Martin Schmitz
Auf dem Kamp 6
41352 Korschenbroich
02182 / 5731 400
© Copyright 2024
Martin Schmitz IT Security Consulting
martin@martinschmitz.it
Seit kurzem besteht die Möglichkeit, Domains mit der Top Level Domain „zip“ oder auch „mov“ zu registrieren.
Hacker bauen jetzt mit ein paar Tricks URLs, die so aussehen, als ob man auf eine Webseite umgeleitet wird, von der man eine zip oder mov Datei herunterladen kann. Tatasächlich landet man auf einer Malware Site. Für den normalen User ist das nur schwer oder gar nicht zu erkennen. Hier ein Beispiel:
https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271.zip
Daher ist es zur Zeit empfohlen, diese Domains einfach zu blocken. Das lässt sich auf der SonicWall mit Bordmitteln wie folgt einrichten
Zunächst müssen wir 2 FQDN Adressobjekte in der Zone WAN anlegen, die wir in einer Gruppe zusammen fassen:
Dann erstellen wir eine Regel, die den Zugriff von LAN auf WAN auf diese Domains blockt:
Nun wird der Zugriff auf alles mit der Endung *.zip / *.mov geblockt von WAN nach LAN. Wenn es weitere interne Zonen gibt, von denen aus der Zugriff geblockt werden soll, dann muß die Regel auf diese Zonen auch angewandt werden
Wenn in der Zukunft auf diesen Domains jemals etwas Sinnvolles gehosted werden sollte, muß natürlich die Regel angepasst werden. Aber als erste Hilfe kann das gute Dienste leisten.
Martin Schmitz 01.06.2023
Martin Schmitz
Auf dem Kamp 6
41352 Korschenbroich
02182 / 5731 400
© Copyright 2024
Martin Schmitz IT Security Consulting
martin@martinschmitz.it