防止 DarkSide 勒索软件的最佳实践

防止 DarkSide 勒索软件的最佳实践

13172
Created On 05/12/21 22:09 PM - Last Modified 03/03/23 02:04 AM


Question


什么是 DarkSide 勒索软件以及最佳的缓解和预防步骤是什么?

Environment


  • 全部 PAN-OS
  • 反病毒许可证

Answer


什么是 DarkSide 勒索软件?
DarkSide 勒索软件于 2020 年 8 月首次出现在俄语黑客论坛上。 它是一个勒索软件即服务平台,可供网络犯罪分子使用。 众所周知,DarkSide 主要只针对多个行业的大公司,包括医疗保健、殡葬服务、教育、公共部门和非营利组织。

谁是 DarkSide 勒索软件的最新目标?
Colonial Pipeline,该公司于 5 月 8 日星期六 12 点 30 分获悉PM.
这是公司博客:殖民地管道系统中断

CISA和FBI警报。
这里是由FBI和CISA这解释了缓解的详细步骤和过程。

杀伤链和威胁行为者。

  • 第一步是通过探索可远程访问的帐户获得初始访问权限,VDI ,RDP , 以及更多的网络钓鱼。
  • 第二步是加密和窃取敏感数据。
  • DarkSide 勒索软件使用 Salsa20 和RSA加密。 文件扩展名可以是随机的。
  • 对于命令和控制,威胁参与者主要使用“洋葱路由器(TOR )”,在某些情况下,威胁行为者也使用了 Cobalt Strike。
  • 付款方式是使用比特币和莫雷诺加密货币。
最佳实践:
这里是个PAN勒索软件预防最佳实践咨询。

PAN覆盖范围:
Palo Alto Networks 涵盖了许多与 DarkSide 相关的哈希、URL 和IP地址。 这些 IOC 在防病毒、反间谍软件和URL过滤威胁包。 附加信息包含 DarkSide 的当前报道AV签名。

第42单元文章:
这里是第 42 单元的文章。

基于 Palo Alto Networks 最佳实践文档的缓解步骤,以及CISA/FBI建议:
  • 42单元博客详细介绍了迁移步骤。
  • 这里是个PAN勒索软件预防最佳实践咨询。
  • 防病毒签名,确保所有协议,HTTP2,IMAP 、POP3 和其他设置为“都重置”。
  • 严重性为“高”和“严重”的漏洞和间谍软件签名“都重置”或“删除”是一种很好的做法。
  • 你的URL过滤和设置以下类别以阻止:命令和控制、动态DNS、黑客攻击、高风险、内容不足、恶意软件、新注册域、未解析、停放、网络钓鱼、可疑、未知。这里是最佳实践文档。
  • SSL 解密是检测恶意模式的要求之一,因为我们的大多数签名都使用 http_decoder 来检查有效负载中的内容。 这firewall只能检查和加密流量(TLS /SSL /HTTPS ) 如果使用解密配置文件解密并且policy. 有关配置解密的文档policy可以被找寻到这里.
  • 文件阻止配置文件:阻止受密码保护的压缩和 zip 文件。
  • 远程访问OT和IT网络需要多重身份验证。
  • 使用强大的垃圾邮件过滤器来防止网络钓鱼电子邮件到达最终用户。
  • 根据警报和威胁日志持续监控和改进安全态势。
  • 不断训练IT和社会工程学的最终用户。
  • 网络流量:
    • IP-基于:禁止与已知恶意软件的入口和出口通信IP地址。
    • URL-based:通过实现防止用户访问恶意网站URL黑名单和允许名单。
  • 软件更新:使您的软件更新成为集中和受控的。
  • 基于风险的评估策略,以确定OT网络资产和区域应参与补丁管理程序。
    • 限制 RDP
    • 限制资源访问
    • 限制资源访问尝试
  • 通过防病毒/反恶意软件定期扫描资源。

Additional Information


这是已知的 Darkside 签名列表,该列表在发布时有效。 PaloAlto Networks 保留根据流行程度替换这些签名的权利WildFire云。
            Signature Name                UTID    
 trojan/Win32 EXE.darkside.aa            373806183 
 trojan/Win32 EXE.darkside.z             407907864 
 Virus/Linux.WGeneric.bbunth             402945111 
 Virus/Win32.WGeneric.anajbm             366300777 
 Virus/Win32.WGeneric.ankojr             369421158 
 Virus/Win32.WGeneric.anyfxg             373481343 
 Virus/Win32.WGeneric.aumvzg             387811014 
 Virus/Win32.WGeneric.awzjiz             391455654 
 Virus/Win32.WGeneric.axqzpj             392983785 
 Virus/Win32.WGeneric.bayxfp             400229172 
 Virus/Win32.WGeneric.bbdzgp             400676694 
 Virus/Win32.WGeneric.bbdzul             400678365 
 Virus/Win32.WGeneric.bbeceq             400685469 
 Virus/Win32.WGeneric.bbfjpf             400838946 
 Virus/Win32.WGeneric.bcltkq             405810150 
 Virus/Win32.WGeneric.bdbmwd             407418306 
 Virus/Win32.WGeneric.bdjddu             408156777 
 Virus/Win32.WGeneric.bdulsc             409279299


Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VMYCA2&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language