每周科技小道消息-来自US-CERT的重要新通知-保护您的网络所需的行动

2018年6月8日,
每周科技小道消息-来自US-CERT的重要新通知-保护您的网络所需的行动

**注意-客户og体育app官网总监在达奇斯县得到了这周二的预览,所以如果你在那个组,你可以跳过这篇笔记的其余部分,继续你的下一封邮件.   其余的人请阅读**

5月29日,星期二th, 我收到了来自US- cert的更新警报其中包含了一些关于隐形眼镜蛇攻击的额外数据这是美国国土安全部对一系列恶意网络活动的参考可以追溯到朝鲜政府.   该警报识别了一组更新的IP地址,以及与朝鲜政府特别使用的某些类型恶意软件相关的泄露指标.   这些工具包括使用特定的远程访问或RAT工具, 以及SMB (Server Message Block)蠕虫.

该通知的核心内容引用了来自17个国家的87个特定IP地址,这些IP地址已被识别为已被破坏的,并参与了与此特定恶意活动相关的攻击.   而这个特定的IP地址列表是与通知一起提供给我们的, 该通知警告,通过横向移动到其他IP上或连接到与识别主机相同的网络的其他远程主机是可能的.  因此,lP地址列表不应该以任何方式被认为是包含一切的.

87个IP主机所涉及的17个国家是:

·阿根廷

·比利时

·巴西

·柬埔寨

中国·

·哥伦比亚

·埃及

·印度

·伊朗

·乔丹

·巴基斯坦

·沙特阿拉伯

·西班牙

·斯里兰卡

、瑞典

·台湾

·突尼斯

根据我们的回顾, 我们觉得我们的K-12客户与这些国家之间不太可能有任何持续的合法沟通.   我们确实发现,也许印度和巴西都可能成为一些og体育app官网支持电话的问题,但这还没有得到证明.   如果因为封锁一个国家而被认定为问题, 它可以通过IPS或防火墙上的一次性白名单快速处理.

基于上述内容,我们建议不要仅仅创建一个ACL来阻止提供列表中当前标识的87个IP地址, 您需要更新所有防火墙(火力IPS或FTD单元)上的GeoBlocking acl,以便将上述列表中尚未出现的任何国家添加到这些GeoBlocking列表中.

这一行动不仅将捕获87个特定的已识别IP,还将捕获大多数其他受到感染并开始参与已识别攻击的横向IP.  我们希望这将防止你玩“打地鼠”,不断地添加新的IP,因为他们在相关网络上发现这些已经感染的主机.

一旦实现,og体育app官网人员将需要调优任何连接不再工作的报告或无法启动的按需支持会议.   火力FMC上的Connection Event表将是识别由于GeoBlocking规则而被拒绝的连接的地方.

如果您对此建议有任何疑问,或者希望在您的环境中实现此更新并需要帮助, 请一如既往地与我们办公室联系.

如果你有兴趣,你可以在这里阅读关于US-CERT通知的全部细节:

TA18-149A: HIDDEN COBRA - Joanap后门木马和Brambul服务器消息块蠕虫