HOWTO: 4-Schritte-Diagnose-und-Behebungsplan gegen Cyclops Blink Infektion

WatchGuard hat eine Reihe von Tools zur Erkennung von Cyclops Blink sowie diesen 4-Schritte-Diagnose-und-Behebungsplan gegen Cyclops Blink entwickelt und veröffentlicht, um Kunden bei der Diagnose zu unterstützen, bei Bedarf Abhilfe zu schaffen und zukünftige Infektionen zu verhindern. Einen Überblick und die wichtigsten Informationen finden Sie unter >> WICHTIGER SICHERHEITSHINWEIS für alle WatchGuard Firebox Betreiber.

Der Plan umfasst diese 4 Schritte:

  1. Diagnose
  2. Behebung
  3. Prävention
  4. Untersuchung


Diagnose

WatchGuard bietet drei Tools, die Ihnen bei der Diagnose helfen, ob Ihre Firebox von Cyclops Blink betroffen ist:

Verwenden Sie die Informationen in dieser Tabelle, um ein Erkennungstool auszuwählen und damit eine oder mehrere Fireboxes zu diagnostizieren:

Web Detector WatchGuard System Manager WatchGuard Cloud
Gerätekompatibilität Alle Alle Nur für Appliances, die zur Protokollierung, Berichterstellung oder Verwaltung zur WatchGuard Cloud hinzugefügt wurden
Zugang Öffentliche Webseite, keine Einschränkungen Über den WatchGuard System Manager: führen Sie die Diagnose VOR dem Upgrade der Fireware auf die 12.7.2 U2 durch Über einen WatchGuard Cloud Account, welcher Firebox-Appliances verwaltet
Was ist zu tun? Ausführliche Anleitung in unserem Blogartikel >> Cyclops Blink Detector – Selbstcheck mit dem WatchGuard WebDetector Ausführliche Anleitung in unserem Blogartikel >> Cyclops Blink Detector – Selbstcheck mit dem WatchGuard System Manager Ausführliche Anleitung in unserem Blogartikel >> Cyclops Blink Detector – Selbstcheck mit der WatchGuard Cloud
Daten erforderlich Die Diagnoseprotokolldatei (support.tgz) muss mit WatchGuard geteilt werden Die Diagnose wird lokal bereitgestellt, ohne dass WatchGuard Daten/Dateien zur Verfügung gestellt werden Die WatchGuard Cloud fragt die Appliance direkt ab (wie bei anderen WatchGuard Cloud-Diensten).
Datenspeicherung Optional – Der Benutzer kann sich dafür entscheiden, WatchGuard zu erlauben, die Diagnoseprotokolldatei (support tzg) für die Untersuchung des Botnetzes aufzubewahren. Andernfalls wird die Datei gelöscht, nachdem die Scanergebnisse dem Benutzer angezeigt wurden. Es werden keine Daten gesammelt oder einbehalten von WatchGuard. Alle relevanten Daten der Diagnose werden standardmäßig für 1 Jahr gespeichert. Weitere Informationen in >> diesem Artikel.

Behebung

Wichtig!

  • Wenn Sie die Behebung jetzt nicht abschließen können, trennen Sie Ihre Firebox sofort vom Netzwerk.
  • Die Korrekturschritte unterscheiden sich von den üblichen Upgrade-Schritten, an die Sie möglicherweise gewöhnt sind. Sie müssen die Korrekturschritte sorgfältig lesen und befolgen.
  • Wenn Sie eine Firebox mit den üblichen Upgrade-Schritten aktualisieren, verbleibt die Cyclops Blink-Bedrohung auf Ihrer Firebox. Um die Bedrohung zu beheben, müssen Sie die Firebox in den Wiederherstellungsmodus versetzen und dann den WSM Quick Setup Wizard verwenden, um auf die neueste Fireware-Version zu aktualisieren.
  • Wenn Sie die Behebung abgeschlossen haben, wird das Cyclops Blink-Botnet aus der Firebox entfernt. Wenn Sie Beweise aus der Firebox für Ihre eigene Sicherheitsuntersuchung sammeln möchten, müssen Sie dies tun, bevor Sie die Behebung durchführen.
  • Nach der Behebung ist es wichtig, dass Sie kein Backup-Image wiederherstellen, keine alte Konfigurationsdatei oder RapidDeploy-Konfiguration auf der Firebox speichern oder eine frühere Konfiguration von WatchGuard Cloud auf der Firebox erneut bereitstellen. Wenn Ihre Firebox mit Cyclops Blink infiziert wurde, ist es möglich, dass Ihre Konfiguration geändert wurde, um Ports und Datenverkehr zuzulassen, die Sie normalerweise ablehnen würden. Die einzige Möglichkeit sicherzustellen, dass Ihr Gerät nicht erneut infiziert wird, besteht darin, eine neue Konfigurationsdatei zu erstellen.
  • Sie müssen physischen Zugriff auf die Firebox haben, um die Behebung abzuschließen. Wenn Sie keinen sofortigen physischen Zugriff auf das Gerät erhalten, um es sofort wiederherzustellen und zu aktualisieren, können Sie RapidDeploy- oder WatchGuard Cloud-Vorlagen verwenden, um mit der Arbeit an einer neuen Konfigurationsdatei oder Konfigurationseinstellungen zu beginnen und Zeit zu sparen. Stellen Sie die neue Konfiguration nicht auf der Appliance bereit, bis Sie sie wiederhergestellt und aktualisiert haben.

Die Behebungsschritte unterscheiden sich je nach dem, ob Ihre Firebox lokal oder in der Cloud verwaltet wird. Darüber hinaus unterscheiden sich die Schritte für virtuelle Fireboxes (FireboxV, Firebox Cloud, XTMv) und Fireboxes, die vom Management Server verwaltet werden.

Befolgen Sie die Schritte zur Fehlerbehebung im entsprechenden Artikel für Ihre Appliance:


Prävention

Unabhängig davon, ob Ihre Firebox kompromittiert wurde oder nicht, ist es wichtig sicherzustellen, dass auf Ihrer Firebox die neueste Version der Fireware installiert ist (erst NACH der Diagnose updaten).

Außerdem empfehlen wir Folgendes:


Untersuchung

Wenn Sie eine Firebox haben, die mit dem Botnet infiziert ist, werden die oben beschriebenen Schritte die Infektion beheben und Sie vor einer zukünftigen Infektion schützen. Obwohl es derzeit keine Hinweise auf eine Datenexfiltration gibt, ist es branchenüblich, eine forensische Untersuchung Ihres Netzwerks durchzuführen, um festzustellen, ob es möglicherweise durch den Angreifer kompromittiert wurde.

3 Kommentare zu “HOWTO: 4-Schritte-Diagnose-und-Behebungsplan gegen Cyclops Blink Infektion”

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:


<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>