Descarga múltiple de un mismo archivo de script detectado como malware al Wildfire no ser bloqueado por Wildfirela firma de prevención de amenazas / antivirus
Symptom
El mismo archivo de script malicioso (VBA en este caso) atraviesa varias veces a firewall lo largo del día. Wildfire está detectando esta muestra como malware todo el tiempo con la acción 'Permitir' y la gravedad 'Alta'. Esto no está siendo bloqueado por el evento / Antivirus Threat Prevention signatures hough Wildfire/Las firmas antivirus se establecen en 'Bloquear' en el Wildfireperfil de seguridad y se adjuntan a la seguridad policy.
Resolution
Esto funciona como se esperaba:
Encuentre a continuación el enlace a los tipos de archivo compatibles con Wildfire el análisis:
https://docs.paloaltonetworks.com/wildfire/10-2/wildfire-admin/wildfire-overview/wildfire-file-type-support
https://docs.paloaltonetworks.com/wildfire/u-v/-whats-new/latest--cloud-features/wildfirehtml-application-and-link-file-analysiswildfireRevise el siguiente documento para encontrar los tipos de archivo para los que admitimos Wildfire y las firmas de prevención de amenazas antivirus:
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/threat-prevention/threat-signatures
Wildfire La generación de carga y veredicto es compatible con los archivos de script, sin embargo, la generación de firmas de prevención de amenazas no es compatible con los scripts.
La idea de soporte para estos archivos, aunque no se admite la generación de firmas, es informar a los clientes que estos archivos maliciosos han pasado a través del registro de envío, pero no se han bloqueado como acción 'permitir' en Wildfire el firewall registro de Wildfire envío. La gravedad se establece en 'Alta' ya que estos archivos no han sido bloqueados por el firewallarchivo .
En esta etapa, los clientes deben verificar XDR los agentes u otro punto final y revisar si estos archivos han sido bloqueados por la protección de punto final y / o tomar las medidas necesarias si no están bloqueados.El alcance de es proporcionar veredicto para los archivos de Wildfire script, también clasificaremos cualquier URL maliciosa que esté presente en el script como Malware / C2 en PAN-DB (y también generaremos DNS firmas). DNS Security y URL la función de filtrado se puede aprovechar para bloquear las conexiones a estas URL.
Consulte también el siguiente documento que explica la cobertura:
https://docs.paloaltonetworks.com/wildfire/u-v/-whats-new/latest--cloud-features/wildfirescript-sample-supportwildfire
"Cuando se descubre un script malicioso, la WildFire nube genera y distribuye C2 y DNS firmas a firewalls para evitar ataques exitosos basados en scripts"Este escenario es aplicable a otros tipos de archivos, como LNK también para los que no admitimos la generación de firmas.
Additional Information
En una nota adicional, Wildfire Inline ML admite el bloqueo de scripts de PS Shell:
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/threat-prevention/wildfire-inline-ml