1. IPS Signaturen nutzen, um zu vermeiden, dass die IT für Clientseitige Angriffe anfällig ist, die Zeus oder Cryptolocker absetzen könnten. Ziehen Sie Inline Blocking mit einer strikten IPS Policy in Betracht. Vermeiden Sie, dass clientseitige Schwachstellen ausgenutzt werden, um bei einem driveby Download Malware im System abzusetzen.
2. Sicherstellen, dass die DNSErkennung aktiviert ist. Spyware und Command und Control Detektion finden infizierte Systeme, die zusätzliche Varianten nach sich ziehen werden.
• Verdächtige DNS – Untersuchen und beseitigen Sie ALLE verdächtigen DNSAnfragen. Sie stammen sehr wahrscheinlich von infizierten Systemen.
• Spyware Command und Control Signaturen – Suchen Sie “zbot” oder Cryptolocker im Threat Vault unter Spyware für die aktuellste Liste der abgedeckten Typen — inklusive ID # 13433 “CryptoLocker Command and Control Traffic”, 13131, SpywareZbot.p2p, 13050, Zbot.Gen Command and Control Traffic
3. URLFilter abonnieren, um zu vermeiden, dass Bedrohungen von bösartigen Domains heruntergeladen werden.
• Blockieren Sie MalwareDomains genauso wie Proxy Avoidance und peer2peer.
• Benutzen Sie eine “Continue page” für Websiten unbekannter Kategorien.
4. FileBlocking unterstützen: Überlegen Sie, alle PE Dateien zu blockieren oder eine ‘Continue Page’ als explizite Warnung an alle Angestellten zu verwenden, falls diese ausführbare Dateien downloaden können.
5. Direkt in Webmail entschlüsseln: Wenn ein Angestellter eine Fedex.ZIP herunterlädt, die sich als Cryptolocker entpuppt, stellen Sie sicher, dass sie mit einer Threat Prevention inspiziert wird.
6. Firewall Alert System unterstützen: Untersuchen Sie ALLE TCPunbekannten und UDP — unbekannten Alerts. Diese könnten der Command und Control Vektor für die Malware sein oder der RemoteZugang eines Trojaners.
7. SoftwareupdateProzesse kontrollieren: MalwareAutoren nutzen Social EngineeringTaktiken aus, um Ihre Angestellten dazu zu bekommen, Reader, Flash und Java Updates zu installieren – aber diese können Teil des Infektionsvektors sein. Es ist wichtig, dass Sie Ihren Angestellten empfehlen Adobe Reader, Flash und Java Updates nicht von inoffiziellen Quellen herunterzuladen, wenn diese als PopUp erscheinen. Ziehen Sie in Betracht, alle Updates durch die ITAbteilung durchführen zu lassen oder die Anwender explizit anzuleiten, die offizielle Seite des SoftwareHerstellers für Updates zu besuchen.
Vier zusätzliche Tipps für Palo Alto Network Firewalls
1. Wildfire aktivieren – es kann mit Cryptolocker oder Zeus verbundene unbekannte und Day ZeroMalware oder Dropper erkennen.
• Wildfire markiert automatisch bösartiges Verhalten und erstellt und verteilt AV, DNS und Command und Control Signaturen an verbundene Palo Alto Networks Firewalls, um eine Infizierung weiterer Angestellter zu vermeiden.
• Grundsätzlich sollten alle Microsoft Office, PDF und Java, sowie Portable Executable (PE) Dateien von Wildfire auf ihr Verhalten hin gecheckt werden.
2. Bereits infizierte Systeme aufspüren und identifizieren: Unterstützen Sie den Botnet Report, der von Palo Alto Networks zur Verfügung gestellt wird, um sicherzustellen, dass Sie keine bereits infizierten Systeme übersehen haben.
3. Ein Sinkhole erstellen, um infizierte Systeme systematisch aufzufinden: Über den Botnet Report hinaus, verwenden Sie dieses PANOS 6.0 Feature, um sicherzustellen, dass Sie bereits infizierte Systeme einfach auffinden können.
4. Die Palo Alto Networks AV Signatur Schutz vor Cryptolocker and Zbot nutzen. Cryptolocker kann via Social Engineering durch PDFs/Office Dokumente oder ZIP Anhänge übermittelt werden, die Schaddateien enthalten. Leider können diese Schaddateien nicht gut über den Dateinamen identifiziert werden. Unsere Features zur Gefahrenabwehr blockieren unbekannte Schaddateien automatisch. Wir haben den Schutz auf viele Beispiel des Virentyps mit dem Namen “Virus/Win32.generic.jnxyz” ausgeweitet
• TrojanRansom, Ransom/Win32.crilock, Trojan/Win32.lockscreen — Um die von uns abgedeckten Typen zu sehen, suchen Sie unter “LOCK” im Virus Threat Vault.
• TrojanSPY/Win32.zbot und PWS/Win32.zbot — um die von uns abgedeckten Typen zu sehen, suchen Sie unter Zbot im Virus Threat Vault.
2. Sicherstellen, dass die DNSErkennung aktiviert ist. Spyware und Command und Control Detektion finden infizierte Systeme, die zusätzliche Varianten nach sich ziehen werden.
• Verdächtige DNS – Untersuchen und beseitigen Sie ALLE verdächtigen DNSAnfragen. Sie stammen sehr wahrscheinlich von infizierten Systemen.
• Spyware Command und Control Signaturen – Suchen Sie “zbot” oder Cryptolocker im Threat Vault unter Spyware für die aktuellste Liste der abgedeckten Typen — inklusive ID # 13433 “CryptoLocker Command and Control Traffic”, 13131, SpywareZbot.p2p, 13050, Zbot.Gen Command and Control Traffic
3. URLFilter abonnieren, um zu vermeiden, dass Bedrohungen von bösartigen Domains heruntergeladen werden.
• Blockieren Sie MalwareDomains genauso wie Proxy Avoidance und peer2peer.
• Benutzen Sie eine “Continue page” für Websiten unbekannter Kategorien.
4. FileBlocking unterstützen: Überlegen Sie, alle PE Dateien zu blockieren oder eine ‘Continue Page’ als explizite Warnung an alle Angestellten zu verwenden, falls diese ausführbare Dateien downloaden können.
5. Direkt in Webmail entschlüsseln: Wenn ein Angestellter eine Fedex.ZIP herunterlädt, die sich als Cryptolocker entpuppt, stellen Sie sicher, dass sie mit einer Threat Prevention inspiziert wird.
6. Firewall Alert System unterstützen: Untersuchen Sie ALLE TCPunbekannten und UDP — unbekannten Alerts. Diese könnten der Command und Control Vektor für die Malware sein oder der RemoteZugang eines Trojaners.
7. SoftwareupdateProzesse kontrollieren: MalwareAutoren nutzen Social EngineeringTaktiken aus, um Ihre Angestellten dazu zu bekommen, Reader, Flash und Java Updates zu installieren – aber diese können Teil des Infektionsvektors sein. Es ist wichtig, dass Sie Ihren Angestellten empfehlen Adobe Reader, Flash und Java Updates nicht von inoffiziellen Quellen herunterzuladen, wenn diese als PopUp erscheinen. Ziehen Sie in Betracht, alle Updates durch die ITAbteilung durchführen zu lassen oder die Anwender explizit anzuleiten, die offizielle Seite des SoftwareHerstellers für Updates zu besuchen.
Vier zusätzliche Tipps für Palo Alto Network Firewalls
1. Wildfire aktivieren – es kann mit Cryptolocker oder Zeus verbundene unbekannte und Day ZeroMalware oder Dropper erkennen.
• Wildfire markiert automatisch bösartiges Verhalten und erstellt und verteilt AV, DNS und Command und Control Signaturen an verbundene Palo Alto Networks Firewalls, um eine Infizierung weiterer Angestellter zu vermeiden.
• Grundsätzlich sollten alle Microsoft Office, PDF und Java, sowie Portable Executable (PE) Dateien von Wildfire auf ihr Verhalten hin gecheckt werden.
2. Bereits infizierte Systeme aufspüren und identifizieren: Unterstützen Sie den Botnet Report, der von Palo Alto Networks zur Verfügung gestellt wird, um sicherzustellen, dass Sie keine bereits infizierten Systeme übersehen haben.
3. Ein Sinkhole erstellen, um infizierte Systeme systematisch aufzufinden: Über den Botnet Report hinaus, verwenden Sie dieses PANOS 6.0 Feature, um sicherzustellen, dass Sie bereits infizierte Systeme einfach auffinden können.
4. Die Palo Alto Networks AV Signatur Schutz vor Cryptolocker and Zbot nutzen. Cryptolocker kann via Social Engineering durch PDFs/Office Dokumente oder ZIP Anhänge übermittelt werden, die Schaddateien enthalten. Leider können diese Schaddateien nicht gut über den Dateinamen identifiziert werden. Unsere Features zur Gefahrenabwehr blockieren unbekannte Schaddateien automatisch. Wir haben den Schutz auf viele Beispiel des Virentyps mit dem Namen “Virus/Win32.generic.jnxyz” ausgeweitet
• TrojanRansom, Ransom/Win32.crilock, Trojan/Win32.lockscreen — Um die von uns abgedeckten Typen zu sehen, suchen Sie unter “LOCK” im Virus Threat Vault.
• TrojanSPY/Win32.zbot und PWS/Win32.zbot — um die von uns abgedeckten Typen zu sehen, suchen Sie unter Zbot im Virus Threat Vault.
