DarkSide ランサムウェアを防止するためのベスト プラクティス

DarkSide ランサムウェアを防止するためのベスト プラクティス

13179
Created On 05/12/21 22:09 PM - Last Modified 03/03/23 02:04 AM


Question


DarkSide ランサムウェアとは何ですか? また、最適な軽減策と予防策は何ですか?

Environment


  • 全て PAN-OS
  • ウイルス対策ライセンス

Answer


DarkSide ランサムウェアとは?
DarkSide ランサムウェアは、2020 年 8 月にロシア語のハッキング フォーラムで初めて確認されました。 これは、サイバー犯罪者が利用できるサービスとしてのランサムウェア プラットフォームです。 DarkSide は主に、ヘルスケア、葬儀サービス、教育、公共部門、非営利など、いくつかの業界の大企業のみを標的にすることが知られています。

DarkSide ランサムウェアの最新の標的は誰ですか?
コロニアル パイプライン、会社は 5 月 8 日土曜日 12.30 に知りましたPM.
会社のブログはこちら:植民地時代のパイプラインシステムの混乱

CISAとFBIアラート。
ここによって送信されたアラートです。FBIとCISAこれは、緩和の詳細な手順とプロセスを説明しています。

キル チェーンと攻撃者。

  • 最初のステップは、リモートでアクセス可能なアカウントを探索して初期アクセスを取得することです。VDI 、RDPなど、フィッシングによるものです。
  • 2 番目のステップは、機密データを暗号化して盗むことです。
  • DarkSide ランサムウェアは Salsa20 を使用し、RSA暗号化。 ファイル拡張子はランダムにすることができます。
  • コマンド アンド コントロールのために、攻撃者は主に「The Onion Router(TOR )」、場合によっては、攻撃者も Cobalt Strike を使用しています。
  • 支払い方法はビットコインとモレノ暗号通貨です。
ベストプラクティス:
ここそれはPANランサムウェア防止のベスト プラクティスのアドバイザリ。

PANカバレッジ:
Palo Alto Networks は、多くの DarkSide 関連のハッシュ、URL、およびIPアドレス。 これらの IOC は、アンチウイルス、アンチスパイウェア、およびURL脅威パッケージのフィルタリング。 追加情報には、ダークサイドの現在のカバレッジが含まれていますAVサイン。

ユニット 42 の記事:
ここ42号機の記事です。

Palo Alto Networks のベスト プラクティス ドキュメントに基づく緩和手順、およびCISA/FBI推奨事項:
  • ユニット42ブログでは、移行手順について詳しく説明しています。
  • ここそれはPANランサムウェア防止のベスト プラクティスのアドバイザリ。
  • ウイルス対策署名、すべてのプロトコル、HTTP2、IMAP 、POP3 などは「reset-both」に設定されています。
  • 重大度が「高」および「緊急」の脆弱性およびスパイウェア シグネチャを「両方をリセット」または「ドロップ」することをお勧めします。
  • あなたのURL次のカテゴリをフィルタリングしてブロックするように設定: コマンドとコントロール、動的DNS、ハッキング、高リスク、不十分なコンテンツ、マルウェア、新しく登録されたドメイン、未解決、駐車中、フィッシング、疑わしい、不明。ここベスト プラクティス ドキュメントです。
  • SSL 復号化は、悪意のあるパターンを検出するための要件の 1 つです。これは、ほとんどの署名が http_decoder を使用してペイロードのコンテンツを検査するためです。 のfirewallトラフィックを検査して暗号化することしかできません (TLS /SSL /HTTPS ) 復号化プロファイルを使用して復号化された場合、およびpolicy. 復号化の構成に関するドキュメントpolicy見つけることができますここ.
  • ファイル ブロック プロファイル: パスワードで保護された圧縮ファイルと zip ファイルをブロックします。
  • へのリモートアクセスOTとITネットワークには多要素認証が必要です。
  • 強力なスパム フィルターを使用して、フィッシング メールがエンド ユーザーに届かないようにします。
  • アラートと脅威ログに基づいたセキュリティ体制の継続的な監視と改善。
  • 継続的にトレーニングするITソーシャルエンジニアリングのエンドユーザー。
  • ネットワーク トラフィック:
    • IP-based: 既知の悪意のあるユーザーとの出入り通信を禁止しますIPアドレス。
    • URL-ベース: 実装することにより、ユーザーが悪意のある Web サイトにアクセスするのを防ぎますURLブロックリストと許可リスト。
  • ソフトウェアの更新: ソフトウェアの更新を一元化および管理されたものにします。
  • リスクベースの評価戦略により、OTネットワーク資産とゾーンは、パッチ管理プログラムに参加する必要があります。
    • リミット RDP
    • リソースへのアクセスを制限する
    • リソースへのアクセス試行を制限する
  • ウイルス対策/マルウェア対策によるリソースの定期的なスキャン。

Additional Information


既知のダークサイド署名のリストは次のとおりです。このリストは公開時点で有効です。 PaloAlto Networks は、感染率に基づいてこれらの署名を置き換える権利を留保します。WildFire雲。
            Signature Name                UTID    
 trojan/Win32 EXE.darkside.aa            373806183 
 trojan/Win32 EXE.darkside.z             407907864 
 Virus/Linux.WGeneric.bbunth             402945111 
 Virus/Win32.WGeneric.anajbm             366300777 
 Virus/Win32.WGeneric.ankojr             369421158 
 Virus/Win32.WGeneric.anyfxg             373481343 
 Virus/Win32.WGeneric.aumvzg             387811014 
 Virus/Win32.WGeneric.awzjiz             391455654 
 Virus/Win32.WGeneric.axqzpj             392983785 
 Virus/Win32.WGeneric.bayxfp             400229172 
 Virus/Win32.WGeneric.bbdzgp             400676694 
 Virus/Win32.WGeneric.bbdzul             400678365 
 Virus/Win32.WGeneric.bbeceq             400685469 
 Virus/Win32.WGeneric.bbfjpf             400838946 
 Virus/Win32.WGeneric.bcltkq             405810150 
 Virus/Win32.WGeneric.bdbmwd             407418306 
 Virus/Win32.WGeneric.bdjddu             408156777 
 Virus/Win32.WGeneric.bdulsc             409279299


Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VMYCA2&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language