Check Point事件回應團隊追蹤 WannaCryptor勒索軟體全球肆虐活動狀況

全球最大、專攻資安解決方案的業者Check Point ,Check Point 事件回應團隊開始追蹤 WannaCryptor 勒索軟體大規模肆虐的狀況。

全球最大、專攻資安解決方案的業者Check Point ,Check Point 事件回應團隊開始追蹤 WannaCryptor 勒索軟體大規模肆虐的狀況。我們提出的報告指出,有許多全球性 組織正遭受大規模勒索軟體的攻擊,其利用 SMB 漏洞在這些組織的網路內傳播。由於同時有幾個不同的攻擊活動正在進行,使這個問題變 得更加複雜,因此難以快速找出特定的感染向量。過去 24-48 小時內,我們特別找出下列多個進行中勒索軟體活動向量。

感染向量疑似是利用 SMB 漏洞作為直接感染方式。Check Point 研究團隊發現,樣本中包含變種「killswitch」網域以及比特幣地址。SandBlast 防勒索軟體及/或威脅模擬均成功偵測並封鎖所有測試樣本。

WannaCryptor 感染向量以幾種方式呈現:

  1. WannaCryptor – 利用 SMB 作為傳播方式來造成直接感染 – 已有多個樣本獲得確認,包括模仿軟體和變體。SandBlast 防勒索軟體及/或威脅模擬均成功偵測並封鎖所有測試樣本
  2. 電子郵件內的惡意連結
  3. 內含附有惡意連結 PDF 檔的惡意附件
  4. 以密碼加密壓縮檔形式的惡意附件,且內含可啟動感染鏈的 PDF 檔
  5. 針對 RDP 伺服器的暴力登入攻擊,且隨後植入勒索軟體

Check Point 針對 WannaCryptor 提供下列防護措施:

網路防護 (SandBlast)

o 威脅萃取和威脅模擬

o 防殭屍網路和防毒

端點防護 (SandBlast Agent)

o 防勒索軟體

o 威脅萃取和威脅模擬

o 防殭屍網路和防毒

o 防惡意軟體

PS 防護 (不適用於平面式網路)

o Microsoft Windows EternalBlue SMB 遠端執行程式碼 https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0332.html

o Microsoft Windows SMB 遠端執行程式碼 (MS17-010:CVE-2017-0143) https://www.checkpoint.com/defense/advisories/public/2017/cpai- 2017-0177.html

o Microsoft Windows SMB 遠端執行程式碼 (MS17-010:CVE-2017-0144) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0198.html

o Microsoft Windows SMB 遠端執行程式碼 (MS17-010:CVE-2017-0145) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0200.html

o Microsoft Windows SMB 遠端執行程式碼 (MS17-010:CVE-2017-0146) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0203.html

o Microsoft Windows SMB 資訊洩露 (MS17-010:CVE-2017-0147) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0205.html

一般防護

o Windows 電腦應安裝「Microsoft 資訊安全公告 MS17-010 – 重大 Microsoft  Windows SMB 伺服器的安全性更新 (4013389)」中公佈的漏洞修補程式
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

o 確定已備妥未在網路上分享的檔案備份

o 封鎖來自電子郵件閘道的已加密且有密碼保護之附件

Check Point 事件回應團隊正密切監控此一情勢,並可為客戶提供協助。下列部份提供的詳細說明可供 Check Point 客戶了解如何利用公司的解決方案來分析、報告及防範攻擊元素。若要了解更多有關勒索軟體的一般資訊,請瀏覽:http://pages.checkpoint.com/wannacry-ransomware5.html

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416