DarkSide ランサムウェアを防止するためのベスト プラクティス
20996
Created On 05/12/21 22:09 PM - Last Modified 02/24/25 19:30 PM
Question
DarkSide ランサムウェアとは何ですか? また、最適な軽減策と予防策は何ですか?
Environment
- 全て PAN-OS
- ウイルス対策ライセンス
Answer
DarkSide ランサムウェアとは?
DarkSide ランサムウェアは、2020 年 8 月にロシア語のハッキング フォーラムで初めて確認されました。 これは、サイバー犯罪者が利用できるサービスとしてのランサムウェア プラットフォームです。 DarkSide は主に、ヘルスケア、葬儀サービス、教育、公共部門、非営利など、いくつかの業界の大企業のみを標的にすることが知られています。
DarkSide ランサムウェアの最新の標的は誰ですか?
コロニアル パイプライン、会社は 5 月 8 日土曜日 12.30 に知りましたPM.
会社のブログはこちら:植民地時代のパイプラインシステムの混乱
CISAとFBIアラート。
ここによって送信されたアラートです。FBIとCISAこれは、緩和の詳細な手順とプロセスを説明しています。
キル チェーンと攻撃者。
- 最初のステップは、リモートでアクセス可能なアカウントを探索して初期アクセスを取得することです。VDI 、RDPなど、フィッシングによるものです。
- 2 番目のステップは、機密データを暗号化して盗むことです。
- DarkSide ランサムウェアは Salsa20 を使用し、RSA暗号化。 ファイル拡張子はランダムにすることができます。
- コマンド アンド コントロールのために、攻撃者は主に「The Onion Router(TOR )」、場合によっては、攻撃者も Cobalt Strike を使用しています。
- 支払い方法はビットコインとモレノ暗号通貨です。
ここそれはPANランサムウェア防止のベスト プラクティスのアドバイザリ。
PANカバレッジ:
Palo Alto Networks は、多くの DarkSide 関連のハッシュ、URL、およびIPアドレス。 これらの IOC は、アンチウイルス、アンチスパイウェア、およびURL脅威パッケージのフィルタリング。 追加情報には、ダークサイドの現在のカバレッジが含まれていますAVサイン。
ユニット 42 の記事:
ここ42号機の記事です。
Palo Alto Networks のベスト プラクティス ドキュメントに基づく緩和手順、およびCISA/FBI推奨事項:
- ユニット42ブログでは、移行手順について詳しく説明しています。
- ここそれはPANランサムウェア防止のベスト プラクティスのアドバイザリ。
- ウイルス対策署名、すべてのプロトコル、HTTP2、IMAP 、POP3 などは「reset-both」に設定されています。
- 重大度が「高」および「緊急」の脆弱性およびスパイウェア シグネチャを「両方をリセット」または「ドロップ」することをお勧めします。
- あなたのURL次のカテゴリをフィルタリングしてブロックするように設定: コマンドとコントロール、動的DNS、ハッキング、高リスク、不十分なコンテンツ、マルウェア、新しく登録されたドメイン、未解決、駐車中、フィッシング、疑わしい、不明。ここベスト プラクティス ドキュメントです。
- SSL 復号化は、悪意のあるパターンを検出するための要件の 1 つです。これは、ほとんどの署名が http_decoder を使用してペイロードのコンテンツを検査するためです。 のfirewallトラフィックを検査して暗号化することしかできません (TLS /SSL /HTTPS ) 復号化プロファイルを使用して復号化された場合、およびpolicy. 復号化の構成に関するドキュメントpolicy見つけることができますここ.
- ファイル ブロック プロファイル: パスワードで保護された圧縮ファイルと zip ファイルをブロックします。
- へのリモートアクセスOTとITネットワークには多要素認証が必要です。
- 強力なスパム フィルターを使用して、フィッシング メールがエンド ユーザーに届かないようにします。
- アラートと脅威ログに基づいたセキュリティ体制の継続的な監視と改善。
- 継続的にトレーニングするITソーシャルエンジニアリングのエンドユーザー。
- ネットワーク トラフィック:
- IP-based: 既知の悪意のあるユーザーとの出入り通信を禁止しますIPアドレス。
- URL-ベース: 実装することにより、ユーザーが悪意のある Web サイトにアクセスするのを防ぎますURLブロックリストと許可リスト。
- ソフトウェアの更新: ソフトウェアの更新を一元化および管理されたものにします。
- リスクベースの評価戦略により、OTネットワーク資産とゾーンは、パッチ管理プログラムに参加する必要があります。
- リミット RDP
- リソースへのアクセスを制限する
- リソースへのアクセス試行を制限する
- ウイルス対策/マルウェア対策によるリソースの定期的なスキャン。
Additional Information
既知のダークサイド署名のリストは次のとおりです。このリストは公開時点で有効です。 PaloAlto Networks は、感染率に基づいてこれらの署名を置き換える権利を留保します。WildFire雲。
Signature Name UTID trojan/Win32 EXE.darkside.aa 373806183 trojan/Win32 EXE.darkside.z 407907864 Virus/Linux.WGeneric.bbunth 402945111 Virus/Win32.WGeneric.anajbm 366300777 Virus/Win32.WGeneric.ankojr 369421158 Virus/Win32.WGeneric.anyfxg 373481343 Virus/Win32.WGeneric.aumvzg 387811014 Virus/Win32.WGeneric.awzjiz 391455654 Virus/Win32.WGeneric.axqzpj 392983785 Virus/Win32.WGeneric.bayxfp 400229172 Virus/Win32.WGeneric.bbdzgp 400676694 Virus/Win32.WGeneric.bbdzul 400678365 Virus/Win32.WGeneric.bbeceq 400685469 Virus/Win32.WGeneric.bbfjpf 400838946 Virus/Win32.WGeneric.bcltkq 405810150 Virus/Win32.WGeneric.bdbmwd 407418306 Virus/Win32.WGeneric.bdjddu 408156777 Virus/Win32.WGeneric.bdulsc 409279299