Cómo utilizar las notas de la versión de contenido antivirus para encontrar firmas de interés para antivirus/spyware C2 DNS

Cómo utilizar las notas de la versión de contenido antivirus para encontrar firmas de interés para antivirus/spyware C2 DNS

8120
Created On 10/29/21 18:07 PM - Last Modified 05/15/23 09:35 AM


Objective


  • Para comprobar las notas de la versión de contenido antivirus para ver si hay cambios de firma/contenido realizados debido a condiciones de falsos positivos o de otro tipo.
  • Este artículo ayudará a familiarizarse con el contenido de las notas de la versión de Antivirus y cómo navegar por el contenido en busca de elementos de interés.

Environment


  • Cortafuegos de Palo Alto o Panorama
  • PAN-OS9.1, 10.0, 10.1, 10.2
  • Licencia de Prevención de Amenazas

Procedure


  1. Firmas antivirus
  • Las firmas antivirus se clasifican por su grupo/categoría de malware.
  • El servidor de generación automática de firmas identifica los grupos/categorías de malware cuando se genera la firma.
  • Estas categorías pueden contener miles de variantes en cualquier versión de contenido de Antivirus en particular.
  • La mejor manera de buscar en las notas de la versión de contenido antivirus es buscar por la variante de interés.
  • La variante se puede identificar como la parte de un nombre de firma antivirus después del último punto (.).

Ejemplo:

  • La firma "Generic/Win32.favk.daf", que se publicó en la versión de contenido de Antivirus 3884, se identifica por su grupo/categoría de malware (Generic/Win32.favk) y la variante es .daf

 

Ejemplo-Sig-lookupAV-.png

 

  • Al buscar la variante, se puede asociar la variante al grupo / categoría de malware para identificar si se ha liberado una firma en la base de datos de contenido de Antivirus o si se ha eliminado.
  • Para algunos grupos / categorías de malware, hay una cantidad significativa de variantes agregadas al grupo o eliminadas, por lo que es posible que tenga que desplazarse hacia arriba o hacia abajo para ver el nombre del grupo / categoría de malware.

 

MalwareGroup-variantCount.png

  • El comienzo de cada lista de variantes contiene el número de variantes y la lista de variantes está en orden alfabético.

 

  1. Firmas C2 de spyware DNS
  • Para las firmas de Spyware C2, los clientes pueden buscar utilizando todo el dominio en cuestión o el nombre completo de la firma.

SpywareSignatureSearch.png

  1. IP en EDL proporcionadas por PanOS
  • Para las IP identificadas en las diversas EDL alojadas por Palo Alto Networks, se puede ejecutar una búsqueda de las IP específicas.

IPSearchInContentRelease.png

 

  1. Secciones de notas de la versión de contenido
  • Hay diferentes secciones dentro de cada paquete de notas de la versión de contenido antivirus. Cada sección identifica el tipo de contenido al que se hace referencia,
  • si se agrega o elimina el contenido (Nuevo o Antiguo) y cuántas entradas se enumeran en la sección.
  • El número de entradas está entre paréntesis después del encabezado de la sección.

El término ""NEW identifica el contenido que se está agregando:

  • Nuevas firmas antivirus: firmas antivirus agregadas a la base de datos de contenido
  • Nuevas firmas C2 de spyware DNS : firmas C2 agregadas a la base de datos de contenido
  • Nuevas firmas de Spyware Autogen C2: firmas C2 que se generaron automáticamente y se agregaron a la base de datos de contenido
  • Nueva IP fuente maliciosa — IP maliciosas añadidas a la "Conocida maliciosa IP IP" EDL en el PanOS GUI: Objetos -> Listas dinámicas externas
  • Nuevo IP feed sospechoso IP — IPs sospechosas añadidas al "Alto riesgo IP" EDL en el PanOS GUI: Objetos -> Listas dinámicas externas
  • Nueva IP alimentación a prueba de balas — IP a prueba de balas identificadas añadidas a IP la "Bulletproof IP" EDL en el PanOS GUI: Objetos -> Listas dinámicas externas
  • Nueva IP fuente de salida de Tor — IP del nodo de salida de Tor añadidas a la "salida IPIP EDL de Tor" en el PanOSGUI: Objetos -> Listas dinámicas externas

El término "Antiguo" identifica el contenido que se está eliminando:

  • Firmas antivirus antiguas: firmas antivirus eliminadas de la base de datos de contenido
  • Firmas C2 antiguas de spyware DNS : firmas C2 eliminadas de la base de datos de contenido
  • Firmas antiguas de Autogen C2 de spyware: firmas C2 generadas automáticamente que se eliminan de la base de datos de contenido
  • Fuente maliciosa antigua IP : IP maliciosas eliminadas de la "Maliciosidad IP IPconocida" EDL en PanOS GUI: Objetos -> listas dinámicas externas
  • Fuente sospechosa antigua IP — IP sospechosas eliminadas del "Alto riesgoIP" EDL en el PanOSGUI: Objetos -> Listas dinámicas externas IP
  • Alimentación antigua IP a prueba de balas — IP a prueba IP de balas identificadas eliminadas de la "Bulletproof IP" EDL en el PanOS GUI: Objetos -> Listas dinámicas externas
  • Antiguo IP feed de salida de Tor — IP del nodo de salida de Tor eliminadas de la "salida EDL IP IPde Tor" en el PanOSGUI: Objetos -> Listas dinámicas externas
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMiUCAU&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language