeus)

确保 CryptoLocker 和 P2PZeus 的最佳保护 (GameOverZeus)

17309
Created On 09/26/18 19:13 PM - Last Modified 06/09/23 02:58 AM


Resolution


宙斯和 Cryptolocker 的背景

今天, 许多恶意软件家庭, 包括宙斯和 Cryptolocker, 利用各种 (域生成算法), 通过 DNS 与控制服务器联系, 建立联系和接收指令。每天有多达1000个域, 这些家庭可以接触到。这可能是帮助检测它们的关键面包屑之一。

联邦调查局关于宙斯/Cryptolocker 的情报

随着联邦调查局, 帕洛阿尔托网络和其他公司的抓捕, 收到的情报, 包括, 250K 的网址, P2PZeus 和 Cryptolocker 将在未来3年内通过逆向工程为这些家庭的气体的算法, 类似于什么帕洛阿尔托女低音网络设备已经做了。这些被减少到大约71K 个领域, 在通过名单以后。这些域只活了一天, 并死了下一天。

从 DNS 签名的角度来看, 帕洛阿尔托网络威胁团队在它们变为实时状态时为这些域创建签名 (它们在域生存前3天发布签名), 然后在下次联机时将其退去。这基本上导致滚动覆盖率, 这是更智能和有效的, 因为设备不检查的签名, 永远不会开火。

从 PAN DB 的角度来看, 如果关联的 DNS 签名已退役, 恶意软件条目通常会被删除。鉴于 FBI 公告的高调性质, 帕洛阿尔托网络将会破例, 同时将所有域添加到 PAN DB 中。DNS 签名将继续滚动覆盖。

宙斯、Cryptolocker 和 Cryptowall 的其他检测/预防最佳做法:

  • 使用 IPS 签名可防止从可能会丢弃宙斯或 Cryptolocker 的客户端攻击中利用该漏洞。
    • 请考虑使用严格的 IPS 策略进行内嵌阻塞。通过下载和删除系统上的恶意软件, 防止客户端漏洞被驱动器利用。
  • 利用 av: 帕洛阿尔托网络有大量的 av 签名覆盖 Cryptolocker 和 Zbot。Cryptolocker 也可以通过社会工程学来作为恶意的 pdf/办公室文档或 ZIP 附件, 可能包括恶意文件。
    • 与其他供应商匹配, AV 命名可能非常困难。我们在 "病毒/Win32. jnxyz" 类型名称下添加了许多示例的覆盖率。特洛伊-赎金, 赎金/Win32. crilock, 特洛伊木马/Win32. 锁屏界面-在病毒威胁存储库中的 "锁定" 下搜索。
    • 特洛伊木马间谍/Win32 zbot 和 PWS/Win32 zbot –在病毒威胁存储库中的 zbot 下搜索。
  • 利用间谍软件/CnC 检测找到可能拉下其他变体的受感染系统。  确保已启用间谍软件/DNS 检测。
    • 可疑 dns--调查和修正任何可疑的 dns 查询。这些是最有可能被感染的系统。
      • 示例: 可疑 DNS 查询 (一般: lilokobimqit) (4042599)
    • 间谍软件 CnC 签名:
      • 在间谍软件下搜索 "zbot" 或 Cryptolocker 的最新覆盖率包括 ID 13433 "Cryptolocker 命令和控制通信", 13131, 间谍软件 zbot. p2p, 13050, zbot. 根命令和控制通信量
  • 使用带有 PAN DB 的 URL 筛选订阅, 以防止从恶意域下载威胁并连接到已知的恶意域
    • 阻止恶意软件域, 以及代理回避和 P2P
    • 在未知类别网站上使用 "继续页面"
  • 利用野火检测未知和0天的恶意软件或滴管相关的 Cryptolocker 或宙斯
    • 野火将自动看到恶意行为和恶意软件, 并推出 AV 签名, DNS 和 CnC 签名, 以防止额外感染。
      注意:所有的微软办公室, PDF 和 Java, 和 PE 文件至少应该去野火.
  • 利用文件阻止:
    • 如果允许员工下载, 请考虑阻止所有 PE 文件或使用 "继续页面"。EXE 作为提醒
  • 从 web 邮件解密:
    • 如果雇员下载联邦快递. ZIP 结果是 cryptolocker, 确保他们可以检查它与威胁预防
  • 利用僵尸网络报告找到受感染的系统:
    • 看看僵尸网络报告, 以确保您没有错过已经感染的系统
  • 创建一个坑来查找受感染的系统
    • 使用 Pan OS 6.0 功能确保您能够轻松找到已感染的系统
  • 利用防火墙:
    • 调查 TCP 未知和 UDP 未知警报。这些可能是恶意软件或远程访问木马引导的数控矢量。
  • 软件更新:
    • 建议员工在弹出时不安装 Adobe 读卡器、Flash 和 Java 更新。考虑为用户安装所有更新, 或让用户直接访问网站。恶意软件作者将捕食社会工程策略, 让您的员工安装假的阅读器, Flash 和 Java 更新, 但这些可能是感染媒介的一部分。

Cryptolocker 行为概要例子在野火

  • 创建或修改的文件
  • 催生新的进程
  • 修改的 Windows 注册表
  • 修改的注册表或系统配置以启用自动启动功能
  • 更改了 Internet 资源管理器的安全设置
  • 在 HTTP 中使用 POST 方法
  • 在用户文档文件夹中创建可执行文件
  • 从用户文档文件夹启动进程
  • 删除本身
  • 创建了一个隐藏的可执行文件
  • 访问的蜂蜜文件
  • 已将文件注册为从本地目录自动启动
  • 使用直接 IP 而不是主机名
  • 示例试图复制自身
  • 示例使用了可疑的用户代理

以下是联邦调查局 5/6/14 的示例 Cryptolocker 域:

5/6/14 a。srwjusavvdtgit.ru

5/6/14 a。cyroeuvcjmawxh.ru

5/6/14 a。lrivijijtdutyf.ru

5/6/14 a。uhcnfwtpfcayqa.ru

5/6/14 a。dcdraouktfgamb.ru

5/6/14 a。mjxwjqqnhqpxln.ru

5/6/14 a。gvokgggxkhoefw.ru

5/6/14 a。boxblbanryhwhp.ru

5/6/14 a。qimhayesuxjyjp.ru

5/6/14 a。hqcgewkpofoywn.ru

5/6/14 a。jixtncyhsvfrwa.ru

5/6/14 a。aqnsrwovxikryf.ru

5/6/14 a。bsspfhnayuvwsd.ru

5/6/14 a。rbiojftwscbwrt.ru

5/6/14 a。xdskyfehjbfhtg.ru

5/6/14 a。mvtiohexaenqsy.ru

5/6/14 a。pfotdcrngdoikp.ru

5/6/14 a。wdlojxkvhayjox.ru

5/6/14 a。fupbpiycgrwlpc.ru

5/6/14 a。hqingcttomaxox.ru

5/6/14 a。osvwdclkohrndd.ru

5/6/14 a。hnrwotfkrskyen.ru

5/6/14 a。ayvpngeatjtfxf.ru

5/6/14 a。urfimdhlwjsfja.ru

5/6/14 a。jwclbtjkeowjmh.ru

5/6/14 a。epleanvnxjvjux.ru

5/6/14 a。dlfyucsaunfudn.ru

所有者: maurisy
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm3OCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language