Téléchargement multiple d’un même fichier de script détecté comme logiciel malveillant en n’étant Wildfire pas bloqué par Wildfire/antivirus Threat Prevention Signature
Symptom
Le même fichier de script malveillant (VBA dans ce cas) traverse plusieurs firewall fois tout au long de la journée. Wildfire détecte cet exemple en tant que logiciel malveillant tout le temps avec l'action 'Autoriser' et la gravité 'High'. Cela n'est pas bloqué par l Wildfire'événement / Antivirus Threat Prevention signatures hough Wildfire/Les signatures antivirus sont définies sur 'Bloquer' dans le profil de sécurité et attachées à la sécurité policy.
Resolution
Cela fonctionne comme prévu:
Vous trouverez ci-dessous le lien vers les types de fichiers pris en charge pour Wildfire l’analyse :
https://docs.paloaltonetworks.com/wildfire/10-2/wildfire-admin/wildfire-overview/wildfire-file-type-support
https://docs.paloaltonetworks.com/wildfire/u-v/-whats-new/latest--cloud-features/wildfirehtml-application-and-link-file-analysiswildfireConsultez le document ci-dessous pour trouver les types de fichiers pour lesquels nous prenons en charge Wildfire et les signatures antivirus de prévention des menaces :
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/threat-prevention/threat-signatures
Wildfire La génération de téléchargement et de verdict est prise en charge pour les fichiers de script, mais la génération de signatures de prévention des menaces n’est pas prise en charge pour les scripts.
L'idée de la prise en charge de ces fichiers, même si la génération de signature n'est pas prise en charge, est de Wildfire faire savoir aux clients que ces fichiers malveillants sont passés par le mais pas bloqués car l'action « autoriser » dans Wildfire le firewall journal des soumissions. La gravité est définie sur 'High' car ces fichiers n'ont pas été bloqués par le firewall.
À ce stade, les clients doivent vérifier XDR les agents ou autres points de terminaison et vérifier si ces fichiers ont été bloqués par la protection des points de terminaison et/ou prendre les mesures nécessaires s’ils ne sont pas bloqués.La portée de est de fournir un verdict pour les fichiers de Wildfire script, nous classerons également toutes les URL malveillantes présentes dans le script comme Malware / C2 dans PAN-DB (et générerons également DNS des signatures). DNS Security et URL la fonction de filtrage peut être exploitée pour bloquer les connexions à ces URL.
Consultez également le document ci-dessous qui explique la couverture :
https://docs.paloaltonetworks.com/wildfire/u-v/-whats-new/latest--cloud-features/wildfirescript-sample-support « Lorsqu’un script malveillant est découvert, le cloud génère et distribue C2 et des signatures aux pare-feuwildfire
pour empêcher les attaques réussies basées sur des scripts »DNS WildFireCe scénario s'applique également à d'autres types de fichiers pour LNK lesquels nous ne prenons pas en charge la génération de signatures.
Additional Information
Sur une note supplémentaire, Wildfire Inline ML prend en charge le blocage des scripts et PS Shell :
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/threat-prevention/wildfire-inline-ml