WannaCry蠕蟲勒索全球　資安專家嚴密追蹤

WannaCry勒索軟體的出現，主要是透過美國國家安全局代號「Eternal Blue（永恆之藍）」工具的漏洞所傳播。該漏洞由駭客組織Shadow Brokers（影子掮客）上月於網上披露，利用Microsoft Server Message Block 1.0（SMBv1）協定中的弱點來進行攻擊。

受影響的Microsoft產品包括：
‧Windows Vista ?
‧Windows Server 2008?
‧Windows 7?
‧Windows Server 2008 R2?
‧Windows 8.1?
‧Windows Server 2012及Windows Server 2012 R2?
‧Windows RT 8.1?
‧Windows 10?
‧Windows Server 2016?
‧Windows Server Core安裝選項

其實微軟在3月份發布的安全公告MS17-010中，已針對此漏洞提出更新程式。同樣在3月份，Fortinet也發布入侵防禦系統特徵（IPS Signature），可檢測和阻止該漏洞的攻擊行為，緊接著於日前發布了新防毒特徵（AntiVirus Signature），用以檢測與抵禦勒索軟體執行。第三方的測試單位也證實了Fortinet Anti-Virus與FortiSandbox能有效地阻止該惡意軟體。

不論是否遭到WannaCry勒索感染，皆務必須要嚴加防範蠕蟲的後續威力。Fortinet資深安全專家Aamir Lakhani強烈建議所有客戶須確實執行下列步驟：?
‧於網路所有受影響的節點安裝Microsoft發布的更新程式。?
‧確保Fortinet防毒和IPS檢測，以及網路過濾引擎都已啟用，藉此攔阻惡意軟體下載行為，並確保網路過濾能阻斷回呼命令和控制（C&C）伺服器的連線行為。?
‧將UDP連接埠137/138、TCP連接埠139/445隔離。

此外，Aamir Lakhani亦建議用戶和企業組織採取以下預防措施：?
‧建立常規程序來為所有裝置的作業系統、軟體和韌體安裝更新程式。擁有大量裝置的組織可考慮採用集中的更新程式管理系統。?
‧部署入侵防禦系統、防毒措施、網路過濾技術，並隨時保持更新。?
‧定期備份資料之餘，亦要驗證其完整性並予以加密；測試復原備份過程，以確保其可用性。
‧掃描所有收發郵件來檢測威脅，並為最終用戶過濾附加檔。
‧設定防毒與反惡意軟體定期自動執行掃描。?
‧停用經郵件傳輸的文件巨集碼（Macro scripts），可考慮改用Office Viewer等工具預覽Microsoft Office附件，而不用Office套件的應用程式直接開啟檔案。
‧建立業務持續性計劃和資安事件因應策略，並定期執行漏洞評估。

針對已受到勒索軟體影響的組織，Aamir Lakhani建議：?
‧立即從網路中刪除受感染的裝置，防止勒索軟體進一步擴展到網路或其他共享裝置。?
‧若從網路層發現已遭受感染，請立即截斷所有連接裝置。?
‧若裝置受到感染但資料並未完全損壞，馬上執行關機，可能還有機會清理和恢復資料，控制損害程度並防止情況惡化。?
‧把備份資料儲存於離線模式。檢測到病毒時應立即切斷備份系統連接，並加以掃描來確保備份檔案中沒有惡意軟體。?
‧立即聯繫執法機關回報任何勒索軟體案件，並請求協助。

Fortinet分享IPS和防毒特徵詳細資訊

‧入侵防禦系統特徵：?
MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution?
‧防毒特徵：
W32/Filecoder_WannaCryptor.B!tr?
W32/WannaCryptor.B!tr?
W32/Generic.AC.3EE509!tr?
W32/GenKryptik.1C25!tr?
‧CVE安全漏洞資料庫：?
2017-0143 thru 2017-0148

▲針對WannaCry勒索軟體全球肆虐，Fortinet資深安全專家Aamir Lakhani強烈建議，盡快安裝微軟MS17-010修補漏洞，同時更新IPS與防毒特徵碼。