McAfee डिफेंडर का ब्लॉग: NetWalker | McAfee ब्लॉग

बिल्डिंग एडाप्टेबल सिक्योरिटी आर्किटेक्चर के खिलाफ NetWalker

नेटवल्कर अवलोकन

नेटवॉकर रैंसमवेयर, जिसे शुरुआत में मेल्टो के रूप में जाना जाता था, पहली बार अगस्त 2019 में पता चला था। तब से, नए वेरिएंट की खोज 2019 में की गई और 2020 की शुरुआत में, इस साल के मार्च में मजबूत उठान देखा गया। नेटवल्कर ने अधिक स्थिर और मजबूत रैंसमवेयर-ए-सर्विस (राएएस) मॉडल के रूप में स्पष्ट रूप से विकसित किया है, और मैकएफी अनुसंधान से पता चलता है कि मैलवेयर ऑपरेटर तकनीकी रूप से उन्नत और उद्यमी आपराधिक सहयोगियों की व्यापक रेंज को लक्षित कर रहे हैं और आकर्षित कर रहे हैं। McAfee Advanced Threat Research (ATR) ने NetWalker से जुड़े बिटकॉइन की एक बड़ी राशि की खोज की जो सुझाव देता है कि इसके जबरन वसूली के प्रयास प्रभावी हैं और कई पीड़ितों के पास इसकी आपराधिक मांगों के आगे झुकने के अलावा कोई विकल्प नहीं है। NetWalker पर अधिक जानकारी के लिए, यहाँ McAfee ATR ब्लॉग देखें।

हम नहीं चाहते हैं कि आप उन पीड़ितों में से एक हों, इसलिए यह ब्लॉग इस खतरे को हराने के लिए एक अनुकूलनीय सुरक्षा वास्तुकला का निर्माण करने पर केंद्रित है और, विशेष रूप से, मैकएफी के पोर्टफोलियो ने नेटवॉकर रैंसमवेयर को रोकने, पता लगाने और प्रतिक्रिया करने की क्षमता प्रदान करता है।

नेटविकल्कर पर खुफिया जानकारी जुटाना

हमेशा की तरह, अनुकूलनीय रक्षात्मक वास्तुकला का निर्माण बुद्धि से शुरू होता है। अधिकांश संगठनों में, सुरक्षा ऑपरेशन टीम खतरे के विश्लेषण, साथ ही धमकी और घटना की प्रतिक्रिया के लिए जिम्मेदार है। McAfee MVISION इनसाइट्स का पूर्वावलोकन धमकी इंटेल विश्लेषक और खतरे के उत्तरदाता के लिए MVISION अंतर्दृष्टि क्षमताओं में से कुछ का एक चुपके झलक है। पूर्वावलोकन दुनिया भर में चुनिंदा शीर्ष उभरते खतरों की व्यापकता और गंभीरता की पहचान करता है जो सुरक्षा संचालन केंद्र (एसओसी) को खतरे की प्रतिक्रिया क्रियाओं को प्राथमिकता देने और खतरे से जुड़े प्रासंगिक साइबर खतरे की खुफिया जानकारी (सीटीआई) इकट्ठा करने में सक्षम बनाता है, इस नेटवेकर रैंसमवेयर में। CTI को Compromise के तकनीकी संकेतक (IOC) के साथ-साथ MITER ATT & CK फ्रेमवर्क रणनीति और तकनीकों के रूप में प्रदान किया गया है।

एक खतरा इंटेल विश्लेषक या उत्तरदाता के रूप में, आप नेटवल्कर पर अधिक विशिष्ट जानकारी इकट्ठा करने के लिए नीचे ड्रिल कर सकते हैं, जैसे कि प्रचलन और सूचना के अन्य स्रोतों से लिंक।

एक खतरा इंटेल विश्लेषक या उत्तरदाता के रूप में, आप आगे नेटवल्कर पर अधिक विशिष्ट कार्रवाई करने योग्य खुफिया जानकारी एकत्र करने के लिए नीचे ड्रिल कर सकते हैं, जैसे कि समझौता एटीटी और सीके फ्रेमवर्क से जुड़े समझौता और रणनीति / तकनीक के संकेतक।

MVISION इनसाइट्स पूर्वावलोकन से, आप देख सकते हैं कि नेटवल्कर अन्य रैंसमवेयर हमलों के लिए रणनीति और तकनीकों का उपयोग करता है, जैसे कि इनिशियल एक्सेस के लिए स्पीयर फ़िशिंग अटैचमेंट, तैनाती के लिए पॉवरशेल का उपयोग, रजिस्ट्री के लिए संशोधन / स्टार्टअप फोल्डर दृढ़ता के लिए और प्रभाव के लिए फ़ाइलों का एन्क्रिप्शन। बेशक।

रक्षात्मक वास्तुकला अवलोकन

आज का डिजिटल उद्यम नेटविल्कर जैसे हमलों के लिए कई प्रवेश बिंदुओं के साथ ऑन-प्रिमाइसेस सिस्टम और क्लाउड सेवाओं का एक संकर वातावरण है। COVID-19 द्वारा मजबूर होम ऑपरेटिंग मॉडल के काम ने केवल हमले की सतह का विस्तार किया है और सफल रैंसमवेयर हमले के लिए जोखिम बढ़ा दिया है यदि संगठनों ने अपनी सुरक्षा मुद्रा को अनुकूलित नहीं किया। नेटवल्कर जैसे हमलों के जोखिम को कम करने के लिए डिवाइस पर, नेटवर्क पर और सुरक्षा संचालन (सेकंड ऑप्स) में सही नियंत्रण के साथ एक सुरक्षा वास्तुकला की आवश्यकता होती है। सेंटर फॉर इंटरनेट सिक्योरिटी (CIS) टॉप 20 साइबर सिक्योरिटी कंट्रोल उस आर्किटेक्चर को बनाने के लिए एक अच्छा गाइड प्रदान करता है। रैंसमवेयर और नेटवल्कर के लिए, विशेष रूप से पूरे उद्यम में नियंत्रण रखना चाहिए। निम्नलिखित आर्किटेक्चर की प्रत्येक परत पर रैंसमवेयर के खिलाफ आपके उद्यम की रक्षा के लिए आवश्यक प्रमुख सुरक्षा नियंत्रणों की रूपरेखा तैयार करता है।

नेटवल्कर के खिलाफ अपनी क्षमता का आकलन करने के लिए, आपको अपने मौजूदा नियंत्रणों का मिलान उन हमलों के खिलाफ करना होगा जो हमने MVISION इनसाइट्स के पूर्वावलोकन से सीखे थे। नेटवाल्कर रैंसमवेयर हमले पर विस्तृत विश्लेषण के लिए, McAfee ATR का ब्लॉग देखें, लेकिन सादगी के लिए, हमने नीचे MITER ATT & CK फ्रेमवर्क पर हमले के चरणों का मिलान किया।

प्रारंभिक प्रवेश चरण रक्षात्मक अवलोकन

थ्रेट इंटेलिजेंस एंड रिसर्च के अनुसार, प्रारंभिक पहुंच या तो भेद्यता शोषण या भाला फ़िशिंग अटैचमेंट के माध्यम से की जाती है। निम्नलिखित चार्ट उन नियंत्रणों को सारांशित करता है जो प्रारंभिक चरण तकनीकों और McAfee समाधानों के खिलाफ सबसे अधिक प्रभाव डालते हैं, जहां संभव हो उन नियंत्रणों को लागू करने के लिए।

MITER रणनीति MITER तकनीक सीएससी नियंत्रण McAfee क्षमता
प्रारंभिक पहुँच सार्वजनिक-फेसिंग अनुप्रयोगों को समाप्त करें (T1190)

टॉमकैट, वेब लॉजिक

CSC 2 सॉफ्टवेयर आस्तियों की सूची

CSC 3 सतत भेद्यता मूल्यांकन

CSC 5 हार्डवेयर और सॉफ्टवेयर का सुरक्षित विन्यास

CSC 9 नेटवर्क पोर्ट और प्रोटोकॉल की सीमा

CSC 12 सीमा रक्षा

CSC 18 अनुप्रयोग सॉफ्टवेयर सुरक्षा

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुप्रयोग नियंत्रण (मैक)

नेटवर्क सुरक्षा प्लेटफ़ॉर्म (NSP)

प्रारंभिक पहुँच भाला फ़िशिंग अटैचमेंट (T1566.001) CSC 7 – ईमेल और वेब ब्राउज़र सुरक्षा

CSC 8 – मालवेयर डिफेंस

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा सुरक्षा,

वेब गेटवे (MWG), उन्नत खतरा रक्षा, वेब गेटवे क्लाउड सेवा (WGCS)

प्रारंभिक पहुँच वैध खाते (T1078) RDP संकलित CSC 5 हार्डवेयर और सॉफ्टवेयर का सुरक्षित विन्यास

CSC 9 नेटवर्क पोर्ट और प्रोटोकॉल की सीमा

CSC 12 सीमा रक्षा

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण

जैसा कि हमलावर तेजी से स्पीयर फ़िशिंग अटैचमेंट को बदल सकते हैं, अनुकूलन योग्य बचाव होना ज़रूरी है जिसमें उपयोगकर्ता जागरूकता प्रशिक्षण और प्रतिक्रिया प्रक्रिया, ईमेल सिस्टम पर व्यवहार-आधारित मैलवेयर बचाव, वेब एक्सेस और एंडपॉइंट सिस्टम शामिल हैं, और अंत में प्रारंभिक पता लगाने और प्रतिक्रिया के लिए playbooks को सुरक्षित करता है। संदिग्ध ईमेल अटैचमेंट या अन्य फ़िशिंग तकनीकों के विरुद्ध। McAfee संदिग्ध ईमेल अटैचमेंट से कैसे बचा सकता है, इसकी अधिक जानकारी के लिए, इस अतिरिक्त ब्लॉग पोस्ट की समीक्षा करें।

मान्य डेस्कटॉप प्रोटोकॉल के लिए मान्य खातों और प्रोटोकॉल का उपयोग करना, एक हमले की तकनीक है जिसे हमने शुरुआती COVID-19 अवधि के दौरान वृद्धि देखी है। आगे समझने के लिए कि McAfee आरडीपी के खिलाफ एक प्रारंभिक एक्सेस वेक्टर के रूप में कैसे बचाव करता है, साथ ही हमलावर इसे रैंसमवेयर को तैनात करने के लिए कैसे उपयोग कर रहे हैं, कृपया हमारे पिछले पोस्ट देखें।

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rdp-security-explained/

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/cybercriminals-actively-exploiting-rdp-to-target-remote-organizations/

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/ens-10-7-rolls-back-the-curtain-on-ransomware/

शोषण स्टेज रक्षात्मक अवलोकन

शोषण चरण वह जगह है जहां हमलावर लक्ष्य प्रणाली तक पहुंच प्राप्त करता है। इस स्तर पर सुरक्षा प्रणाली भेद्यता प्रबंधन, दोनों अंतिम उपयोगकर्ता उपकरणों और सर्वरों पर अनुकूलनीय एंटी-मैलवेयर और एंडपॉइंट डिटेक्शन और प्रतिक्रिया सेंसर जैसे सुरक्षा संचालन उपकरण पर निर्भर है।

McAfee समापन बिंदु सुरक्षा 10.7 गहराई क्षमता में एक हस्ताक्षर प्रदान करता है जिसमें हस्ताक्षर और खतरे की खुफिया जानकारी शामिल है जो खराब संकेतक या कार्यक्रमों को कवर करता है।

इसके अतिरिक्त, मशीन-लर्निंग और व्यवहार-आधारित सुरक्षा नेटवल्कर के खिलाफ हमले की सतह को कम करती है और शोषण की नई तकनीकों का पता लगाती है।

McAfee Endpoint Security 10.7 के बारे में अधिक जानकारी के लिए, NetWalker में उपयोग की जाने वाली तकनीकों को रोक या पहचान सकते हैं, इन अतिरिक्त ब्लॉग पोस्टों की समीक्षा कर सकते हैं।

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/ens-10-7-rolls-back-the-curtain-on-ransomware/

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-amsi-integration-protects-against-malicious-scripts/

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/how-to-use-mcafee-atp-to-protect-against-emotet-lemonduck-and-powerminer/

निम्नलिखित चार्ट उन महत्वपूर्ण सुरक्षा नियंत्रणों को संक्षेप में प्रस्तुत करता है जो शोषण चरण तकनीकों और McAfee समाधानों के खिलाफ सबसे अधिक प्रभाव डालते हैं, जहां संभव हो उन नियंत्रणों को लागू करने के लिए।

MITER रणनीति MITER तकनीक सीएससी नियंत्रण McAfee पोर्टफोलियो शमन
क्रियान्वयन PowerShell (T1059.001) PowerShell स्क्रिप्ट CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा सुरक्षा, अनुप्रयोग नियंत्रण (MAC), MVISION EDR
क्रियान्वयन सेवा निष्पादन (T1569.002) PS Exec CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा मंच 10.7, खतरा निवारण, अनुकूली खतरा संरक्षण, अनुप्रयोग नियंत्रण (मैक), MVISION EDR
क्रियान्वयन कमांड और स्क्रिप्टिंग दुभाषिया (T1059.003)

विंडोज कमांड शेल

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा मंच 10.7, खतरा निवारण, अनुकूली खतरा संरक्षण, अनुप्रयोग नियंत्रण (मैक), MVISION EDR
क्रियान्वयन मूल API (T1106) DLL को इंजेक्ट करने के लिए Windows API फ़ंक्शन का उपयोग करें CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा मंच 10.7, खतरा निवारण, अनुकूली खतरा संरक्षण, अनुप्रयोग नियंत्रण (मैक), MVISION EDR
क्रियान्वयन विंडोज मैनेजमेंट इंस्ट्रूमेंटेशन ((T1047) CSC 4 नियंत्रित विशेषाधिकार का उपयोग

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 9 नेटवर्क पोर्ट और प्रोटोकॉल की सीमा

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा सुरक्षा, अनुप्रयोग नियंत्रण (MAC), MVISION EDR
हठ रजिस्ट्री कुंजी – एक बार चलाने के लिए मूल्य मान (T1060) CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7 खतरा निवारण
हठ रजिस्ट्री कुंजी को संशोधित करें – स्वयं की कुंजी बनाएं (T1112) CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7 खतरा निवारण
सुविधा वृद्धि विशेषाधिकार शोषण ((T1068) CVE-2020-0796 के लिए शोषण CSC 3 भेद्यता प्रबंधन

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

CSC 12 सीमा की कमी

नेटवर्क सुरक्षा प्लेटफ़ॉर्म (CVE-2020-0796)
सुविधा वृद्धि विशेषाधिकार शोषण ((T1068) CVE-2019-1458 के लिए शोषण CSC 3 भेद्यता प्रबंधन

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

CSC 12 सीमा की कमी

नेटवर्क सुरक्षा प्लेटफ़ॉर्म (CVE-2019-1458); समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7 (CVE-2019-1458) खतरा निवारण, अनुप्रयोग नियंत्रण (मैक)
सुविधा वृद्धि विशेषाधिकार शोषण ((T1068) CVE-2017-0213 के लिए शोषण CSC 3 भेद्यता प्रबंधन

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

CSC 12 सीमा की कमी

नेटवर्क सुरक्षा प्लेटफ़ॉर्म (CVE-2017-0213); समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7 (CVE-2017-0213) खतरा निवारण, अनुप्रयोग नियंत्रण (मैक)
सुविधा वृद्धि विशेषाधिकार शोषण ((T1068) CVE-2015-1701 के लिए शोषण CSC 3 भेद्यता प्रबंधन

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

CSC 12 सीमा की कमी

नेटवर्क सुरक्षा प्लेटफ़ॉर्म (CVE-2015-1701); समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुप्रयोग नियंत्रण (मैक)
सुविधा वृद्धि प्रक्रिया इंजेक्शन: चिंतनशील DLL (T1055) CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा संरक्षण, MVISION EDR
रक्षात्मक साक्ष्य सुरक्षा उपकरण (T1562.001) ESET, ट्रेंड माइक्रो, MS अक्षम करना CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

रक्षात्मक साक्ष्य प्रक्रिया इंजेक्शन: चिंतनशील DLL (T1055) CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा संरक्षण, MVISION EDR
रक्षात्मक साक्ष्य Deobfuscate / Decode फ़ाइलें या सूचना (T1140)

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा संरक्षण, MVISION EDR
रक्षात्मक साक्ष्य Obfuscated फ़ाइलें या सूचना (T1027): PowerShell स्क्रिप्ट Base64 और हेक्साडेसिमल एन्कोडिंग और XOR- एन्क्रिप्शन का उपयोग करता है

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

CSC 12 सीमा की कमी

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा संरक्षण, MVISION EDR
क्रेडेंशियल एक्सेस क्रेडेंशियल डंपिंग (T1003) Mimikatz, Mimidogz, Mimikittenz, Pwdump, LaZagne, Windows क्रेडेंशियल्स CSC 4 नियंत्रित विशेषाधिकार का उपयोग

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा सुरक्षा, अनुप्रयोग नियंत्रण (MAC), MVISION EDR
क्रेडेंशियल एक्सेस ब्रूट फोर्स (T1110) एनएल ब्रूट CSC 4 व्यवस्थापक विशेषाधिकारों का नियंत्रित उपयोग

CSC 16 खाता निगरानी

एंटरप्राइज सिक्योरिटी मैनेजर – लॉग विश्लेषण

प्रभाव स्टेज रक्षात्मक अवलोकन

प्रभाव चरण वह जगह है जहां हमलावर लक्ष्य प्रणाली, डेटा को एन्क्रिप्ट करता है और संभवतः नेटवर्क पर अन्य प्रणालियों को बाद में ले जाता है। इस चरण में सुरक्षा दोनों अंत उपयोगकर्ता उपकरणों और सर्वर, नेटवर्क नियंत्रण और सुरक्षा संचालन की क्षमता पर निर्भर एंटी-मैलवेयर पर निर्भर है जो विशेषाधिकार प्राप्त पहुंच या नेटवर्क ट्रैफ़िक में विसंगतियों के लिए लॉग की निगरानी करने की क्षमता है। निम्नलिखित चार्ट उन प्रभावों को नियंत्रित करने के लिए प्रभाव मंच तकनीकों और McAfee समाधानों के खिलाफ सबसे अधिक प्रभाव की अपेक्षा करता है, जहां संभव हो।

MITER रणनीति MITER तकनीक सीएससी नियंत्रण McAfee पोर्टफोलियो शमन
खोज नेटवर्क सेवा स्कैनिंग (T1046)

नेटवर्क स्कैनर

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

CSC 12 सीमा की कमी

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुप्रयोग नियंत्रण (मैक), नेटवर्क सुरक्षा प्लेटफ़ॉर्म
पार्श्व आंदोलन थर्ड पार्टी सॉफ्टवेयर (T1072)

टीम व्यूअर, एनीडेस्क

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

CSC 12 सीमा की कमी

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, नेटवर्क सुरक्षा प्लेटफ़ॉर्म
पार्श्व आंदोलन सेवा निष्पादन (T1035) PS Exec CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

CSC 12 सीमा की कमी

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, MVISION EDR
संग्रह सूचना भंडार से डेटा (T1213) CSC 4 नियंत्रण व्यवस्थापक विशेषाधिकार

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 6 लॉग विश्लेषण

एंटरप्राइज सिक्योरिटी मैंगर – लॉग कलेक्शन एंड एनालिसिस
संग्रह स्थानीय प्रणाली से डेटा (T1005) CSC 4 नियंत्रण व्यवस्थापक विशेषाधिकार

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 6 लॉग विश्लेषण

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, MVISION EDR
संग्रह नेटवर्क साझा ड्राइव से डेटा (T1039) CSC 4 नियंत्रण व्यवस्थापक विशेषाधिकार

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 6 लॉग विश्लेषण

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, MVISION EDR
आदेश और नियंत्रण इनग्रेड टूल ट्रांसफर (T1105) CSC 8 मालवेयर डिफेंस

CSC 12 सीमा की कमी

वेब गेटवे, नेटवर्क सुरक्षा प्लेटफ़ॉर्म
प्रभाव डेटा एनक्रिप्टेड (T1486) नेटवल्कर रैंसमवेयर CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा संरक्षण, MVISION EDR, वेब गेटवे
प्रभाव इनहिबिट सिस्टम रिकवरी (T1490) छाया CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा संरक्षण, MVISION EDR, वेब गेटवे

नेटवल्कर संकेतक के लिए शिकार

एक खतरे वाले इंटेल एनालिस्ट या शिकारी के रूप में, आप नेटवल्कर संकेतकों में से किसी के लिए अपने सिस्टम को जल्दी से स्कैन करना चाहते हैं। बेशक, आप मैन्युअल रूप से संकेतकों की सूची डाउनलोड करके और उपलब्ध उपकरणों के साथ खोज करके ऐसा कर सकते हैं। हालाँकि, यदि आपके पास MVISION EDR है, तो आप कीमती समय की बचत करते हुए, इनसाइट्स से सही खोज कर पाएंगे। हमलावर का शिकार करना इंच का खेल हो सकता है, इसलिए हर सेकंड मायने रखता है। बेशक, यदि आपको संकेतक के साथ संक्रमित सिस्टम या सिस्टम मिला है, तो आप एमवीआईएसआईएनडीआर कंसोल से तुरंत घटना की प्रतिक्रिया के लिए जांच और कार्रवाई शुरू कर सकते हैं।

नेटविकल्कर तकनीकों का सटीक पता लगाना

इस हमले में शोषण मंच तकनीकों में से कई या तो शोषण करने के लिए वैध विंडोज टूल या वैध खातों का उपयोग करते हैं, पता लगाने से बचें या बाद में स्थानांतरित करें। इन तकनीकों को आसानी से रोका नहीं जा सकता है लेकिन MVISION EDR का उपयोग करके इसका पता लगाया जा सकता है। सुरक्षा विश्लेषकों के अनुसार, हम फ़ाइलों को डाउनलोड करने के लिए उपयोग की जाने वाली संदिग्ध तकनीकों, जैसे कि PowerShell, पर ध्यान केंद्रित करना चाहते हैं …

या स्क्रिप्ट निष्पादित करें …

या बचाव बचाव …

NetWalker घटनाओं पर निगरानी या रिपोर्टिंग

McAfee Endpoint Protection और Web Gateway की ईवेंट्स NetWalker की घटना और खतरे की प्रतिक्रिया में महत्वपूर्ण भूमिका निभाती हैं। McAfee ePO सभी प्रबंधित समापन बिंदु सिस्टम से ईवेंट संग्रह को केंद्रीकृत करता है। खतरे की प्रतिक्रिया के रूप में, आप वर्तमान जोखिम को समझने के लिए नेटवल्कर से संबंधित खतरे की घटनाओं के लिए एक डैशबोर्ड बनाना चाहते हैं। एंडपॉइंट प्रोटेक्शन प्लेटफ़ॉर्म थ्रेट प्रिवेंशन मॉड्यूल और मैकफी वेब गेटवे द्वारा रिपोर्ट किए गए नेटवल्कर-संबंधी खतरे की घटनाओं की एक सूची (संपूर्ण नहीं) है।

McAfee समापन बिंदु खतरा निवारण घटनाएँ
फिरौती-netw! AB8D59ABA3DC GenericRXKU-ओ! E33E060DA1A5 पी एस / Netwalker.a फिरौती-netw! 1B6A2BFA39BC
आर्टेमिस! 2F96F8098A29 GenericRXKD-डीए! 645C720FF0EB GenericRXKD-डीए! 4E59FBA21C5E फिरौती-netw! A9E395E478D0
फिरौती-netw! A0BC1AFED896 पी एस / Netwalker.c आर्टेमिस! F5C877335920 GenericRXKD-डीए! B862EBC24355
आर्टेमिस! 2F96F8098A29 GenericRXKD-डीए! 63EB7712D7C9 RDN / Ransom GenericRXKD-डीए! F0CC568491CD
आर्टेमिस! 0FF0D5085F7E GenericRXKD-डीए! 9172586C2F87 RDN / Generic.dx फिरौती-netw! BFF6F7B3A7DB
फिरौती-netw! 7B77B436360A GenericRXKD-डीए! BC75859695F6 GenericRXKD-डीए! FCEDEA8111AB GenericRXKD-डीए! 5ABF6ED342FD
पी एस / Netwalker.d GenericRXKD-डीए! C0DDA75C6EAE GenericRXKD-डीए! ADDC865F6169 GenericRXKD-डीए! DBDD7A1F53AA
आर्टेमिस! 1527DAF8626C GenericRXKD-डीए! 608AC26EA80C फिरौती-netw! 3A601EE68000 GenericRXKD-डीए! 8102821249E1
फिरौती-netw! 2E2F5FE8ABA4 GenericRXKD-डीए! F957F19CD9D7 GenericRXKD-डीए! 3F3CC36F4298 GenericRXKD-डीए! 9001DFA8D69D
पी एस / Agent.bu GenericRXKD-डीए! 5F55AC3DD189 GenericRXKD-डीए! 18C32583A6FE GenericRXKD-डीए! 01F703234047
फिरौती-netw! 62C71449FBAA GenericRXKD-डीए! 6A64553DA499 GenericRXKD-डीए! 0CBA10DF0C89 आर्टेमिस! 50C6B1B805EC
पी एस / Netwalker.b GenericRXKD-डीए! 59B00F607A75 आर्टेमिस! BC96C744BD66 GenericRXKD-डीए! DE0B8566636D
फिरौती-netw! 8E310318B1B5 GenericRXKD-डीए! 0537D845BA09 GenericRXKU-ओ! DE61B852CADA GenericRXKD-डीए! B4F8572D4500
पी एस / Netwalker.c GenericRXKD-डीए! D09CFDA29F17 पी एस / Agent.bx GenericRXKD-डीए! 0FF5949ED496
GenericRXKD-डीए! 2B0384BE06D2 GenericRXKD-डीए! 5CE75526A25C GenericRXKD-डीए! BDC345B7BCEC फिरौती-CWall! 993B73D6490B
GenericRXKD-डीए! 0E611C6FA27A GenericRXKU-ओ! 961942A472C2 फिरौती-netw! 291E1CE9CD3E फिरौती-Mailto! D60D91C24570
पी एस / Agent.bu GenericRXKU-ओ! 997F0EC7FCFA पी एस / Agent.bx फिरौती-CWall! 3D6203DF53FC
फिरौती-Netwalker फिरौती-netw! BDE3EC20E9F8 सामान्य .kk
GenericRXKU-ओ! 1DB8C7DEA2F7 GenericRXKD-डीए! DD4F9213BA67 GenericRXKD-डीए! 729928E6FD6A
GenericRXKU-ओ! 9FB87AC9C00E GenericRXKU-ओ! 187417F65AFB पी एस / Netwalker.b
McAfee वेब गेटवे इवेंट
RDN / Ransom BehavesLike.Win32.RansomCWall.mh
BehavesLike.Win32.Generic.kh फिरौती-netw! 1B6A2BFA39BC
BehavesLike.Win32.MultiPlug.kh फिरौती: Win32 / NetWalker.H RSM
BehavesLike.Win32.Generic.qh BehavesLike.Win32.Trojan.kh
GenericRXKD-डीए! DD4F9213BA67 BehavesLike.Win32.Ipamor.kh
BehavesLike.Win64.Trojan.nh BehavesLike.Win32.Generic.cz
RDN / Generic.dx BehavesLike.Win32.RansomCWall.mm
BehavesLike.Win64.BadFile.nh BehavesLike.Win32.Generic.dm

सारांश

रैंसमवेयर खतरे के अभिनेताओं के लिए एक आकर्षक व्यवसाय के रूप में विकसित हुआ है, रैन्समवेयर बेचने वाले भूमिगत मंचों से, भुगतान के लिए क्रिप्टो मुद्रा प्राप्त करने के माध्यम से पीड़ितों का मार्गदर्शन करने के लिए सहायता पोर्टल्स जैसी सेवाओं की पेशकश करने के लिए, फिरौती की बातचीत के लिए। हालाँकि, जैसा कि हमलावर एक साथ काम करते हैं, रक्षकों को एक अनुकूली सुरक्षा वास्तुकला का निर्माण करने के लिए आंतरिक और बाह्य रूप से सहयोग करना चाहिए, जिससे खतरे वाले अभिनेताओं को सफल होने और व्यवसाय में लचीलापन बनाने में मुश्किल होगी। यह ब्लॉग इसी तरह की तकनीकों का उपयोग करके नेटवॉकर और हमलावरों को रोकने, पता लगाने और प्रतिक्रिया देने के लिए मैकएफी के सुरक्षा समाधानों का उपयोग करने का तरीका बताता है।

McAfee ATR सक्रिय रूप से रैंसमवेयर खतरों की निगरानी कर रहा है और नई और वर्तमान जानकारी के साथ McAfee MVISION इनसाइट्स और इसके सोशल नेटवर्किंग चैनलों को अपडेट करना जारी रखेगा। विपत्तियों से आगे रहना चाहते हैं? अधिक जानकारी के लिए McAfee MVISION इनसाइट्स देखें।