將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2017/5/22

Check Point事件回應團隊追蹤WannaCryptor勒索軟體全球肆虐活動狀況

許多全球性組織正遭受大規模勒索軟體的攻擊,Check Point事件回應團隊追蹤進行中勒索軟體活動向量,並提出相關進一步的防護資訊。
全球最大、專攻資安解決方案的業者Check Point ,Check Point事件回應團隊開始追蹤WannaCryptor勒索軟體大規模肆虐的狀況。我們提出的報告指出,有許多全球性組織正遭受大規模勒索軟體的攻擊,其利用SMB漏洞在這些組織的網路內傳播。由於同時有幾個不同的攻擊活動正在進行,使這個問題變 得更加複雜,因此難以快速找出特定的感染向量。過去24-48小時內,我們特別找出下列多個進行中勒索軟體活動向量。

感染向量疑似是利用SMB漏洞作為直接感染方式。Check Point研究團隊發現,樣本中包含變種「killswitch」網域以及比特幣地址。SandBlast防勒索軟體及/或威脅模擬均成功偵測並封鎖所有測試樣本。  

WannaCryptor 感染向量以幾種方式呈現:
1.WannaCryptor – 利用 SMB 作為傳播方式來造成直接感染 – 已有多個樣本獲得確認,包括模仿軟體和變體。SandBlast 防勒索軟體及/或威脅模擬均成功偵測並封鎖所有測試樣本。
2.電子郵件內的惡意連結。
3.內含附有惡意連結PDF檔的惡意附件。
4.以密碼加密壓縮檔形式的惡意附件,且內含可啟動感染鏈的PDF檔。
5.針對RDP伺服器的暴力登入攻擊,且隨後植入勒索軟體。

Check Point針對WannaCryptor提供下列防護措施  

網路防護(SandBlast)  
•威脅萃取和威脅模擬  
•防殭屍網路和防毒  

端點防護(SandBlast Agent)
•防勒索軟體
•威脅萃取和威脅模擬
•防殭屍網路和防毒
•防惡意軟體

PS防護(不適用於平面式網路)
•Microsoft Windows EternalBlue SMB 遠端執行程式碼 https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0332.html
•Microsoft Windows SMB 遠端執行程式碼 (MS17-010:CVE-2017-0143) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0177.html
•Microsoft Windows SMB 遠端執行程式碼 (MS17-010:CVE-2017-0144) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0198.html
•Microsoft Windows SMB 遠端執行程式碼 (MS17-010:CVE-2017-0145) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0200.html
•Microsoft Windows SMB 遠端執行程式碼 (MS17-010:CVE-2017-0146) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0203.html
•Microsoft Windows SMB 資訊洩露 (MS17-010:CVE-2017-0147) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0205.html

一般防護
•Windows電腦應安裝「Microsoft 資訊安全公告MS17-010–重大Microsoft Windows SMB伺服器的安全性更新(4013389)」中公佈的漏洞修補程式 :https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
•確定已備妥未在網路上分享的檔案備份
•封鎖來自電子郵件閘道的已加密且有密碼保護之附件

這篇文章讓你覺得滿意不滿意
送出
相關文章
首見勒索蠕蟲 專業情資早先知
WannaCry讓資安業界動起來 IT面對新攻擊不再「想哭」
深度解析WannaCry勒索軟體新變種
Openfind提供全方位的郵件防禦與檔案回復解決方案
WannaCry勒索軟體來勢洶洶 挑戰企業資安防禦力
留言
顯示暱稱:
留言內容:
送出