中神通公司技术论坛 - Powered by Discuz! Board

标题: DarkSide勒索病毒分析报告 [打印本页]

作者: linda 时间: 2021-5-16 12:32 标题: DarkSide勒索病毒分析报告

https://www.joesandbox.com/analysis/372394/0/executive

中间控制网站：baroquetees.com

https://bazaar.abuse.ch/sample/151fbd6c299e734f7853497bd083abfa29f8c186a9db31dbe330ace2d35660d5/

https://chuongdong.com/reverse%20engineering/2021/05/06/DarksideRansomware/

https://www.cybereason.com/blog/cybereason-vs-darkside-ransomware
http://185.117.119.87/update.exe

[ 本帖最后由 linda 于 2021-6-4 22:06 编辑 ]

作者: linda 时间: 2021-5-16 19:45

防范措施：
1）企业边界网关开启（透明）WEB代理，过滤https流量中的.exe等可执行文件下载
2）DNS防火墙过滤 baroquetees.com、securebestapp20.com、temisleyes.com、catsdegree.com等
3）安装VPN保护远程桌面、OA、邮箱等企业应用系统

线下用中神通UTMWALL-OS，云上用中神通大地云控做防护。
要审计拦截HTTPS加密流量中的URL，只能使用自签名HTTP代理，因为SSL证书要通配所有域名，而不是某一个网站的域名。
防病毒软件、防火墙、入侵检测、态势感知等对这类未知病毒都没有办法，还是要从最基本、零信任的角度考虑防范措施。

具体参考：
Darkside勒索病毒的网络防御措施
http://trustcomputing.com.cn/bbs/viewthread.php?tid=1789

[ 本帖最后由 linda 于 2021-6-4 22:02 编辑 ]

欢迎光临中神通公司技术论坛 (http://trustcomputing.com.cn/bbs/)