防止 DarkSide 勒索软件的最佳实践

• 全部 PAN-OS
• 反病毒许可证

杀伤链和威胁行为者。

• 第一步是通过探索可远程访问的帐户获得初始访问权限，VDI ,RDP , 以及更多的网络钓鱼。
• 第二步是加密和窃取敏感数据。
• DarkSide 勒索软件使用 Salsa20 和RSA加密。 文件扩展名可以是随机的。
• 对于命令和控制，威胁参与者主要使用“洋葱路由器（TOR )”，在某些情况下，威胁行为者也使用了 Cobalt Strike。
• 付款方式是使用比特币和莫雷诺加密货币。

• 42单元博客详细介绍了迁移步骤。
• 这里是个PAN勒索软件预防最佳实践咨询。
• 防病毒签名，确保所有协议，HTTP2，IMAP 、POP3 和其他设置为“都重置”。
• 严重性为“高”和“严重”的漏洞和间谍软件签名“都重置”或“删除”是一种很好的做法。
• 你的URL过滤和设置以下类别以阻止：命令和控制、动态DNS、黑客攻击、高风险、内容不足、恶意软件、新注册域、未解析、停放、网络钓鱼、可疑、未知。这里是最佳实践文档。
• SSL 解密是检测恶意模式的要求之一，因为我们的大多数签名都使用 http_decoder 来检查有效负载中的内容。 这firewall只能检查和加密流量（TLS /SSL /HTTPS ) 如果使用解密配置文件解密并且policy. 有关配置解密的文档policy可以被找寻到这里.
• 文件阻止配置文件：阻止受密码保护的压缩和 zip 文件。
• 远程访问OT和IT网络需要多重身份验证。
• 使用强大的垃圾邮件过滤器来防止网络钓鱼电子邮件到达最终用户。
• 根据警报和威胁日志持续监控和改进安全态势。
• 不断训练IT和社会工程学的最终用户。
• 网络流量：
  • IP-基于：禁止与已知恶意软件的入口和出口通信IP地址。
  • URL-based：通过实现防止用户访问恶意网站URL黑名单和允许名单。
• 软件更新：使您的软件更新成为集中和受控的。
• 基于风险的评估策略，以确定OT网络资产和区域应参与补丁管理程序。
  • 限制 RDP
  • 限制资源访问
  • 限制资源访问尝试
• 通过防病毒/反恶意软件定期扫描资源。

            Signature Name                UTID    
 trojan/Win32 EXE.darkside.aa            373806183 
 trojan/Win32 EXE.darkside.z             407907864 
 Virus/Linux.WGeneric.bbunth             402945111 
 Virus/Win32.WGeneric.anajbm             366300777 
 Virus/Win32.WGeneric.ankojr             369421158 
 Virus/Win32.WGeneric.anyfxg             373481343 
 Virus/Win32.WGeneric.aumvzg             387811014 
 Virus/Win32.WGeneric.awzjiz             391455654 
 Virus/Win32.WGeneric.axqzpj             392983785 
 Virus/Win32.WGeneric.bayxfp             400229172 
 Virus/Win32.WGeneric.bbdzgp             400676694 
 Virus/Win32.WGeneric.bbdzul             400678365 
 Virus/Win32.WGeneric.bbeceq             400685469 
 Virus/Win32.WGeneric.bbfjpf             400838946 
 Virus/Win32.WGeneric.bcltkq             405810150 
 Virus/Win32.WGeneric.bdbmwd             407418306 
 Virus/Win32.WGeneric.bdjddu             408156777 
 Virus/Win32.WGeneric.bdulsc             409279299