{"id":14703,"date":"2022-02-24T16:59:08","date_gmt":"2022-02-24T15:59:08","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/?p=14703"},"modified":"2022-02-24T17:04:22","modified_gmt":"2022-02-24T16:04:22","slug":"howto-4-schritte-diagnose-und-behebungsplan-gegen-cyclops-blink-infektion","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2022\/02\/howto-4-schritte-diagnose-und-behebungsplan-gegen-cyclops-blink-infektion\/","title":{"rendered":"HOWTO: 4-Schritte-Diagnose-und-Behebungsplan gegen Cyclops Blink Infektion"},"content":{"rendered":"<p>WatchGuard hat eine Reihe von Tools zur Erkennung von Cyclops Blink sowie diesen 4-Schritte-Diagnose-und-Behebungsplan gegen Cyclops Blink entwickelt und ver\u00f6ffentlicht, um Kunden bei der Diagnose zu unterst\u00fctzen, bei Bedarf Abhilfe zu schaffen und zuk\u00fcnftige Infektionen zu verhindern. Einen \u00dcberblick und die wichtigsten Informationen finden Sie unter<a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/2022\/02\/wichtiger-sicherheitshinweis-fuer-alle-watchguard-firebox-betreiber\/\"> &gt;&gt; WICHTIGER SICHERHEITSHINWEIS f\u00fcr alle WatchGuard Firebox Betreiber<\/a>.<\/p>\n<p>Der Plan umfasst diese 4 Schritte:<\/p>\n<ol>\n<li>Diagnose<\/li>\n<li>Behebung<\/li>\n<li>Pr\u00e4vention<\/li>\n<li>Untersuchung<\/li>\n<\/ol>\n<p><!--more--><\/p>\n<hr \/>\n<h2><a id=\"Diagnose\" name=\"Diagnose\"><\/a><strong>Diagnose<\/strong><\/h2>\n<p>WatchGuard bietet drei Tools, die Ihnen bei der Diagnose helfen, ob Ihre Firebox von Cyclops Blink betroffen ist:<\/p>\n<ul>\n<li><a class=\"blogpostlink\" href=\"https:\/\/www.boc.de\/watchguard-info-portal\/2022\/02\/cyclops-blink-detector-selbstcheck-mit-dem-watchguard-webdetector\/\">Cyclops Blink Detector \u2013 Selbstcheck mit dem WatchGuard WebDetector<\/a><\/li>\n<li><a class=\"blogpostlink\" href=\"https:\/\/www.boc.de\/watchguard-info-portal\/2022\/02\/cyclops-blink-detector-selbstcheck-mit-dem-watchguard-system-manager\/\">Cyclops Blink Detector \u2013 Selbstcheck mit dem WatchGuard System Manager<\/a><\/li>\n<li id=\"su-post-14684\" class=\"su-post\"><a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/2022\/02\/cyclops-blink-detector-selbstcheck-mit-der-watchguard-cloud\/\">Cyclops Blink Detector \u2013 Selbstcheck mit der WatchGuard Cloud<\/a><\/li>\n<\/ul>\n<p>Verwenden Sie die Informationen in dieser Tabelle, um ein Erkennungstool auszuw\u00e4hlen und damit eine oder mehrere Fireboxes zu diagnostizieren:<\/p>\n<table border=\"1\">\n<thead>\n<tr>\n<th colspan=\"1\" rowspan=\"1\" width=\"16%\"><\/th>\n<th colspan=\"1\" rowspan=\"1\" width=\"16%\"><strong>Web Detector<\/strong><\/th>\n<th colspan=\"1\" rowspan=\"1\" width=\"16%\"><strong>WatchGuard System Manager<\/strong><\/th>\n<th colspan=\"1\" rowspan=\"1\" width=\"16%\"><strong>WatchGuard Cloud<\/strong><\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td colspan=\"1\" rowspan=\"1\"><strong>Ger\u00e4tekompatibilit\u00e4t<\/strong><\/td>\n<td colspan=\"1\" rowspan=\"1\">Alle<\/td>\n<td colspan=\"1\" rowspan=\"1\">Alle<\/td>\n<td colspan=\"1\" rowspan=\"1\">Nur f\u00fcr Appliances, die zur Protokollierung, Berichterstellung oder Verwaltung zur WatchGuard Cloud hinzugef\u00fcgt wurden<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\"><strong>Zugang<\/strong><\/td>\n<td colspan=\"1\" rowspan=\"1\">\u00d6ffentliche Webseite, keine Einschr\u00e4nkungen<\/td>\n<td colspan=\"1\" rowspan=\"1\">\u00dcber den WatchGuard System Manager: f\u00fchren Sie die Diagnose <strong>VOR <\/strong>dem Upgrade der Fireware auf die 12.7.2 U2 durch<\/td>\n<td colspan=\"1\" rowspan=\"1\">\u00dcber einen WatchGuard Cloud Account, welcher Firebox-Appliances verwaltet<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\"><strong>Was ist zu tun?<\/strong><\/td>\n<td colspan=\"1\" rowspan=\"1\">Ausf\u00fchrliche Anleitung in unserem Blogartikel <a class=\"blogpostlink\" style=\"font-size: inherit; background-color: #fefefe;\" href=\"https:\/\/www.boc.de\/watchguard-info-portal\/2022\/02\/cyclops-blink-detector-selbstcheck-mit-dem-watchguard-webdetector\/\">&gt;&gt; Cyclops Blink Detector \u2013 Selbstcheck mit dem WatchGuard WebDetector<\/a><\/td>\n<td colspan=\"1\" rowspan=\"1\">Ausf\u00fchrliche Anleitung in unserem Blogartikel <a class=\"blogpostlink\" style=\"font-size: inherit; background-color: #fefefe;\" href=\"https:\/\/www.boc.de\/watchguard-info-portal\/2022\/02\/cyclops-blink-detector-selbstcheck-mit-dem-watchguard-system-manager\/\">&gt;&gt; Cyclops Blink Detector \u2013 Selbstcheck mit dem WatchGuard System Manager<\/a><\/td>\n<td colspan=\"1\" rowspan=\"1\">Ausf\u00fchrliche Anleitung in unserem Blogartikel <a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/2022\/02\/cyclops-blink-detector-selbstcheck-mit-der-watchguard-cloud\/\">&gt;&gt; Cyclops Blink Detector \u2013 Selbstcheck mit der WatchGuard Cloud<\/a><\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\"><strong>Daten erforderlich<\/strong><\/td>\n<td colspan=\"1\" rowspan=\"1\">Die Diagnoseprotokolldatei (support.tgz) muss mit WatchGuard geteilt werden<\/td>\n<td colspan=\"1\" rowspan=\"1\">Die Diagnose wird lokal bereitgestellt, ohne dass WatchGuard Daten\/Dateien zur Verf\u00fcgung gestellt werden<\/td>\n<td colspan=\"1\" rowspan=\"1\">Die WatchGuard Cloud fragt die Appliance direkt ab (wie bei anderen WatchGuard Cloud-Diensten).<\/td>\n<\/tr>\n<tr>\n<td colspan=\"1\" rowspan=\"1\"><strong>Datenspeicherung<\/strong><\/td>\n<td colspan=\"1\" rowspan=\"1\">Optional &#8211; Der Benutzer kann sich daf\u00fcr entscheiden, WatchGuard zu erlauben, die Diagnoseprotokolldatei (support tzg) f\u00fcr die Untersuchung des Botnetzes aufzubewahren. Andernfalls wird die Datei gel\u00f6scht, nachdem die Scanergebnisse dem Benutzer angezeigt wurden.<\/td>\n<td colspan=\"1\" rowspan=\"1\">Es werden keine Daten gesammelt oder einbehalten von WatchGuard.<\/td>\n<td colspan=\"1\" rowspan=\"1\">Alle relevanten Daten der Diagnose werden standardm\u00e4\u00dfig f\u00fcr 1 Jahr gespeichert. Weitere Informationen in <a href=\"https:\/\/techsearch.watchguard.com\/KB?type=Article&amp;SFDCID=kA16S000000SOBISA4&amp;lang=en_US\" target=\"_blank\" rel=\"noopener noreferrer\">&gt;&gt; diesem Artikel<\/a>.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<hr \/>\n<h2><a id=\"Remediate\" name=\"Remediate\"><\/a><strong>Behebung<\/strong><\/h2>\n<p><strong>Wichtig!<\/strong><\/p>\n<ul>\n<li>Wenn Sie die Behebung jetzt nicht abschlie\u00dfen k\u00f6nnen, trennen Sie Ihre Firebox sofort vom Netzwerk.<\/li>\n<li>Die Korrekturschritte unterscheiden sich von den \u00fcblichen Upgrade-Schritten, an die Sie m\u00f6glicherweise gew\u00f6hnt sind. Sie m\u00fcssen die Korrekturschritte sorgf\u00e4ltig lesen und befolgen.<\/li>\n<li>Wenn Sie eine Firebox mit den \u00fcblichen Upgrade-Schritten aktualisieren, verbleibt die Cyclops Blink-Bedrohung auf Ihrer Firebox. Um die Bedrohung zu beheben, m\u00fcssen Sie die Firebox in den Wiederherstellungsmodus versetzen und dann den WSM Quick Setup Wizard verwenden, um auf die neueste Fireware-Version zu aktualisieren.<\/li>\n<li>Wenn Sie die Behebung abgeschlossen haben, wird das Cyclops Blink-Botnet aus der Firebox entfernt. Wenn Sie Beweise aus der Firebox f\u00fcr Ihre eigene Sicherheitsuntersuchung sammeln m\u00f6chten, m\u00fcssen Sie dies tun, bevor Sie die Behebung durchf\u00fchren.<\/li>\n<li>Nach der Behebung ist es wichtig, dass Sie kein Backup-Image wiederherstellen, keine alte Konfigurationsdatei oder RapidDeploy-Konfiguration auf der Firebox speichern oder eine fr\u00fchere Konfiguration von WatchGuard Cloud auf der Firebox erneut bereitstellen. Wenn Ihre Firebox mit Cyclops Blink infiziert wurde, ist es m\u00f6glich, dass Ihre Konfiguration ge\u00e4ndert wurde, um Ports und Datenverkehr zuzulassen, die Sie normalerweise ablehnen w\u00fcrden. Die einzige M\u00f6glichkeit sicherzustellen, dass Ihr Ger\u00e4t nicht erneut infiziert wird, besteht darin, eine neue Konfigurationsdatei zu erstellen.<\/li>\n<li>Sie m\u00fcssen physischen Zugriff auf die Firebox haben, um die Behebung abzuschlie\u00dfen. Wenn Sie keinen sofortigen physischen Zugriff auf das Ger\u00e4t erhalten, um es sofort wiederherzustellen und zu aktualisieren, k\u00f6nnen Sie RapidDeploy- oder WatchGuard Cloud-Vorlagen verwenden, um mit der Arbeit an einer neuen Konfigurationsdatei oder Konfigurationseinstellungen zu beginnen und Zeit zu sparen. Stellen Sie die neue Konfiguration nicht auf der Appliance bereit, bis Sie sie wiederhergestellt und aktualisiert haben.<\/li>\n<\/ul>\n<p>Die Behebungsschritte unterscheiden sich je nach dem, ob Ihre Firebox lokal oder in der Cloud verwaltet wird. Dar\u00fcber hinaus unterscheiden sich die Schritte f\u00fcr virtuelle Fireboxes (FireboxV, Firebox Cloud, XTMv) und Fireboxes, die vom Management Server verwaltet werden.<\/p>\n<p>Befolgen Sie die Schritte zur Fehlerbehebung im entsprechenden Artikel f\u00fcr Ihre Appliance:<\/p>\n<ul>\n<li><a href=\"https:\/\/techsearch.watchguard.com\/KB?type=Article&amp;SFDCID=kA16S000000SO3iSAG&amp;lang=en_US\" target=\"_blank\" rel=\"noopener noreferrer\">Cyclops Blink: Remediate a Locally-Managed Firebox<\/a> (WSM oder Fireware Web UI)<\/li>\n<li><a href=\"https:\/\/techsearch.watchguard.com\/KB?type=Article&amp;SFDCID=kA16S000000SO3dSAG&amp;lang=en_US\" target=\"_blank\" rel=\"noopener noreferrer\">Cyclops Blink: Remediate a Cloud-Managed Firebox<\/a> (WatchGuard Cloud)<\/li>\n<li><a href=\"https:\/\/techsearch.watchguard.com\/KB?type=Article&amp;SFDCID=kA16S000000SO4qSAG&amp;lang=en_US\" target=\"_blank\" rel=\"noopener noreferrer\">Cyclops Blink: Remediate Firebox Cloud<\/a><\/li>\n<li><a href=\"https:\/\/techsearch.watchguard.com\/KB?type=Article&amp;SFDCID=kA16S000000SO4vSAG&amp;lang=en_US\" target=\"_blank\" rel=\"noopener noreferrer\">Cyclops Blink: Remediate FireboxV and XTMv<\/a><\/li>\n<li><a href=\"https:\/\/techsearch.watchguard.com\/KB?type=Article&amp;SFDCID=kA16S000000SO50SAG&amp;lang=en_US\" target=\"_blank\" rel=\"noopener noreferrer\">Cyclops Blink: Remediate a Firebox Managed by WSM Management Server<\/a><\/li>\n<\/ul>\n<hr \/>\n<h2><a id=\"Prevent\" name=\"Prevent\"><\/a><strong>Pr\u00e4vention<\/strong><\/h2>\n<p>Unabh\u00e4ngig davon, ob Ihre Firebox kompromittiert wurde oder nicht, ist es wichtig sicherzustellen, dass auf Ihrer Firebox die neueste Version der Fireware installiert ist (erst <strong>NACH<\/strong> der Diagnose updaten).<\/p>\n<ul>\n<li>\u00fcber die WatchGuard Cloud updaten: <a title=\"https:\/\/www.watchguard.com\/help\/docs\/help-center\/en-us\/content\/en-us\/wg-cloud\/devices\/sub_upgrade-firmware.html\" href=\"https:\/\/www.watchguard.com\/help\/docs\/help-center\/en-US\/Content\/en-US\/WG-Cloud\/Devices\/sub_upgrade-firmware.html\" target=\"_blank\" rel=\"noopener noreferrer\">&gt;&gt; Upgrade Firmware from WatchGuard Cloud<\/a>.<\/li>\n<li>\u00fcber den WatchGuard System Manager oder die Fireware Web UI updaten: <a title=\"https:\/\/www.watchguard.com\/help\/docs\/help-center\/en-us\/content\/en-us\/fireware\/installation\/version_upgrade_new_c.html\" href=\"https:\/\/www.watchguard.com\/help\/docs\/help-center\/en-US\/Content\/en-US\/Fireware\/installation\/version_upgrade_new_c.html\" target=\"_blank\" rel=\"noopener noreferrer\">&gt;&gt; Upgrade Fireware OS or WatchGuard System Manager<\/a>.<\/li>\n<\/ul>\n<p>Au\u00dferdem empfehlen wir Folgendes:<\/p>\n<ul>\n<li>Verwenden Sie starke Passw\u00f6rter und \u00e4ndern Sie diese auch regelm\u00e4\u00dfig: <a href=\"https:\/\/techsearch.watchguard.com\/KB?type=Article&amp;SFDCID=kA16S000000SO26SAG&amp;lang=en_US\" target=\"_blank\" rel=\"noopener noreferrer\">&gt;&gt; Change the Admin and Status passwords on a Firebox<\/a>.<\/li>\n<li>Stellen Sie sicher, dass die Richtlinien, die die Firewall-Verwaltung steuern, so konfiguriert sind, dass der uneingeschr\u00e4nkte Zugriff aus dem Internet nicht zugelassen wird. Dies ist die empfohlene Best Practice. Wir glauben, dass auf kompromittierte Fireboxen \u00fcber ihre Management-Ports zugegriffen wurde. Befolgen Sie zum Sichern der Firebox-Verwaltungsports die Richtlinien im Artikel <a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/2022\/02\/best-practices-fuer-firebox-remote-management\/\">&gt;&gt; Best Practices f\u00fcr die Firebox Remote Management<\/a> und im Video-Tutorial <a href=\"https:\/\/www.watchguard.com\/help\/video-tutorials\/Secure_Firebox_Mgmt_Access\/Securing_Firebox_Mgmt_Access.mp4\" target=\"_blank\" rel=\"noopener noreferrer\">&gt;&gt; Secure Firebox Management Access<\/a>. So konfigurieren Sie die Firebox-Verwaltungsrichtlinien:\n<ul>\n<li>f\u00fcr lokal verwaltete Fireboxen: <a href=\"https:\/\/www.watchguard.com\/help\/docs\/help-center\/en-US\/Content\/en-US\/Fireware\/basicadmin\/manage_firebox_remote_loc_c.html\" target=\"_blank\" rel=\"noopener noreferrer\">&gt;&gt; Administer the Firebox from a Remote Location<\/a> und <a href=\"https:\/\/www.watchguard.com\/help\/docs\/help-center\/en-US\/Content\/en-US\/Fireware\/system_status\/connect_webui_external.html\" target=\"_blank\" rel=\"noopener noreferrer\">&gt;&gt; Connect to Fireware Web UI from an External Network<\/a>.<\/li>\n<li>f\u00fcr Cloud-verwaltete Fireboxen nutzen Sie die WatchGuard Cloud. Web UI Zugriff auf externe und Gastnetzwerke ist standardm\u00e4\u00dfig deaktiviert. Wenn Sie Fernzugriff auf die lokale Web UI auf einer Cloud-verwalteten Firebox ben\u00f6tigen:\u00a0<a href=\"https:\/\/www.watchguard.com\/help\/docs\/help-center\/en-US\/index.html#cshid=16163\" target=\"_blank\" rel=\"noopener noreferrer\">&gt;&gt; Connect to the Local Fireware Web UI from a Remote Location<\/a>.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<hr \/>\n<h2><a id=\"Investigate\" name=\"Investigate\"><\/a><strong>Untersuchung<\/strong><\/h2>\n<p>Wenn Sie eine Firebox haben, die mit dem Botnet infiziert ist, werden die oben beschriebenen Schritte die Infektion beheben und Sie vor einer zuk\u00fcnftigen Infektion sch\u00fctzen. Obwohl es derzeit keine Hinweise auf eine Datenexfiltration gibt, ist es branchen\u00fcblich, eine forensische Untersuchung Ihres Netzwerks durchzuf\u00fchren, um festzustellen, ob es m\u00f6glicherweise durch den Angreifer kompromittiert wurde.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>WatchGuard hat eine Reihe von Tools zur Erkennung von Cyclops Blink sowie diesen 4-Schritte-Diagnose-und-Behebungsplan gegen Cyclops Blink entwickelt und ver\u00f6ffentlicht, um Kunden bei der Diagnose zu unterst\u00fctzen, bei Bedarf Abhilfe zu schaffen und zuk\u00fcnftige Infektionen zu verhindern. Einen \u00dcberblick und die wichtigsten Informationen finden Sie unter &gt;&gt; WICHTIGER SICHERHEITSHINWEIS f\u00fcr alle WatchGuard Firebox Betreiber. Der Plan umfasst diese 4 Schritte: Diagnose Behebung Pr\u00e4vention Untersuchung<\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[362,3],"tags":[626,827,826],"class_list":["post-14703","post","type-post","status-publish","format-standard","hentry","category-howto","category-watchguard-technischer-blog","tag-cyber-security","tag-cyclop-blink","tag-security-alert"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/14703"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=14703"}],"version-history":[{"count":7,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/14703\/revisions"}],"predecessor-version":[{"id":14718,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/14703\/revisions\/14718"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=14703"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=14703"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=14703"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}