К основному контенту

Что нужно делать после получения рассылки FinCERT

Часто спрашивают как заблокировать то, что перечислено в рассылке от FinCERT (ФинЦЕРТ) Центрального Банка РФ. 


В рассылке приходят:
1. хеши вредоносных файлов
2. email адреса - источники угрозы
3. IP адреса источников угрозы

Что нужно сделать после получения данной рассылки.


1. Проверить что ваш антивирус или песочница уже блокируют этот хеш. Если у вас есть оборудование с доступом к глобальной базе Threat Intelligence, то с большой вероятностью эта информация уже пришла в оборудование и все перечисленное блокируется.
Например, в Palo Alto Networks NGFW встроен антивирус и песочница, и хеш проверить можно на портале threatvault.paloaltonetworks.com/ - вы вводите в строку поиска хеш и получаете ответ в каком обновлении антивируса или песочницы пришла сигнатура. Например, проверим хеш F24B160E9E9D02B8E31524B8A0B30E7CDC66DD085E24E4C58240E4C4B6EC0AC2 - он есть в обновлениях антивируса и песочницы Wildfire (обновляется каждые 5 минут сигнатурами, которые обнаружили песочницы заказчиков PANW по всему миру)
 

2. Заблокировать email адреса на вашем почтовом сервере. Например, в Microsoft Exchange это команда 

Set-SenderFilterConfig -BlockedSenders hacker@cia.com,john@nsa.com

3. Заблокировать IP адреса на межсетевом экране. У вас наверняка есть какой-то адресный объект, в который вы просто добавите эти адреса. И для этого объекта в межсетевом экране должно быть правило для блокировки. У Palo Alto Networks NGFW такие же объекты уже готовые приходят в межсетевой экран из базы Threat Intelligence, которую можно посмотреть на портале autofocus.paloaltonetworks.com. Кроме того, можно использовать объект External Block List. Я предлагал уже на конференции ЦБ для банков в Магнитогорске использовать этот объект в самом FinCert. Это обычный текстовый файл с IP адресами. Межсетевому экрану нужно лишь указать где этот файл расположен (по какому URL). Пример есть на 6 слайде https://www.slideshare.net/ksiva/ss-72286073 (Роскомнадзор заблокировал slideshare, поэтому не у всех откроется). Сам пример привожу тут: 

Более подробное описание внешних списков блокировки тут: live.paloaltonetworks.com/t5/PAN-OS-8-0-Articles/PAN-OS-8-0-IP-Block-List-Feeds/ta-p/129616


Комментарии

  1. Здравствуйте, имеется ли реальный адрес для доступа к текстовому файлу со списком IP, URL от ФинЦЕРТ?

    ОтветитьУдалить

Отправить комментарий

Популярные сообщения из этого блога

Какие уязвимости использует криптолокер WanaCryptor и что с ними делать

Что случилось?   Случайно или намеренно у американских хакеров, то ли из АНБ, то ли из ЦРУ утекло очень опасное кибероружие (они как обычно не признаются и не каются). Об этом стало известно, когда не менее безответственный человек из Shadow Brokers выложил это оружие в Интернет. Среди них был эксплойт EternalBlue. В автоматическом режиме это кибероружие позволяет захватить управление любым компьютером Windows используя его стандартный сервис доступа к файловой системе по сети - протокол SMB. То есть не нужно получать никакого письма в почту - сетевой червь сам вас найдет и запустится.


Строки из кода EternalBlue
Есть ли решение?   Да, компания Микрософт напряглась и выпустила уже исправление к этой пачке уязвимостей, вот описание: MS17-010 Но сами хакерские утилиты уже активно используются и всем компаниям и домашним пользователям надо быть настороже.

 Так вот одна из утилит от американских хакеров EternalBlue нашла свое применение в реализации криптолокера WanaCryptor, он же WanaCryp…

Про 2 бесплатных билета Emirates. Задумайтесь, когда хотите халявы.

Это репост. Спасибо Руслану Юсуфову за текст: полностью его поддерживаю. В последние несколько дней вижу много репостов страницы «#Emirates дарит 2 билета». Это конечно же разводка. Но я вижу репост таких страниц не от своей бабушки (моя бабушка выбрала радикальный способ защиты от киберпреступников и не использует компьютер), а от людей из банков, инвестиционных и благотворительных фондов и даже семейных офисов (то есть людей, которые имеют доступ к деньгам и сенситивной информации), расскажу подробнее, чем это грозит. Чем Вам это грозит.
1. Вначале вы получаете ссылку через WhatsApp или кликаете по репосту в фейсбуке и попадаете на сайт типа эмираты-бесплатно-2-билета-ком-абракадабра-точка-ком, что уже должно настораживать. Те, с кем мы общаемся чуть чаще, уже имеют приобритенный подсознательный параноидальный барьер и не переходят по таким ссылкам. 2. Когда вы переходите по подобной ссылке, вас проведут через несколько сайтов-прокладок. В процессе вы посмотрите рекламу, вероятнее вс…

Сертификация Palo Alto Networks

Добрый день, коллеги!



В новостной ленте Алексея Лукацкого появилось и затем Алексей Комаров ретвитнул информацию о том, что отменили сертификаты у Palo Alto Networks. 
Это верно, информационное сообщение ФСТЭК тут:
https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1516-informatsionnoe-soobshchenie-fstek-rossii-ot-1-fevralya-2018-g-n-240-24-554

Упомянутые сертификаты 2012 года кончаются в апреле 2018 года. Они настолько старые, что относятся к устройствам, которые уже даже не выпускаются: 2000 и 4000 серия, ну и версия операционной системы уже далеко не 4.0, а 8.0. То есть отменили сертификаты которые сами по себе кончаются в апреле 2018 и мало того часть из них на устройства, которые вышли из продажи.

Чтобы продлить эти сертификаты нужно было снова показать исходный код, а делать это для сертификатов которые кончаются через 2 месяца - неэффективно. Поэтому офис Palo Alto Networks сконцентрирован на получении новых сертификатов на новые устройства и на новую…