SECURITY11. Juli 2014

7 + 4 Tipps gegen ZeuS und Cryptolocker

Bild: alexskopje/bigstockphoto.com
Bild: alexskopje/bigstockphoto.com
In den vergangen Wochen gingen die Attacken der Malware-Familien GOZeuS und Cryptolocker auf IT-Infrastrukuren der Finanzbranche in eine neue Runde. Um speziell gegen diese Malware-Varianten gewappnet zu sein, gibt John Harrison, Experte von Palo Alto Networks für Gefahrenabwehr, Banken und anderen Finanzdienstleistern sieben allgemeine plus vier Tipps speziell für Palo Alto Network Firewalls:

Sieben grundsätzliche Tipps für IT-Verantwortliche

1. IPS Signaturen nutzen, um zu vermeiden, dass die IT für Client-seitige Angriffe anfällig ist, die Zeus oder Cryptolocker absetzen könnten. Ziehen Sie Inline Blocking mit einer strikten IPS Policy in Betracht. Vermeiden Sie, dass client-seitige Schwachstellen ausgenutzt werden, um bei einem drive-by Download Malware im System abzusetzen.

2. 
Sicherstellen, dass die DNS-Erkennung aktiviert ist. Spyware und Command und Control Detektion finden infizierte Systeme, die zusätzliche Varianten nach sich ziehen werden.
• Verdächtige DNS – Untersuchen und beseitigen Sie ALLE verdächtigen DNS-Anfragen. Sie stammen sehr wahrscheinlich von infizierten Systemen.
• Spyware Command und Control Signaturen – Suchen Sie “zbot” oder Cryptolocker im Threat Vault unter Spyware für die aktuellste Liste der abgedeckten Typen – inklusive ID # 13433 “CryptoLocker Command and Control Traffic”, 13131, Spyware-Zbot.p2p, 13050, Zbot.Gen Command and Control Traffic

3. 
URL-Filter abonnieren, um zu vermeiden, dass Bedrohungen von bösartigen Domains heruntergeladen werden.
• Blockieren Sie Malware-Domains genauso wie Proxy Avoidance und peer2peer.
• Benutzen Sie eine “Continue page” für Websiten unbekannter Kategorien.

4. File-Blocking unterstützen: Überlegen Sie, alle PE Dateien zu blockieren oder eine ‘Continue Page’ als explizite Warnung an alle Angestellten zu verwenden, falls diese ausführbare Dateien downloaden können.

5. Direkt in Webmail entschlüsseln: Wenn ein Angestellter eine Fedex.ZIP herunterlädt, die sich als Cryptolocker entpuppt, stellen Sie sicher, dass sie mit einer Threat Prevention inspiziert wird.

6. Firewall Alert System unterstützen: Untersuchen Sie ALLE TCP-unbekannten und UDP — unbekannten Alerts. Diese könnten der Command und Control Vektor für die Malware sein oder der Remote-Zugang eines Trojaners.

7. Softwareupdate-Prozesse kontrollieren: Malware-Autoren nutzen Social Engineering-Taktiken aus, um Ihre Angestellten dazu zu bekommen, Reader, Flash und Java Updates zu installieren – aber diese können Teil des Infektionsvektors sein. Es ist wichtig, dass Sie Ihren Angestellten empfehlen Adobe Reader, Flash und Java Updates nicht von inoffiziellen Quellen herunterzuladen, wenn diese als Pop-Up erscheinen. Ziehen Sie in Betracht, alle Updates durch die IT-Abteilung durchführen zu lassen oder die Anwender explizit anzuleiten, die offizielle Seite des Software-Herstellers für Updates zu besuchen.

Vier zusätzliche Tipps für Palo Alto Network Firewalls

1. Wildfire aktivieren – es kann mit Cryptolocker oder Zeus verbundene unbekannte und Day Zero-Malware oder Dropper erkennen.
• Wildfire markiert automatisch bösartiges Verhalten und erstellt und verteilt AV, DNS und Command und Control Signaturen an verbundene Palo Alto Networks Firewalls, um eine Infizierung weiterer Angestellter zu vermeiden.
• Grundsätzlich sollten alle Microsoft Office, PDF und Java, sowie Portable Executable (PE) Dateien von Wildfire auf ihr Verhalten hin gecheckt werden.

2. 
Bereits infizierte Systeme aufspüren und identifizieren: Unterstützen Sie den Botnet Report, der von Palo Alto Networks zur Verfügung gestellt wird, um sicherzustellen, dass Sie keine bereits infizierten Systeme übersehen haben.

3. 
Ein Sinkhole erstellen, um infizierte Systeme systematisch aufzufinden: Über den Botnet Report hinaus, verwenden Sie dieses PAN-OS 6.0 Feature, um sicherzustellen, dass Sie bereits infizierte Systeme einfach auffinden können.

4. 
Die Palo Alto Networks AV Signatur Schutz vor Cryptolocker and Zbot nutzen. Cryptolocker kann via Social Engineering durch PDFs/Office Dokumente oder ZIP Anhänge übermittelt werden, die Schaddateien enthalten. Leider können diese Schaddateien nicht gut über den Dateinamen identifiziert werden. Unsere Features zur Gefahrenabwehr blockieren unbekannte Schaddateien automatisch. Wir haben den Schutz auf viele Beispiel des Virentyps mit dem Namen “Virus/Win32.generic.jnxyz” ausgeweitet
• Trojan-Ransom, Ransom/Win32.crilock, Trojan/Win32.lockscreen — Um die von uns abgedeckten Typen zu sehen, suchen Sie unter “LOCK” im Virus Threat Vault.
• Trojan-SPY/Win32.zbot und PWS/Win32.zbot — um die von uns abgedeckten Typen zu sehen, suchen Sie unter Zbot im Virus Threat Vault.



GameOver Zeus (GOZ) ist eine Malware, die Online-Banking Zugangsdaten stiehlt. Sie wurde 2011 zuerst identifiziert und hat insbesondere Banken seither vor Probleme gestellt. Sie wird oft von Cyberkriminellen genutzt, um Windowsbasierte PCs und Webserver anzugreifen und Command-Control Angriffe auszuführen. Lesen Sie dazu auch den Artikel: Malware räumt Bankkonten ab.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert