Multi-Vector Virtual Execution Dynamic Threat Intelligence FireEye Endpoint Security Trojan.SinkholeMalware FireEye Email Security Server Message Block WanaCrypt0r 2.0 FireEye iSIGHT Exploit Guard WannaCry MS17-10 勒索病毒 SMB MVX

首見勒索蠕蟲 專業情資早先知

2017-06-03
企業內部若未及時安裝Windows系統更新修補程式,得小心WannaCry勒索蠕蟲來襲。近日來震驚全球的勒索軟體WannaCry(亦稱為WanaCrypt0r 2.0、WCry、WanaCryptor),利用Windows環境中的SMB(Server Message Block)通訊協議漏洞(MS17-10),透過郵件管道夾帶釣魚網站或惡意程式,在全球大規模散布,引發各界高度關注。

針對SMB通訊協議漏洞,事實上,微軟早在3月14日,即已發布MS17-010重大更新;對於無法部署修補更新程式的Windows版本,微軟亦建議盡快關閉SMB服務。但不論是否已安裝更新修補,面對新變種病毒,抑或是首次出現勒索軟體屬於具自我複製功能的蠕蟲,最終仍取決於終端用戶的資安警覺心,勿隨意點選來路不明的郵件附加檔或內文連結,才能避免觸發勒索軟體執行檔案加密。


▲ FireEye Endpoint Security提供Exploit Guard機制,以入侵指標攔阻WannaCry執行程序。

事實上,在WannaCry尚未發作前,已被國際間許多攻擊情資研究單位鎖定追蹤,例如FireEye iSIGHT,事前已解析取得攻擊行為,並且透過動態威脅情報(DTI)發布入侵指標(IOC)資訊,更新到全球客戶端產品平台。

FireEye大中華區首席技術顧問蕭松瀛說明,針對WannaCry勒索蠕蟲,在夾帶攻擊程式的郵件尚未進入收件匣之前,會先經過FireEye Email Security內建的MVX無特徵碼動態引擎分析,即可偵測發現予以攔阻;郵件內文中若含有URL引導用戶下載,MVX也能夠模擬執行動作,將檔案取回後交給引擎執行分析。「但必須確認部署為Inline模式,而非BCC模式。」蕭松瀛提醒。

由於Endpoint Security本身亦有提供Exploit Guard功能,可依據入侵指標偵測發現勒索軟體執行程序,即時阻斷執行。「由於惡意程式感染電腦時,會產生各種滲透入侵行為,Endpoint Security得以及時攔截,主要是已掌握WannaCry發作時的數個階段,並且記錄相關特徵,包括Registry、MD5等指標。」

若企業IT環境僅建置FireEye Network Security(NX系列),亦可藉此偵測攔截勒索軟體的回呼(Callback)中繼站連線行為,不論是上傳或下載金鑰,抑或是通報滲透成功,皆可逕行阻斷。

「FireEye DTI早已掌握WannaCry勒索軟體滲透手法與攻擊行為,只要客戶取得IOC即可進行偵測與攔截。須注意的是,WannaCry會利用SMB漏洞擴散感染,因此必須確定資料流確實經過NX設備,或是端點上有部署HX防護措施。」蕭松瀛強調。 面對來勢洶洶的勒索蠕蟲,企業IT難免擔心遭受勒索之害。由於WannaCry主要是利用SMB漏洞,因此根本解決之道仍舊是盡快安裝修補更新,以及勿隨意開啟郵件附加檔案與連結;萬一不幸發現有電腦已遭受感染,亦須立即確認是否已內部擴散,控制影響範圍,以免造成更多檔案因此受到損害。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!