Configuracion AntiRansomware - ESET

-
Saludos Amigos

Aquí les dejo el procedimiento realizado para prevenir infecciones con el ransomware Locky/Zepto

Configurar las reglas de HIPS en los productos corporativos ESET para protegerse del ransomware

ID de solución: KB6119 |Document ID: 22889|Última revisión: 29 de agosto de 2016

Suceso

  • Configurar las reglas de HIPS de ESET Remote Administrator (versión 6.3 o posterior) en los siguientes productos ESET para protegerse ante Filecoder (ransomware)
    • ESET Endpoint Security
    • ESET Endpoint Antivirus
    • ESET Mail Security para Microsoft Exchange
    • ESET File Security para Microsoft Windows Server
Haga clic en cada imagen para abrir una nueva ventana para conocer configuraciones de políticas y mejores prácticas anti-malware adicionales:

Detalles

Solución

Para ayudar a evitar la presencia de ransomware en su sistema Windows cree las siguientes reglas de política en ESET Remote Administrator versión 6.3 o superior:

No ajuste las políticas en sistemas en producción 

Los siguientes ajustes de políticas son considerados "mejores prácticas" pero la configuración específica que requiere su entorno podría variar. Recomendamos que pruebe los ajustes para cada implementación en un entorno de evaluación antes de aplicarlo a un ambiente productivo.
  1. Abra la Consola web de ESET Remote Administrator (ERA Web Console) en su navegador e inicie sesión. ¿Cómo abro ERA Web Console?
  2. Haga clic en Admin → Políticas, seleccione la política del Agente que se encuentra siendo aplicada a su servidor (su política predeterminada) y luego haga clic en Políticas → Editar.

    Alternativamente, puede crear una nueva política en ESET Remote Administrator (6.x).

  3. Expanda Configuración → Antivirus, haga clic en HIPS y luego en el vínculo Editar próximo a Reglas
Figura 1
Haga clic sobre la imagen para ampliarla

Haga clic sobre el símbolo + para expandir cada sección que permitirá crear las reglas de HIPS rules para los procesos sugeridos.
I. Impedir procesos secundarios de parte de scripts ejecutables
II. Impedir procesos de scripts iniciados por explorer
III. Impedir procesos secundarios de parte de los procesos de Office 2013/2016
IV. Impedir procesos secundarios de regsrv32.exe
V. Impedir procesos secundarios de mshta.exe
VI. Impedir procesos secundarios de rundll32.exe
VII. Impedir procesos secundarios de powershell.exe


Configurar la reglas del Firewall en ESET Endpoint Security para protegerse del ransomware

ID de solución: KB6132 |Document ID: 22936|Última revisión: 25 de agosto de 2016

Suceso

  • Configurar las reglas del Firewall en ESET Remote Administrator (versión 6.3 o posterior) para protegerse del código malicioso Filecoder (ransomware)
Haga clic en cada imagen para abrir una nueva ventana para conocer configuraciones de políticas y mejores prácticas anti-malware adicionales:

Detalles

Solución

Al aplicar estas reglas del Firewall, ESET Endpoint Security bloqueará la descarga de contenido malicioso y evitará el acceso a internet de otros scripts. Para ayudar a evitar el ransomware en sus sistemas Windows con ESET Endpoint Security, cree las siguientes reglas de política en la versión 6.3 o superior de ESET Remote Administrator:

No modifique las políticas en sistemas productivos

Los siguientes ajustes de políticas son considerados "mejores prácticas" pero las configuraciones específicas para su entorno de seguridad podrían variar. Recomendamos que evalúe los ajustes para cada implementación en un escenario de pruebas antes de usarlos en un entorno productivo.
  1. Abra la Consola web de ESET Remote Administrator (ERA Web Console) en su navegador e inicie sesión. ¿Cómo abro ERA Web Console?
  2. Haga clic en Admin → Políticas, seleccione la política del Agente que aplica a su servidor (su política principal predeterminada) y luego haga clic en Políticas → Editar.

    Alternativamente, puede crear una nueva política en ESET Remote Administrator (6.x).
  3. Expanda la sección Configuración → Firewall personal y verifique que la opción Habilitar protección de botnet se encuentre habilitada. 
Figura 1-1
  1. Haga clic en Editar junto a Reglas
Figura 1-2
  1. En la ventana Reglas de Firewall, haga clic en Agregar.

  2. Dentro de la solapa General, ingrese la siguiente leyenda dentro del campo Nombre

    Impedir conexiones de red para cmd.exe (nativo)

  3. Use la siguiente configuración para la regla:
    1. En el menú desplegable Dirección seleccione Ambos
    2. En el menú desplegable Acción seleccione Denegar.
    3. En el menú desplegable Protocolo seleccione Cualquiera.
    4. En el menú desplegable Perfil seleccione Cualquier perfil.
Figura 1-3
  1. Haga clic sobre la solapa Local y, dentro del campo Aplicación, ingrese la siguiente ruta :

    C:\Windows\System32\cmd.exe
Figura 1-4
  1. Haga clic en Aceptar, luego en Agregar, y repita los pasos 5 – 7 para crear la siguiente lista de reglas:
  1. Nombre: Impedir conexiones de red para cmd.exe (SysWOW64)
    Aplicación: C:\Windows\SysWOW64\cmd.exe
  2. Nombre: Impedir conexiones de red para wscript.exe (nativo)
    Aplicación: C:\Windows\System32\wscript.exe
  3. Nombre: Impedir conexiones de red para wscript.exe (SysWOW64)
    Aplicación: C:\Windows\SysWOW64\wscript.exe
  4. Nombre Impedir conexiones de red para cscript.exe (nativo)
    Aplicación: C:\Windows\System32\cscript.exe
  5. Nombre: Impedir conexiones de red para cscript.exe (SysWOW64)
    Aplicación: C:\Windows\Syswow64\cscript.exe
  6. Nombre: Impedir conexiones de red para powershell.exe (nativo)
    Aplicación: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  7. Nombre: Impedir conexiones de red para powershell.exe (SysWOW64)
    Aplicación: C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  8. Nombre: Impedir conexiones de red para ntvdm.exe
    Aplicación: C:\Windows\System32\ntvdm.exe
  9. Nombre: Impedir conexiones de red para regsvr.exe (nativo)
    Aplicación: C:\Windows\System32\regsvr.exe
  10. Nombre: Impedir conexiones de red para regsvr.exe (SysWOW64)
    Aplicación: C:\Windows\SysWOW64\regsvr.exe
  11. Nombre: Impedir conexiones de red para rundll32.exe (nativo)
    Aplicación: C:\Windows\System32\rundll32.exe
  12. Nombre: Impedir conexiones de red para rundll32.exe (SysWOW64)
    Aplicación: C:\Windows\SysWOW64\rundll32.exe
  1. Haga clic en Aceptar → Finalizar cuando termine de agregar las reglas.


Fuente:


Enlaces de interes:








Comentarios

Publicar un comentario

Entradas más populares de este blog

Base de Datos FAVICON

-
HASH 6399cc480d494bf1fcd7d16c42b1c11b penguin 09b565a51e14b721a323f0ba44b2982a Google web server 506190fc55ceaa132f1bc305ed8472ca SocialText 2cc15cfae55e2bb2d85b57e5b5bc3371 PHPwiki (1.3.14) / gforge (4.6.99+svn6496) - wiki 389a8816c5b87685de7d8d5fec96c85b XOOPS cms f1876a80546b3986dbb79bad727b0374 NetScreen WebUI or 3Com Router 226ffc5e483b85ec261654fe255e60be Netscape 4.1 b25dbe60830705d98ba3aaf0568c456a Netscape iPlanet 6.0 41e2c893098b3ed9fc14b821a2e14e73 Netscape 6.0 (AOL) a28ebcac852795fe30d8e99a23d377c1 SunOne 6.1 71e30c507ca3fa005e2d1322a5aa8fb2 Apache on Redhat d41d8cd98f00b204e9800998ecf8427e Zero byte favicon dcea02a5797ce9e36f19b7590752563e Parallels Plesk 6f767458b952d4755a795af0e4e0aa17 Yahoo! 5b0e3b33aa166c88cee57f83de1d4e55 DotNetNuke (http//www.dotnetnuke.com) 7dbe9acc2ab6e64d59fa67637b1239df Lotus-Domino
Continuar Leyendo »

Mirror de actualización con ESET Endpoint Antivirus

-
Imagen
ESET Endpoint Antivirus como Mirror de actualización En esta sección vamos a configurar nuestro ESET Endpoint Antivirus para que nuestras máquinas de la red lan se actualicen a partir de esa configuración, sin necesidad de tener una consola de administración (ERAS) Escenario: El responsable de soporte tiene a cargo 150 maquina en la oficina central de la empresa, la cual esta instala ESET Endpoint Antivirus y esta administrado como ERA, y fuera de su red tiene otra 10 máquinas a cargo, no cuenta con acceso a esa oficina  para poder ser administrada, y lo que el desea es solo que las 10 maquinas se actualicen sin consumir el ancho de banda. Solución Se instala ESET Endpoint Antivirus a las máquinas fuera de la red, y se propone utilizar a uno de los usuarios como el que se va encargar de crear la mirror para las demás máquinas y poder actualizar la base de firma.  Proceso. Abrimos ESET Endpoint Antivirus. Ingresamos a la configuración avanzada de
Continuar Leyendo »