Emotet Controll Server an UTM blockieren?

Negativ Sir. Ich verlasse mich da auf IPS und ATP.

Du kannst aber ja FW-Regeln definieren und die Kommunikation zu den Zielen blockieren.

Wie Thorsten schon sagte, tun IPS & ATP bereits gute Dienste.

Ansonsten ist es auch möglich die IP's in einer Netzwerkgruppe zusammenzufassen und eine "Blackhole Route" zu bauen.

Leider ist hier mit Import nicht viel zu machen.

Innerhalb des Web-proxy können die Seiten importiert, mit einem "Tag" versehen und dieser dann geblockt werden.

Wird der Proxy aber umgangen oder andere Ports verwendet, ist diese Maßnahme wirkungslos.

ok vielen Dank an euch zwei!

Grüße und einen schönen Tag!

Moin,

werden die IPs denn nicht ggf. bereits durch IPS & ATP gelistet und geblockt? Vielleicht ist eine doppelte Blockung ja unnötig. Wäre super, wenn sich jemand von Sophos melden könnte, ggf. sollte man die Frage mal im englischen Forum stellen :).

Hi ErikW,

IPS basiert auf SNORT Rules.Dort gibt es Emotet Rules.

https://blog.snort.org/search/label/Emotet

ATP blockt Zugriffsversuche zu bekannten CNC-Servern.

... aber das alles ist schwer prüfbar.

Wenn man sich mit einem zusätzlichen Layer Sicherheit besser fühlt, ist es doch egal, wenn das alles (oder das meiste) bereits gefiltert werden würde.