HOWTO: 4-Schritte-Diagnose-und-Behebungsplan gegen Cyclops Blink Infektion

24. Februar 2022 Manuel Seidel 3 Comments

WatchGuard hat eine Reihe von Tools zur Erkennung von Cyclops Blink sowie diesen 4-Schritte-Diagnose-und-Behebungsplan gegen Cyclops Blink entwickelt und veröffentlicht, um Kunden bei der Diagnose zu unterstützen, bei Bedarf Abhilfe zu schaffen und zukünftige Infektionen zu verhindern. Einen Überblick und die wichtigsten Informationen finden Sie unter >> WICHTIGER SICHERHEITSHINWEIS für alle WatchGuard Firebox Betreiber.

Der Plan umfasst diese 4 Schritte:

Diagnose
Behebung
Prävention
Untersuchung

Diagnose

WatchGuard bietet drei Tools, die Ihnen bei der Diagnose helfen, ob Ihre Firebox von Cyclops Blink betroffen ist:

Verwenden Sie die Informationen in dieser Tabelle, um ein Erkennungstool auszuwählen und damit eine oder mehrere Fireboxes zu diagnostizieren:

	Web Detector	WatchGuard System Manager	WatchGuard Cloud
Gerätekompatibilität	Alle	Alle	Nur für Appliances, die zur Protokollierung, Berichterstellung oder Verwaltung zur WatchGuard Cloud hinzugefügt wurden
Zugang	Öffentliche Webseite, keine Einschränkungen	Über den WatchGuard System Manager: führen Sie die Diagnose VOR dem Upgrade der Fireware auf die 12.7.2 U2 durch	Über einen WatchGuard Cloud Account, welcher Firebox-Appliances verwaltet
Was ist zu tun?	Ausführliche Anleitung in unserem Blogartikel >> Cyclops Blink Detector – Selbstcheck mit dem WatchGuard WebDetector	Ausführliche Anleitung in unserem Blogartikel >> Cyclops Blink Detector – Selbstcheck mit dem WatchGuard System Manager	Ausführliche Anleitung in unserem Blogartikel >> Cyclops Blink Detector – Selbstcheck mit der WatchGuard Cloud
Daten erforderlich	Die Diagnoseprotokolldatei (support.tgz) muss mit WatchGuard geteilt werden	Die Diagnose wird lokal bereitgestellt, ohne dass WatchGuard Daten/Dateien zur Verfügung gestellt werden	Die WatchGuard Cloud fragt die Appliance direkt ab (wie bei anderen WatchGuard Cloud-Diensten).
Datenspeicherung	Optional – Der Benutzer kann sich dafür entscheiden, WatchGuard zu erlauben, die Diagnoseprotokolldatei (support tzg) für die Untersuchung des Botnetzes aufzubewahren. Andernfalls wird die Datei gelöscht, nachdem die Scanergebnisse dem Benutzer angezeigt wurden.	Es werden keine Daten gesammelt oder einbehalten von WatchGuard.	Alle relevanten Daten der Diagnose werden standardmäßig für 1 Jahr gespeichert. Weitere Informationen in >> diesem Artikel.

Behebung

Wichtig!

Wenn Sie die Behebung jetzt nicht abschließen können, trennen Sie Ihre Firebox sofort vom Netzwerk.
Die Korrekturschritte unterscheiden sich von den üblichen Upgrade-Schritten, an die Sie möglicherweise gewöhnt sind. Sie müssen die Korrekturschritte sorgfältig lesen und befolgen.
Wenn Sie eine Firebox mit den üblichen Upgrade-Schritten aktualisieren, verbleibt die Cyclops Blink-Bedrohung auf Ihrer Firebox. Um die Bedrohung zu beheben, müssen Sie die Firebox in den Wiederherstellungsmodus versetzen und dann den WSM Quick Setup Wizard verwenden, um auf die neueste Fireware-Version zu aktualisieren.
Wenn Sie die Behebung abgeschlossen haben, wird das Cyclops Blink-Botnet aus der Firebox entfernt. Wenn Sie Beweise aus der Firebox für Ihre eigene Sicherheitsuntersuchung sammeln möchten, müssen Sie dies tun, bevor Sie die Behebung durchführen.
Nach der Behebung ist es wichtig, dass Sie kein Backup-Image wiederherstellen, keine alte Konfigurationsdatei oder RapidDeploy-Konfiguration auf der Firebox speichern oder eine frühere Konfiguration von WatchGuard Cloud auf der Firebox erneut bereitstellen. Wenn Ihre Firebox mit Cyclops Blink infiziert wurde, ist es möglich, dass Ihre Konfiguration geändert wurde, um Ports und Datenverkehr zuzulassen, die Sie normalerweise ablehnen würden. Die einzige Möglichkeit sicherzustellen, dass Ihr Gerät nicht erneut infiziert wird, besteht darin, eine neue Konfigurationsdatei zu erstellen.
Sie müssen physischen Zugriff auf die Firebox haben, um die Behebung abzuschließen. Wenn Sie keinen sofortigen physischen Zugriff auf das Gerät erhalten, um es sofort wiederherzustellen und zu aktualisieren, können Sie RapidDeploy- oder WatchGuard Cloud-Vorlagen verwenden, um mit der Arbeit an einer neuen Konfigurationsdatei oder Konfigurationseinstellungen zu beginnen und Zeit zu sparen. Stellen Sie die neue Konfiguration nicht auf der Appliance bereit, bis Sie sie wiederhergestellt und aktualisiert haben.

Die Behebungsschritte unterscheiden sich je nach dem, ob Ihre Firebox lokal oder in der Cloud verwaltet wird. Darüber hinaus unterscheiden sich die Schritte für virtuelle Fireboxes (FireboxV, Firebox Cloud, XTMv) und Fireboxes, die vom Management Server verwaltet werden.

Befolgen Sie die Schritte zur Fehlerbehebung im entsprechenden Artikel für Ihre Appliance:

Cyclops Blink: Remediate a Locally-Managed Firebox (WSM oder Fireware Web UI)
Cyclops Blink: Remediate a Cloud-Managed Firebox (WatchGuard Cloud)
Cyclops Blink: Remediate Firebox Cloud
Cyclops Blink: Remediate FireboxV and XTMv
Cyclops Blink: Remediate a Firebox Managed by WSM Management Server

Prävention

Unabhängig davon, ob Ihre Firebox kompromittiert wurde oder nicht, ist es wichtig sicherzustellen, dass auf Ihrer Firebox die neueste Version der Fireware installiert ist (erst NACH der Diagnose updaten).

über die WatchGuard Cloud updaten: >> Upgrade Firmware from WatchGuard Cloud.
über den WatchGuard System Manager oder die Fireware Web UI updaten: >> Upgrade Fireware OS or WatchGuard System Manager.

Außerdem empfehlen wir Folgendes:

Verwenden Sie starke Passwörter und ändern Sie diese auch regelmäßig: >> Change the Admin and Status passwords on a Firebox.
Stellen Sie sicher, dass die Richtlinien, die die Firewall-Verwaltung steuern, so konfiguriert sind, dass der uneingeschränkte Zugriff aus dem Internet nicht zugelassen wird. Dies ist die empfohlene Best Practice. Wir glauben, dass auf kompromittierte Fireboxen über ihre Management-Ports zugegriffen wurde. Befolgen Sie zum Sichern der Firebox-Verwaltungsports die Richtlinien im Artikel >> Best Practices für die Firebox Remote Management und im Video-Tutorial >> Secure Firebox Management Access. So konfigurieren Sie die Firebox-Verwaltungsrichtlinien:
- für lokal verwaltete Fireboxen: >> Administer the Firebox from a Remote Location und >> Connect to Fireware Web UI from an External Network.
- für Cloud-verwaltete Fireboxen nutzen Sie die WatchGuard Cloud. Web UI Zugriff auf externe und Gastnetzwerke ist standardmäßig deaktiviert. Wenn Sie Fernzugriff auf die lokale Web UI auf einer Cloud-verwalteten Firebox benötigen: >> Connect to the Local Fireware Web UI from a Remote Location.

Untersuchung

Wenn Sie eine Firebox haben, die mit dem Botnet infiziert ist, werden die oben beschriebenen Schritte die Infektion beheben und Sie vor einer zukünftigen Infektion schützen. Obwohl es derzeit keine Hinweise auf eine Datenexfiltration gibt, ist es branchenüblich, eine forensische Untersuchung Ihres Netzwerks durchzuführen, um festzustellen, ob es möglicherweise durch den Angreifer kompromittiert wurde.

3 Kommentare zu “HOWTO: 4-Schritte-Diagnose-und-Behebungsplan gegen Cyclops Blink Infektion”

Mein Warenkorb

WatchGuard Firewall / VPN

WatchGuard Tabletop Modelle

WatchGuard Rackmount Modelle

Virtuelle Appliances

Zubehör und weitere Services

Ältere WatchGuard Modelle

WatchGuard Access Points

Wi-Fi 6 WatchGuard Access Points

ältere WatchGuard Access Points

WatchGuard AuthPoint

Multifaktor-Authentifizierung

WatchGuard Endpoint Security & Panda

Einzelprodukte

Zusatzmodule

Bundles

Für Bestandskunden von Panda empfehlen wir weiterhin:

WatchGuard Schulungen

Unsere WatchGuard Administrator-Schulung

Individualschulungen vor Ort

WatchGuard Videos und Webinare (kostenfrei)

Nächste Schulungs-Termine:

Weitere Termine:

WatchGuard Support

Support durch BOC IT-Security GmbH

Häufig nachgefragt...

Support durch WatchGuard (kostenfrei)

Hilfe zur Selbsthilfe (kostenfrei)

WatchGuard Informationen