Comment bloquer ASCII l’encodage compatible (Punycode) dans PAN-OS
Objective
Dans cet article, nous allons vous montrer comment bloquer ASCII la signature anti-spyware d’encodage compatible (Punycode) dans PAN-OS.
Les
auteurs de menaces en arrière-plan peuvent masquer les sites Web de phishing en utilisant le codage Punycode /ASCII compatible pour inciter les utilisateurs à les visiter. La technique consiste à créer des noms de domaine à l’aide d’un codage international. Les caractères sous cet encodage sont traduits à la volée par des navigateurs Web et présentés à l’utilisateur en utilisant un texte visuellement équivalent ASCII , qui ne peut être distingué du nom de domaine original du site Web de confiance.
Exemple:
Punycode: xn--e1awd7f.com lorsqu’il est traduit en régulier ASCII , il devient: epic.com.
Ainsi, si un utilisateur visite xn--e1awd7f.com la barre d'adresse du navigateur affiche réellement 'epic.com'
Environment
- PAN-OS 7,1 ou plus
- Signature de logiciel espion personnalisée
- ASCII encodage compatible (Punycode)
Procedure
- Accédez à l’onglet Objets > Objets personnalisés > logiciels espions > Cliquez sur (Ajouter) en bas
- Dans l’onglet Configuration :
- Attribuer une menace (TID plage 15000 - 18000)
- Nom: Punycode Encoding
- Gravité : (Sélectionnez-en une)
- Direction: client2server
- Action par défaut : (Sélectionnez-en une)
- Dans l’onglet Signatures :
- Bouton radio Signature Standard : (Sélectionné)
- Cliquez sur (Ajouter).
- Dans la fenêtre Standard :
- Standard (nom): Punycode codé URL
- Bouton radio de transaction : (Sélectionné)
- Correspondance des conditions commandées : (Coché)
- Cliquez sur (Ajouter ou Condition)
- Dans la fenêtre 'Nouveau et condition - ou condition' :
- Opérateur : (Pull-down) égal à
- Valeur: 1
- Contexte : (Déroulant) http-req-ascii-compatible-encoding-prefix-found
- (Cliquez sur OK) > (Cliquez ) > (Cliquez OKOK) et assurez-vous que le profil Anti-Spyware traitant votre règle de sécurité Policy correspond à la gravité de cette signature personnalisée pour exécuter l’action de blocage souhaitée. Si la règle n’est pas définie pour exécuter une action de blocage, configurez une exception anti-logiciel espion pour la configuration TID et définissez une action de blocage pour celle-ci. (c’est-à-dire reset-client).
- Valider la configuration
| Remarque 1: Pour SSL les sites cryptés comme https://xn--, la détection dépend de la capacité à lire le message de demande, donc SSL le décryptage dans le firewall HTTP est nécessaire. |
| Remarque 2 : La raison pour laquelle cette signature est recommandée en tant que signature anti-spyware personnalisée et non en tant que signature de protection contre les vulnérabilités personnalisée est qu'en utilisant une signature de logiciel espion, les utilisateurs peuvent se voir présenter une page de blocage « confort » anti-spyware. |
Additional Information
Exemple de signature personnalisée jointe à cet article
En tant que raccourci, vous pouvez importer le fichier punycode_15400.xml joint dans vos signatures de logiciels espions personnalisés.
Assurez-vous que TID 15400 n’est défini pour aucune autre signature de logiciel espion personnalisé dans la configuration.
Sites Web de référence avec des informations complémentaires
https://www.wordfence.com/blog/2017/04/chrome-firefox-unicode-phishing/
http://fortune.com/2017/04/18/google-chrome-phishing-scam/
https://en.wikipedia.org/wiki/Internationalized_domain_name
A encodeur/décodeur de texte simple Puny <> régulier:
https://www.punycoder.com/