Re: [NetSec] Güncel Ransomware domainleri

Fri, 02 Sep 2016 00:29:42 -0700 

Merhaba,

Geçen bize de aşağıdaki domain’den mail geldi:

imagelasvegas . com

Domain’leri tek tek bloklamak yerine firewall/ips sisteminizde aşağıdakine 
benzer bir custom signature yazarak bloklama yapmanız mümkün:

Dikkat ederseniz her linkte url’de mutlaka gönderilen kişinin mail adresi 
yazıyor. Böylece karşı taraf download işlemini kimin yaptığını anlayabiliyor.
Bunu önlemek için basit olarak get metodu ile yapılan istekte @domain isminizi 
aratırsanız ve bunu bloklarsanız bu tip erişimleri kesmeniz mümkün olacaktır.
Daha fazla detay yakalayıp imzayı zenginleştirmek de mümkün.

Örneğin Palo Alto için ise aşağıdaki gibi bir custom application oluşturmuştum:

CryptoLocker {
  default {
    port [ tcp/80 tcp/443];
  }
  signature {
    CryptoLockerSignature {
      and-condition {
        "And Condition 1" {
          or-condition {
            "Or Condition 1" {
              operator {
                pattern-match {
                  qualifier {
                    http-method {
                      value GET;
                    }
                  }
                  pattern \@uya\.com\.tr;
                  context http-req-headers;
                }
              }
            }
          }
        }
      }
      scope protocol-data-unit;
      order-free no;
    }
  }
  subcategory ip-protocol;
  category networking;
  technology network-protocol;
  risk 1;
  used-by-malware yes;
  virus-ident yes;
  data-ident yes;
}

Buna benzer kendi ürünlerinizde de imzalar yazabilirsiniz. (Check Point, 
Fortinet, Sourcefire, McAfee vs)
NOT: SSL olan linkler için decryption yapmak gerekecektir, aksi halde get 
requestindeki bilgiyi firewall/ips göremeyeceği için imzanın bir anlamı 
olmayacaktır.

Yardımcı olması dileğiyle...

Saygılarımla,
Ali Eskiocak


From: NetSec [mailto:[email protected]] On Behalf Of G.Mehmet KAYA
Sent: Thursday, September 1, 2016 2:36 PM
To: [email protected]
Subject: Re: [NetSec] Güncel Ransomware domainleri

[cid:[email protected]]
Bu adreside Bloklayın . Turkcell Fatura maili şeklinde geliyor


[cid:[email protected]]

From: NetSec [mailto:[email protected]] On Behalf Of Erhan Yüksel
Sent: Thursday, September 1, 2016 12:07 PM
To: [email protected]<mailto:[email protected]>
Subject: [NetSec] Güncel Ransomware domainleri

Merhaba ,

Roksit DNS Firewall Threat Intelligence rapor verilerine göre Türkiye’de aktif 
olarak sorgulanan bugünkü zararlı alan adları ve ip adresleri aşağıdaki gibidir.

Kurum güvenlik sistemleriniz üzerinden bu alan adlarını bloke ederek, olası bir 
saldırıya karşı kullanıcılarınızı koruyabilirsiniz. Roksit DNS Firewall 
kullanıcılarının Malware kategorisini bloklamaları yeterli olacaktır

fatura-online.net<https://urldefense.proofpoint.com/v2/url?u=http-3A__fatura-2Donline.net&d=DQMFaQ&c=Q_zdYfDQ7gHyy7QYnWyeRI9kZWeMfoVHWQ6x1HoTNOM&r=oqTybhIEKomHkGwiLZktt8WZktsdFHz6GVXd9ZmpZVQ&m=I7p5k0g4LC60RFYGn1RI7cm8f_3U_vWJdFqk8oLIgiE&s=8oAqnFZ6Sx6maQpfGkmYKtt1V1vGygzbuBzqFUuQ5Hk&e=>
   -     5.200.55.211
fatura-online.net<https://urldefense.proofpoint.com/v2/url?u=http-3A__fatura-2Donline.net&d=DQMFaQ&c=Q_zdYfDQ7gHyy7QYnWyeRI9kZWeMfoVHWQ6x1HoTNOM&r=oqTybhIEKomHkGwiLZktt8WZktsdFHz6GVXd9ZmpZVQ&m=I7p5k0g4LC60RFYGn1RI7cm8f_3U_vWJdFqk8oLIgiE&s=8oAqnFZ6Sx6maQpfGkmYKtt1V1vGygzbuBzqFUuQ5Hk&e=>
 -       91.219.31.5
fatura-online1.org<https://urldefense.proofpoint.com/v2/url?u=http-3A__fatura-2Donline1.org&d=DQMFaQ&c=Q_zdYfDQ7gHyy7QYnWyeRI9kZWeMfoVHWQ6x1HoTNOM&r=oqTybhIEKomHkGwiLZktt8WZktsdFHz6GVXd9ZmpZVQ&m=I7p5k0g4LC60RFYGn1RI7cm8f_3U_vWJdFqk8oLIgiE&s=O0YToYKcZVyc7NNsK1m72lJgonVeIYuajJMgOAS7lRQ&e=>
 -     5.200.55.211
fatura-online.net<https://urldefense.proofpoint.com/v2/url?u=http-3A__fatura-2Donline.net&d=DQMFaQ&c=Q_zdYfDQ7gHyy7QYnWyeRI9kZWeMfoVHWQ6x1HoTNOM&r=oqTybhIEKomHkGwiLZktt8WZktsdFHz6GVXd9ZmpZVQ&m=I7p5k0g4LC60RFYGn1RI7cm8f_3U_vWJdFqk8oLIgiE&s=8oAqnFZ6Sx6maQpfGkmYKtt1V1vGygzbuBzqFUuQ5Hk&e=>
 -       5.79.96.34
fatura-online1.org<https://urldefense.proofpoint.com/v2/url?u=http-3A__fatura-2Donline1.org&d=DQMFaQ&c=Q_zdYfDQ7gHyy7QYnWyeRI9kZWeMfoVHWQ6x1HoTNOM&r=oqTybhIEKomHkGwiLZktt8WZktsdFHz6GVXd9ZmpZVQ&m=I7p5k0g4LC60RFYGn1RI7cm8f_3U_vWJdFqk8oLIgiE&s=O0YToYKcZVyc7NNsK1m72lJgonVeIYuajJMgOAS7lRQ&e=>
  -    91.219.31.5
faturagoster.org<https://urldefense.proofpoint.com/v2/url?u=http-3A__faturagoster.org&d=DQMFaQ&c=Q_zdYfDQ7gHyy7QYnWyeRI9kZWeMfoVHWQ6x1HoTNOM&r=oqTybhIEKomHkGwiLZktt8WZktsdFHz6GVXd9ZmpZVQ&m=I7p5k0g4LC60RFYGn1RI7cm8f_3U_vWJdFqk8oLIgiE&s=_Q1doU8u-4T4COvP_wOfYpo5Rp2GNonh4m5W6cIIn64&e=>
  -       91.219.31.5
vipfaturaodemesi.com<https://urldefense.proofpoint.com/v2/url?u=http-3A__vipfaturaodemesi.com&d=DQMFaQ&c=Q_zdYfDQ7gHyy7QYnWyeRI9kZWeMfoVHWQ6x1HoTNOM&r=oqTybhIEKomHkGwiLZktt8WZktsdFHz6GVXd9ZmpZVQ&m=I7p5k0g4LC60RFYGn1RI7cm8f_3U_vWJdFqk8oLIgiE&s=Mias02FEcLUREeuEp8g_swerlUQ0jDBbeJv3YNqu40g&e=>
  - 192.185.138.185

Ekran Görüntüsü: 
https://s17.postimg.io/5606qcvxb/image.png<https://urldefense.proofpoint.com/v2/url?u=https-3A__s17.postimg.io_5606qcvxb_image.png&d=DQMFaQ&c=Q_zdYfDQ7gHyy7QYnWyeRI9kZWeMfoVHWQ6x1HoTNOM&r=oqTybhIEKomHkGwiLZktt8WZktsdFHz6GVXd9ZmpZVQ&m=I7p5k0g4LC60RFYGn1RI7cm8f_3U_vWJdFqk8oLIgiE&s=BI8gi9F5C8szP-AsOms-TLmEvSay9bTtwB-dzKjY5Wo&e=>


-------------------
Web Uygulama Güvenlik Testleri Eğitimi - ISTANBUL

https://www.bgasecurity.com/egitim/web-uygulama-guvenlik-testleri-egitimi/

-------------------

Cevap