Cómo bloquear ASCII la codificación compatible (Punycode) en PAN-OS

Cómo bloquear ASCII la codificación compatible (Punycode) en PAN-OS

6956
Created On 04/28/21 22:21 PM - Last Modified 07/18/24 21:09 PM


Objective


En este artículo le mostraremos cómo bloquear ASCII la firma Anti-Spyware de codificación compatible (Punycode) en PAN-OS.

Los
actores de amenazas en segundo plano pueden encubrir sitios web de phishing utilizando Punycode /ASCII codificación compatible para engañar a los usuarios para que los visiten. La técnica consiste en crear nombres de dominio utilizando codificación internacional. Los caracteres bajo esta codificación son traducidos por los navegadores web sobre la marcha, y presentados al usuario utilizando texto visualmente equivalente ASCII , que es indistinguible del nombre de dominio original del sitio web de confianza.

Ejemplo:
Punycode: xn--e1awd7f.com cuando se traduce a regular ASCII se convierte en: epic.com.

Por lo tanto, si un usuario visita xn--e1awd7f.com la barra de direcciones del navegador realmente muestra 'epic.com'

Environment


  • PAN-OS 7.1 o superior
  • Firma de spyware personalizada
  • ASCII codificación compatible (Punycode)

Procedure


  1. Vaya a la pestaña Objetos > Objetos personalizados > spyware > Haga clic en (Agregar) en la parte inferior
  2. En la pestaña Configuración :
  • Asignar una amenaza (TID en el rango 15000 - 18000)
  • Nombre: Codificación Punycode
  • Gravedad: (Seleccione uno)
  • Dirección: client2server
  • Acción predeterminada: (Seleccione una)

Imagen de usuario añadido
  1. En la pestaña Firmas :
  • Botón de opción Signature Standard: (Seleccionado)
  • Haga clic en (Agregar).

Imagen de usuario añadido
  1. En la ventana Estándar :
  • Estándar (nombre): codificado en Punycode URL
  • Botón de opción Transacción: (Seleccionado)
  • Coincidencia de condición ordenada: (marcada)
  • Haga clic en (Agregar o condición)

Imagen de usuario añadido
  1. En la ventana 'Nuevo y condición - O condición':
  • Operador: (Desplegable) Igual a
  • Valor: 1
  • Contexto: (Desplegable) http-req-ascii-compatible-encoding-prefix-found

Imagen de usuario añadido
  1. (Haga clic )OK > (Haga clic en ) > (Haga clic en OKOK) y asegúrese de que el perfil Anti-Spyware que procesa la regla de seguridad Policy coincide con la gravedad de esta firma personalizada para ejecutar la acción de bloqueo deseada. Si la regla no está configurada para ejecutar una acción de bloqueo, configure una excepción antispyware para la configurada TID y establezca una acción de bloqueo para ella. (es decir, reset-client).
  2. Confirmar la configuración
 
Nota 1: Para SSL sitios cifrados como https://xn--, la detección depende de la capacidad de leer el mensaje de solicitud, por lo tantoSSL, el descifrado en el HTTP firewall es necesario.
 
Nota 2: La razón por la que se recomienda como una firma antispyware personalizada y no como una firma de protección contra vulnerabilidades personalizada es que mediante el uso de una firma de spyware, a los usuarios se les puede presentar una página de bloqueo de "comodidad" antispyware.

Additional Information


Ejemplo de firma personalizada adjunta a este artículo
Como acceso directo, puede importar el archivo punycode_15400.xml adjunto a sus firmas de spyware personalizadas.
Asegúrese de que TID 15400 no está definido para ninguna otra firma de spyware personalizada en la configuración.

Sitios web de referencia con información complementaria
https://www.wordfence.com/blog/2017/04/chrome-firefox-unicode-phishing/
http://fortune.com/2017/04/18/google-chrome-phishing-scam/ https://en.wikipedia.org/wiki/Internationalized_domain_name


A simple Puny <> codificador/decodificador de texto regular:
https://www.punycoder.com/
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oM3MCAU&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language