將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2017/5/17

Fortinet為企業用戶擬定勒索軟體因應之道

WannaCry蠕蟲勒索全球 資安專家嚴密追蹤

洪羿漣
為台灣消費端與企業端皆帶來恐慌的WannaCry(又稱為WCry、WanaCrypt0r、WannaCrypt或Wana Decrypt0r)勒索軟體,自5月12日發作當下,FortiGuard Labs研究團隊便已開始追蹤散播途徑與變種狀態。
FortiGuard Labs研究團隊從中發現,WannaCry不僅毒性強且具有自我複製能力,影響所及包含俄羅斯內政部、中國地區大學、匈牙利和西班牙電訊商,以及由英國國家衛生服務機構管理的醫院和診所等大型組織。更特別的是,WannaCry勒索軟體所設計的贖金要求操作介面,可支援多達二十多種語言。 

WannaCry勒索軟體的出現,主要是透過美國國家安全局代號「Eternal Blue(永恆之藍)」工具的漏洞所傳播。該漏洞由駭客組織Shadow Brokers(影子掮客)上月於網上披露,利用Microsoft Server Message Block 1.0(SMBv1)協定中的弱點來進行攻擊。 

受影響的Microsoft產品包括:
•Windows Vista  
•Windows Server 2008 
•Windows 7 
•Windows Server 2008 R2 
•Windows 8.1 
•Windows Server 2012及Windows Server 2012 R2 
•Windows RT 8.1 
•Windows 10 
•Windows Server 2016 
•Windows Server Core安裝選項 

其實微軟在3月份發布的安全公告MS17-010中,已針對此漏洞提出更新程式。同樣在3月份,Fortinet也發布入侵防禦系統特徵(IPS Signature),可檢測和阻止該漏洞的攻擊行為,緊接著於日前發布了新防毒特徵(AntiVirus Signature),用以檢測與抵禦勒索軟體執行。第三方的測試單位也證實了Fortinet Anti-Virus與FortiSandbox能有效地阻止該惡意軟體。 

不論是否遭到WannaCry勒索感染,皆務必須要嚴加防範蠕蟲的後續威力。Fortinet資深安全專家Aamir Lakhani強烈建議所有客戶須確實執行下列步驟: 
•於網路所有受影響的節點安裝Microsoft發布的更新程式。 
•確保Fortinet防毒和IPS檢測,以及網路過濾引擎都已啟用,藉此攔阻惡意軟體下載行為,並確保網路過濾能阻斷回呼命令和控制(C&C)伺服器的連線行為。 
•將UDP連接埠137/138、TCP連接埠139/445隔離。 

此外,Aamir Lakhani亦建議用戶和企業組織採取以下預防措施: 
•建立常規程序來為所有裝置的作業系統、軟體和韌體安裝更新程式。擁有大量裝置的組織可考慮採用集中的更新程式管理系統。 
•部署入侵防禦系統、防毒措施、網路過濾技術,並隨時保持更新。 
•定期備份資料之餘,亦要驗證其完整性並予以加密;測試復原備份過程,以確保其可用性。
•掃描所有收發郵件來檢測威脅,並為最終用戶過濾附加檔。
•設定防毒與反惡意軟體定期自動執行掃描。 
•停用經郵件傳輸的文件巨集碼(Macro scripts),可考慮改用Office Viewer等工具預覽Microsoft Office附件,而不用Office套件的應用程式直接開啟檔案。
•建立業務持續性計劃和資安事件因應策略,並定期執行漏洞評估。 

針對已受到勒索軟體影響的組織,Aamir Lakhani建議: 
•立即從網路中刪除受感染的裝置,防止勒索軟體進一步擴展到網路或其他共享裝置。 
•若從網路層發現已遭受感染,請立即截斷所有連接裝置。 
•若裝置受到感染但資料並未完全損壞,馬上執行關機,可能還有機會清理和恢復資料,控制損害程度並防止情況惡化。 
•把備份資料儲存於離線模式。檢測到病毒時應立即切斷備份系統連接,並加以掃描來確保備份檔案中沒有惡意軟體。 
•立即聯繫執法機關回報任何勒索軟體案件,並請求協助。 

Fortinet分享IPS和防毒特徵詳細資訊 

•入侵防禦系統特徵: 
MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution 
•防毒特徵:
W32/Filecoder_WannaCryptor.B!tr 
W32/WannaCryptor.B!tr 
W32/Generic.AC.3EE509!tr 
W32/GenKryptik.1C25!tr 
•CVE安全漏洞資料庫: 
2017-0143 thru 2017-0148

▲針對WannaCry勒索軟體全球肆虐,Fortinet資深安全專家Aamir Lakhani強烈建議,盡快安裝微軟MS17-010修補漏洞,同時更新IPS與防毒特徵碼。
這篇文章讓你覺得滿意不滿意
送出
相關文章
防禦戰線持續向內延伸 就近攔阻威脅活動
威脅意識帶動資安預算 NGFW/UTM市場火熱
高性價比擊中甜蜜點 口碑服務打開市場空間
醫療產業網路攻擊激增 循國際標準管控資安風險
SonicWall復出 加碼台灣市場
留言
顯示暱稱:
留言內容:
送出
熱門點閱文章