**注意-达奇斯县的客户APP客户端主管周二预览了这篇文章,所以如果你是该组中的一员,你可以跳过这篇文章的其余部分,继续你的下一封电子邮件. 其余的人请阅读**
5月29日,星期二th, 我收到了来自US- cert的最新警报其中有一些关于隐藏眼镜蛇攻击的额外数据这是美国国土安全部对一系列恶意网络活动的参考,这些活动可以追溯到朝鲜政府. 警报确定了一组更新的IP地址和与朝鲜政府使用的某些类型的恶意软件相关的妥协指标. 这些工具包括使用特定的远程访问或RAT工具, 以及服务器消息块(SMB)蠕虫.
该通知的核心部分引用了17个国家的87个特定IP地址,这些地址已被确定为受损并参与了与此特定恶意活动相关的攻击. 虽然此特定IP地址列表与通知一起提供给我们, 该通知警告说,通过横向移动到其他IP上或连接到同一网络的其他远程主机的感染是可能的. 因此,lP地址列表不应该以任何方式被认为是包罗万象的.
这87台IP主机所涉及的17个国家是:
·阿根廷
·比利时 ·巴西 ·柬埔寨 中国· ·哥伦比亚 |
·埃及
·印度 ·伊朗 ·乔丹 ·巴基斯坦 ·沙特阿拉伯 |
·西班牙
·斯里兰卡 、瑞典 ·台湾 ·突尼斯 |
根据我们的审查, 我们认为,我们的K-12客户与这些国家之间不太可能有任何正在进行的合法沟通. 我们确实发现,也许印度和巴西都可能成为一些APP客户端支持电话的问题,但这还没有得到证实. 如果因为封锁一个国家而发现了问题, 它可以通过IPS或防火墙上的一次性白名单快速处理.
基于上述情况,我们建议不要简单地创建ACL来阻止提供列表中当前识别的87个IP地址, 请您更新所有防火墙(火力IPS或FTD单元)上的GeoBlocking acl,以将上述未在您的列表上的任何国家添加到这些GeoBlocking列表中.
此操作不仅可以捕获那些特定的87个已识别的IP,还可以捕获大多数其他被感染并开始参与已识别攻击的横向IP. 这是我们的希望,这将防止你玩“打地鼠”,不断地添加新的IP,因为他们在相关的网络上发现这些已经被感染的主机.
一旦实现,APP客户端人员将需要对任何不再工作的连接报告或不会启动的按需支持会话进行调整. 火力FMC上的连接事件表将用于识别由于GeoBlocking规则而被拒绝的连接.
如果您对此建议有任何疑问,或者希望在您的环境中实现此更新并需要帮助, 一如既往,请APP客户端的办公室.
如果有兴趣的话,你可以在这里阅读US-CERT通知的全部细节:
TA18-149A: HIDDEN COBRA - Joanap后门木马和Brambul服务器消息阻止蠕虫
最近的评论