HOWTO: 4-Schritte-Diagnose-und-Behebungsplan gegen Cyclops Blink Infektion
WatchGuard hat eine Reihe von Tools zur Erkennung von Cyclops Blink sowie diesen 4-Schritte-Diagnose-und-Behebungsplan gegen Cyclops Blink entwickelt und veröffentlicht, um Kunden bei der Diagnose zu unterstützen, bei Bedarf Abhilfe zu schaffen und zukünftige Infektionen zu verhindern. Einen Überblick und die wichtigsten Informationen finden Sie unter >> WICHTIGER SICHERHEITSHINWEIS für alle WatchGuard Firebox Betreiber.
Der Plan umfasst diese 4 Schritte:
- Diagnose
- Behebung
- Prävention
- Untersuchung
Diagnose
WatchGuard bietet drei Tools, die Ihnen bei der Diagnose helfen, ob Ihre Firebox von Cyclops Blink betroffen ist:
- Cyclops Blink Detector – Selbstcheck mit dem WatchGuard WebDetector
- Cyclops Blink Detector – Selbstcheck mit dem WatchGuard System Manager
- Cyclops Blink Detector – Selbstcheck mit der WatchGuard Cloud
Verwenden Sie die Informationen in dieser Tabelle, um ein Erkennungstool auszuwählen und damit eine oder mehrere Fireboxes zu diagnostizieren:
Web Detector | WatchGuard System Manager | WatchGuard Cloud | |
---|---|---|---|
Gerätekompatibilität | Alle | Alle | Nur für Appliances, die zur Protokollierung, Berichterstellung oder Verwaltung zur WatchGuard Cloud hinzugefügt wurden |
Zugang | Öffentliche Webseite, keine Einschränkungen | Über den WatchGuard System Manager: führen Sie die Diagnose VOR dem Upgrade der Fireware auf die 12.7.2 U2 durch | Über einen WatchGuard Cloud Account, welcher Firebox-Appliances verwaltet |
Was ist zu tun? | Ausführliche Anleitung in unserem Blogartikel >> Cyclops Blink Detector – Selbstcheck mit dem WatchGuard WebDetector | Ausführliche Anleitung in unserem Blogartikel >> Cyclops Blink Detector – Selbstcheck mit dem WatchGuard System Manager | Ausführliche Anleitung in unserem Blogartikel >> Cyclops Blink Detector – Selbstcheck mit der WatchGuard Cloud |
Daten erforderlich | Die Diagnoseprotokolldatei (support.tgz) muss mit WatchGuard geteilt werden | Die Diagnose wird lokal bereitgestellt, ohne dass WatchGuard Daten/Dateien zur Verfügung gestellt werden | Die WatchGuard Cloud fragt die Appliance direkt ab (wie bei anderen WatchGuard Cloud-Diensten). |
Datenspeicherung | Optional – Der Benutzer kann sich dafür entscheiden, WatchGuard zu erlauben, die Diagnoseprotokolldatei (support tzg) für die Untersuchung des Botnetzes aufzubewahren. Andernfalls wird die Datei gelöscht, nachdem die Scanergebnisse dem Benutzer angezeigt wurden. | Es werden keine Daten gesammelt oder einbehalten von WatchGuard. | Alle relevanten Daten der Diagnose werden standardmäßig für 1 Jahr gespeichert. Weitere Informationen in >> diesem Artikel. |
Behebung
Wichtig!
- Wenn Sie die Behebung jetzt nicht abschließen können, trennen Sie Ihre Firebox sofort vom Netzwerk.
- Die Korrekturschritte unterscheiden sich von den üblichen Upgrade-Schritten, an die Sie möglicherweise gewöhnt sind. Sie müssen die Korrekturschritte sorgfältig lesen und befolgen.
- Wenn Sie eine Firebox mit den üblichen Upgrade-Schritten aktualisieren, verbleibt die Cyclops Blink-Bedrohung auf Ihrer Firebox. Um die Bedrohung zu beheben, müssen Sie die Firebox in den Wiederherstellungsmodus versetzen und dann den WSM Quick Setup Wizard verwenden, um auf die neueste Fireware-Version zu aktualisieren.
- Wenn Sie die Behebung abgeschlossen haben, wird das Cyclops Blink-Botnet aus der Firebox entfernt. Wenn Sie Beweise aus der Firebox für Ihre eigene Sicherheitsuntersuchung sammeln möchten, müssen Sie dies tun, bevor Sie die Behebung durchführen.
- Nach der Behebung ist es wichtig, dass Sie kein Backup-Image wiederherstellen, keine alte Konfigurationsdatei oder RapidDeploy-Konfiguration auf der Firebox speichern oder eine frühere Konfiguration von WatchGuard Cloud auf der Firebox erneut bereitstellen. Wenn Ihre Firebox mit Cyclops Blink infiziert wurde, ist es möglich, dass Ihre Konfiguration geändert wurde, um Ports und Datenverkehr zuzulassen, die Sie normalerweise ablehnen würden. Die einzige Möglichkeit sicherzustellen, dass Ihr Gerät nicht erneut infiziert wird, besteht darin, eine neue Konfigurationsdatei zu erstellen.
- Sie müssen physischen Zugriff auf die Firebox haben, um die Behebung abzuschließen. Wenn Sie keinen sofortigen physischen Zugriff auf das Gerät erhalten, um es sofort wiederherzustellen und zu aktualisieren, können Sie RapidDeploy- oder WatchGuard Cloud-Vorlagen verwenden, um mit der Arbeit an einer neuen Konfigurationsdatei oder Konfigurationseinstellungen zu beginnen und Zeit zu sparen. Stellen Sie die neue Konfiguration nicht auf der Appliance bereit, bis Sie sie wiederhergestellt und aktualisiert haben.
Die Behebungsschritte unterscheiden sich je nach dem, ob Ihre Firebox lokal oder in der Cloud verwaltet wird. Darüber hinaus unterscheiden sich die Schritte für virtuelle Fireboxes (FireboxV, Firebox Cloud, XTMv) und Fireboxes, die vom Management Server verwaltet werden.
Befolgen Sie die Schritte zur Fehlerbehebung im entsprechenden Artikel für Ihre Appliance:
- Cyclops Blink: Remediate a Locally-Managed Firebox (WSM oder Fireware Web UI)
- Cyclops Blink: Remediate a Cloud-Managed Firebox (WatchGuard Cloud)
- Cyclops Blink: Remediate Firebox Cloud
- Cyclops Blink: Remediate FireboxV and XTMv
- Cyclops Blink: Remediate a Firebox Managed by WSM Management Server
Prävention
Unabhängig davon, ob Ihre Firebox kompromittiert wurde oder nicht, ist es wichtig sicherzustellen, dass auf Ihrer Firebox die neueste Version der Fireware installiert ist (erst NACH der Diagnose updaten).
- über die WatchGuard Cloud updaten: >> Upgrade Firmware from WatchGuard Cloud.
- über den WatchGuard System Manager oder die Fireware Web UI updaten: >> Upgrade Fireware OS or WatchGuard System Manager.
Außerdem empfehlen wir Folgendes:
- Verwenden Sie starke Passwörter und ändern Sie diese auch regelmäßig: >> Change the Admin and Status passwords on a Firebox.
- Stellen Sie sicher, dass die Richtlinien, die die Firewall-Verwaltung steuern, so konfiguriert sind, dass der uneingeschränkte Zugriff aus dem Internet nicht zugelassen wird. Dies ist die empfohlene Best Practice. Wir glauben, dass auf kompromittierte Fireboxen über ihre Management-Ports zugegriffen wurde. Befolgen Sie zum Sichern der Firebox-Verwaltungsports die Richtlinien im Artikel >> Best Practices für die Firebox Remote Management und im Video-Tutorial >> Secure Firebox Management Access. So konfigurieren Sie die Firebox-Verwaltungsrichtlinien:
- für lokal verwaltete Fireboxen: >> Administer the Firebox from a Remote Location und >> Connect to Fireware Web UI from an External Network.
- für Cloud-verwaltete Fireboxen nutzen Sie die WatchGuard Cloud. Web UI Zugriff auf externe und Gastnetzwerke ist standardmäßig deaktiviert. Wenn Sie Fernzugriff auf die lokale Web UI auf einer Cloud-verwalteten Firebox benötigen: >> Connect to the Local Fireware Web UI from a Remote Location.
Untersuchung
Wenn Sie eine Firebox haben, die mit dem Botnet infiziert ist, werden die oben beschriebenen Schritte die Infektion beheben und Sie vor einer zukünftigen Infektion schützen. Obwohl es derzeit keine Hinweise auf eine Datenexfiltration gibt, ist es branchenüblich, eine forensische Untersuchung Ihres Netzwerks durchzuführen, um festzustellen, ob es möglicherweise durch den Angreifer kompromittiert wurde.
HOWTO: 4-Step Cyclops Blink Diagnosis and Remediation Plan - BOC IT-Security GmbH
Cyclops Blink Detector - Selbstcheck mit der WatchGuard Cloud - BOC IT-Security GmbH
Cyclops Blink Detector - Selbstcheck mit dem WatchGuard WebDetector - BOC IT-Security GmbH