近日來新變種的勒索軟體
WanaCrypt0r 2.0(亦稱為WannaCry、WCry、WanaCryptor),利用Windows環境中的SMB(Server Message Block)通訊協議漏洞(
CVE-2017-0144),透過郵件管道夾帶釣魚網站或惡意程式,在全球大規模散布,引發各界高度關注。
事實上,早在3月14日,微軟已針對編號MS17-010 漏洞發布重大更新。至於無法部署修補更新程式的用戶端,微軟亦建議盡快關閉SMB通訊協議服務。更重要的是,切勿隨意點選來路不明的郵件附加檔或內文中的連結,才能避免觸發勒索軟體執行檔案加密。
其實早在WanaCrypt0r 2.0發作前,FireEye iSIGHT就已掌握該變種病毒的行為模式,並且已透過動態威脅情報(Dynamic Threat Intelligence,DTI)發布入侵指標(Indicators of Compromise,IOC)資訊,更新到全球客戶端產品平台。
FireEye大中華區首席技術顧問蕭松瀛說明,針對WannaCry勒索病毒,FireEye Email Security(EX系列)與FireEye Endpoint Security(HX系列)皆具有分析檔案執行行為的能力。在夾帶攻擊程式或釣魚網址的郵件尚未到達使用者收件匣之前,會先經過Email Security內建的MVX(Multi-Vector Virtual Execution)無特徵碼動態引擎分析,即可偵測發現予以攔阻。郵件內文中若含有URL引導用戶去下載勒索軟體,MVX也能夠模擬下載的動作,將檔案取回後交給引擎執行分析。「但必須確認部署為Inline模式,而非BCC模式。」
Endpoint Security方案本身亦有Exploit Guard的功能,可依據入侵行為情報偵測發現勒索軟體執行程序,即時阻斷執行。「由於惡意程式感染電腦時,會產生各種滲透入侵行為,Endpoint Security得以及時攔截,主要是已掌握WannaCry發作時的數個階段,並且記錄相關特徵,包括Registry、MD5等指標。」
若企業IT環境僅建置FireEye Network Security(NX系列),亦可藉此偵測攔截勒索軟體的回呼(Callback)中繼站連線行為,不論是上傳或下載金鑰,抑或是通報滲透成功,皆可逕行阻斷。蕭松瀛提醒,尤其需留意連線的網域名稱是否包含「Trojan.SinkholeMalware」,經分析後發現,在多個WannaCry樣本中皆有出現。
「目前FireEye DTI已掌握WannaCry勒索軟體滲透手法與攻擊行為,只要客戶取得IOC即可進行偵測與攔截。須注意的是,WannaCry會利用SMB漏洞試圖橫向感染,因此必須確定資料流得以經過NX設備,或是端點上有部署HX防護措施。」蕭松瀛強調。
面對來勢洶洶的新變種病毒,企業IT難免擔心遭受勒索之害。由於WannaCry主要是利用SMB漏洞,因此根本解決之道仍舊是盡快安裝修補更新,以及勿隨意開啟郵件附加檔案與連結;萬一不幸發現有電腦已遭受感染,亦須進一步確認是否已內部擴散,控制影響範圍,以免造成更多檔案因此損害。
 |
| ▲FireEye Endpoint Security提供Exploit Guard機制,以入侵指標攔阻WannaCry執行程序。 |