חסימת דומיינים (ZIP/MOV) באמצעות Intune
ביומיום אנו רגילים לשמות אתרים אשר מסתיימים בסיומות com ,org, net וכן הלאה. בשנים האחרונות הופיעו סיומות דומיין חדשות, כגון: blog ,io ואחרים. אלה ידועים כדומיינים ברמה העליונה (TLDs), והרשימה, ארוכה, בנוסף אליהם ישנם דומיינים חדשים מעת לעת. לאחרונה (מאי 2023), הודיעה גוגל כי שמונה דומיינים נוספים זמינים לרשימה – שניים מהם בלתי ניתנים להבחנה מסיומות קבצים פופולריות: zip + mov.
מהלך שהביא איתו ביקורת רבה כי דומיינים אלה מעלים דפוסי התנהגות חדשים ואפשרויות פישינג מגוונות. למשל, שחקנים במרחב יכולים לשים אינדקס html אשר מפעיל הורדה עבור טרויאניים. בעוד שדומיין ברמה העליונה (TLD) המחקה סיומת קובץ הוא רק רכיב אחד בהתקפה, השילוב הכולל יעיל הרבה יותר עם סיומת zip או mov.
אין ספק שקישורי פישינג שמערבים את הסיומות האלה יכולים לפתות משתמשים לבצע טעויות בקלות יתרה או לעקוף מנגנוני אבטחה. בניגוד לסוגים אחרים של כתובות URL של פישינג שנועדו לפתות את המשתמש להזין אישורים בדף כניסה מזויף, הפיתיונות עם הדומיינים zip או mov מתאימים יותר לסוגי הורדות של התקפות מסוג Drive-by.
דוגמה מצוינת ניתן לראות במאמר של The Dangers of Google’s .zip TLD.
איך לחסום דומיינים באמצעות Intune
חסימות מלאות באמצעות Defender for Endpoint אינם נתמכים עדיין, למשל, חסימת דומיין מלא ברמה העליונה ונתמכים רק ברמת כתובות IP או כתובות URL בודדות. אך, בשילוב עם Windows Firewall, ניתן לחסום gTLDs וכן FQDNs. לאחרונה Microsoft הכריזה על כמה תכונות ניהול חדשות בפלטפורמה של Intune לניהול קל יותר של Windows Firewall.
אחת מאותן הכרזות היא התמיכה בחסימה של FQDN באמצעות Windows Defender וכן Microsoft Intune. ניתן להשתמש בתכונה זו לחסימת כללית של FQDN ודומיינים מובילים ברמת gTLD.
דרישות מוקדמות
- Defender AV חייב להיות מופעל ומעודכן לגרסה 4.18.2209 וצפונה.
- הגנת רשת (Network Protection) צריך להיות במצב חסימה (ולא אחרת).
- DNS over HTTPS צריך להיות מדוסבל (אופציונלי).
- ניהול באמצעות Microsoft Intune.
הגדרת חסימת דומיינים
בכדי לחסום את הדומיינים מדוברים יש לעבוד לפי ההנחיות הבאות שמנצלות את היכולות של Intune בכדי לבצע חסימה ומשתמש ביכולות החדשות של Reusable settings ומשלבת אותן עם מדיניות של Defender Firewall Rules.
תחילה יש לבצע הגדרות של Reusable settings.
לאחר סיום הגדרות של Reusable settings יש ליצור פורפיל של Defender Firewall Rules לפי השלבים הבאים.
| Interface Types | All |
| Edge Traversal | Not configured |
| Network Types | FW_Profile_Type_ALL |
| Direction | The rule applies to outbound traffic |
| Action | Block |
FW_PROFILE_TYPE_ALL: ערך זה מייצג כל ערכות הרשת הללו וכל ערכות הרשת העתידיות.
טיפים ונקודות חשובות
- כאשר המדיניות מוחלת, התוצאה היא שדומיינים אלה ייחסמו.
- לפני פריסת הפרופיל, ודא שהגדרת Reusable settings נבחרה והינה חלק מהקבוצות הניתנות להגדרה זאת.
- כאשר לא בוחרים או מוסיפים את הפרופיל הוא חוסם את כל התעבורה.
- כדאי לבדוק תמיד את הכלל על מכונות בדיקה.
- לחסימת דומיינים FQDN/ gTLD מומלץ להשתמש ביכולת של Reusable settings.
- הגדרת Reusable settings מאפשרת לעשות שימוש חוזר בהגדרות במדיניות נוספת.
- הגדרת Reusable settings נתמכת עבור: טווחי כתובות IP מרוחקים וכן הגדרת שם תחום (FQDN).
- באמצעות MDE תמיד ניתן לחסום את כתובת האתר המלא במקום את הדומיין המלא.
- כדאי לבדוק את Spamhaus עבור דומיינים המובילים בניצול לרעה.
- תחומים אחרים הנמצאים בשימוש רב לפעילות זדונית הם ( .xyz, .click, .rest).
- מומלץ להגדיר הגנת רשת (Network Protection) ברמת MDE בכדי לקבל חסימה מיטבית.
- מומלץ לבצע חסימת סיומות ברמת דפנדר לאופיס (MDO).
לסיכום, חסימה וזיהוי של דומיינים אלה איננה מתחילה או מסתיימת רק באפשרויות המוזכרות וצריכה לשלב בתוכה היבטים נוספים של אכיפה ברמת Defnder for Endpoint וכן Defender for Office כחלק מתוך הגנה מבוססת Kill Chain לאורך מספר סיגנלים ובצמוד למתודלוגיה של MITRE.
