ransomware drop?

midnight_man

Pochvalte sa niekto konfiguraciou, ak mate....riesite ransomware nejak na GW?

invia

Nemyslim si, ze je to mozne, kvuli sireni pomoci emailovych priloh nebo download z dropboxu.

zero

Na Mikrotiku nemožný.

My máme na perimetru pro vnitropodnikovou síť FortiGate a nakonfigurovaný IPS senzory a na poštovním serveru dočasně zakázány .zip přílohy mimo naše domény.

midnight_man

http://blog.fortinet.com/2017/05/12/protecting-your-organization-from-the-wcry-ransomware

takze bloknut komunikaciu na tych portoch? nepomoze?

ludvik

On se šíří (minimálně) dvěma způsoby. První na GW ošetříš, prostě zakážeš port 445 (nejspíš pro jistotu i s 135-139). Tím to přestane fungovat jako červ. Jenže už (jak píšou předemnou) nezabráníš, aby si to někdo stáhl někde ručně. Ale zase na to by už zabraly antiviry ...

zero

ano, pomůže. Ale tímhle ošetříš pouze to, že se nebudou infikovat další PC. Tohle jsou klasický NetBios porty, který normálně na perimetru blokujeme.

Nicméně, pokud se Ti už nějakej PC nakazí (z emailu) tak následně se začne šířit po L2 síti, kde žádný firewall logicky nemáš. Např. my máme několik broadcastových domén každou s 1024 adresama a končí v L3 switchi. A jelikož NetBios porty potřebuješ ke správnýmu fungování domény, není to jak ochránit. Takže primárně docílit toho, aby se k Tobě nedostal ten .zip file + AV + záplaty

midnight_man

takze az take uplne nezmyselne to nie je ze? Dal som to na GW..okamzite tam boli packety!

zero

takze az take uplne nezmyselne to nie je ze? Dal som to na GW..okamzite tam boli packety!

ty tam budou vždycky pokud tam jsou nějaký Win PC :)

midnight_man

sa bavime o ISP sieti, nie o firemnej sieti...priamo na sieti ziadne win PC nie su samozrejme. a tieto protokoly by sa mali sirit len po L2 sieti v ramci jednej domacnosti/firmy nie?

Nema to co hladat na GW...

ludvik

445 je "normální routovaný" protokol ... a běhá to tam pořád. Ono i když nebyla známá zranitelnost, tak pokusy o hádání hesel probíhaly. Je to holt lákavý cíl.

midnight_man

ked od niektorého klienta lezie do sveta komunikacia na tomto porte 445 v dnesnej dobe..je to minimalne podozrivé ;)

okoun

v ISP síti přeci se to šířit nemůže, když zájzaník nevidí k jinému zákazníku... v podnikovce samozřejmě může že, pokud tam není nějaký filter na switchi

ludvik

Jak definuješ "internet"? Zákazník může někam a někam jinam ne? Jak máš ošetřeno definování těch dvou polovin?

zero

Přesně jak píše ludvik - ta hranice je hodně ošemetná.. treba veřejný IP v Tvoji síti.. je to pořad vnitřní sít?

midnight_man

však zakaznik moze kam chce...ale ked raz odneho lezu packety na porte 445 niekam do prdele sveta no čo to asi bude?

ludvik

Win+R, napsat \\mujkamos.internet.cz a stisknout enter.

Lepší, jak je učit instalovat a konfigurovat FTP server, nebo něco podobného. Nebo používat prostředníka (který bude ovšem asi častější).

majklik

Blokovat staré NetBIOS/WINS porty na úrovni ISP asi problém není, to y do sítě ISP lézti nemělo. Dneska je v řadě instalací Woken stejně bloklé (135-139), ale s portem pro CIFS (445/TCP) opatrně, tam může být provoz zcela oprávněn a nutný n to, aby se korporátní user dostal do svého noťasu, když s nim dojde domů. Pokud začne od zákoše lézti provoz 445 na tuny adres všema směry, tak to je jiná, pak má smysl ho zaříznout.

tomasik

na foru Mikrotiku se objevilo nasledujici tak to sem postnu :

Aktuálna téma - ransomware :-(

- máme niekoľko možností nahrávať ransomware address list.

- druhá je štandardný virus list spiustiť vo Forward-e a in interface WAN

/ ip firewall filter

add chain=virus protocol=tcp dst-port=135-139 action=drop

add chain=virus protocol=udp dst-port=135-139 action=drop

add chain=virus protocol=tcp dst-port=445 action=drop

add chain=virus protocol=udp dst-port=445 action=drop

okoun

Přesně jak píše ludvik - ta hranice je hodně ošemetná.. treba veřejný IP v Tvoji síti.. je to pořad vnitřní sít?

ne veřjené ip jsou veřejné, jsou vidět mé sítě i z venku, tam je také firewall který toto řeší, má řešit, ale drtivá většina má vnitřní ip a tam je prostě politika že se na ně jiný zákazník nedostane, prostě je nevidí ani.

hapi

hmm, na ipv6 to asi nebude fungovat co. Tak trochu si říkám proč bych jako ISPík měl něco blokovat. Mě je fuk co tam běhá. Každý win pc má firewall a pokud si všude klikám veřejná síť, je to už jenom na mě co si v pc otevřu. Docela efektivně tohle šíření řeší webový mailový klienti. Pokud si ale přesto stahnu přílohu a otevřu tak prostě proti tomu ochrana není.

Další stránka »