Parando CRYPTOLOCKER con Dell Sonicwall UTM ### Parte II ####

May 6, 2015 11:30:00 AM / by maximo.dominguez

En este último post, vamos a ver la manera de aplicar la segunda estrategia a nuestros Firewalls Dell Sonicwall de forma que nos puedan SUMAR ACTIVAMENTE en la prevención de desastres con los troyanos de tipo Cryptolocker Ransomware.

 Basado en FIRMWARE: SonicOS Enhanced 5.9.0.6-3o o superior

ESTRATEGIA 2 (cortar el repositorio de los archivos):

En esta ocasión, y mediante la observación, podemos ver que la famosa WEB que aparece después de clickar en el hipervínculo del mail que informa que tenemos una carta certificada:

http://ecorreos24.org/p1e1j7.php?id= 

En realidad llama a un repositorio HTTPS que en el momento de confirmar la descarga, si nos fijamos se puede ver fácilmente... https://copy.com Se trata de un portal de gestión de archivos en la nube.

 

 

Sientiéndolo mucho, y dado que soluciones alternativas para trabajar con archivos online, hay muchas...

Lo que vamos a hacer es mediante APLICATION FIREWALL cortar las descargas de este origen.

 

PROCESO:

1. Empezamos navegando a Firewall>Match Objects

2. Seleccionaremos Add New Match Object

3. Crearemos un objeto tal y como mostramos abajo:

 

¿Cómo verificamos el contenido que deberá hacer MATCH?

Pues con las propiedades del certificado

 

Una vez abre la ventana de "Más información" clickamos en "Ver certificado", en el detalle del mismo, el Nombre común (CN)=*.copy.com será el dato que necesitamos como "content" para el MATCH de la regla.

 

 

4. Vamos a Firewall>App Rules

5. Nos aseguramos que el checkbox de Enable App Rules: este con V

6. Seleccionaremos Add New Policy

7. Crearemos la regla tal y como mostramos abajo:

 

 

Una vez realizados estos pasos, lo que ocurrirá en adelante es que aunque por accidente alguien no haga click en el LINK del MAIL, nunca podrá acceder a este repositorio ya que SONICWALL corta la comunicación antes.

 

 

 

Aunque todos sabemos que esta es una MEDIDA DRASTICA, que nos anula por completo el portal repositorio en cuestión, no deja de ser una medida de seguridad UTIL, RAPIDA y FUNCIONAL que nos puede hacer ganar tiempo mientras el ZERO-DAY va pasando y poco a poco las defensas END-POINT van tomando forma.

 

Esperamos estos posts os ayude en esta guerra contra estas nuevas oleadas!

 

Topics: Sonicwall, CryptoLocker, Ransomware, Security, application firewall, Firewall, Ingens Networks, tor, Troyano

maximo.dominguez

Written by maximo.dominguez

Lists by Topic

see all
Servicios gestionados

Categorías

Ver todas