FireEye iSIGHT先一步侦测拦阻攻击,WannaCry勒索软体来势汹汹挑战企业防御力 - 行业资讯 - 广州科明大同科技有限公司丨20多年网络安全解决方案经验

行业资讯

您当前所在的位置:首页>>动态资讯>>行业资讯

FireEye iSIGHT先一步侦测拦阻攻击,WannaCry勒索软体来势汹汹挑战企业防御力

点击数:14252017-05-16 16:47:53 来源:广州科明大同科技有限公司丨20多年网络安全解决方案经验

新闻摘要:近日来新变种的勒索软体WanaCrypt0r 2.0(亦称为WannaCry、WCry、WanaCryptor),利用Windows环境中的SMB(Server Message Block) 通讯协议漏洞(CVE-2017-0144),透过邮件管道夹带钓鱼网站或恶意程式,在全球大规模散布,引发各界高度关注。

企业内部若尚未安装Windows系统更新修补程式,得小心WannaCry勒索软体来袭。

近日来新变种的勒索软体WanaCrypt0r 2.0(亦称为WannaCry、WCry、WanaCryptor),利用Windows环境中的SMB(Server Message Block)

通讯协议漏洞(CVE-2017-0144),透过邮件管道夹带钓鱼网站或恶意程式,在全球大规模散布,引发各界高度关注。 

事实上,早在3月14日,微软已针对编号MS17-010漏洞发布重大更新。至于无法部署修补更新程式的用户端,微软亦建议尽快关闭SMB通讯协议服务

更重要的是,切勿随意点选来路不明的邮件附加档或内文中的连结,才能避免触发勒索软体执行档案加密。

其实早在WanaCrypt0r 2.0发作前,FireEye iSIGHT就已掌握该变种病毒的行为模式,并且已透过动态威胁情报(Dynamic Threat Intelligence,DTI)

发布入侵指标(Indicators of Compromise,IOC)资讯,更新到全球客户端产品平台。 

FireEye大中华区首席技术顾问萧松瀛说明,针对WannaCry勒索病毒,FireEye Email Security(EX系列)与FireEye Endpoint Security(HX系列)

皆具有分析档案执行行为的能力。在夹带攻击程式或钓鱼网址的邮件尚未到达使用者收件匣之前,会先经过Email Security内建的

MVX(Multi-Vector Virtual Execution)无特征码动态引擎分析,即可侦测发现予以拦阻。邮件内文中若含有URL引导用户去下载勒索软体,

MVX也能够模拟下载的动作,将档案取回后交给引擎执行分析。「但必须确认部署为Inline模式,而非BCC模式。」  


Endpoint Security方案本身亦有Exploit Guard的功能,可依据入侵行为情报侦测发现勒索软体执行程序,即时阻断执行。「由于恶意程式感染电脑时,

会产生各种渗透入侵行为,Endpoint Security得以及时拦截,主要是已掌握WannaCry发作时的数个阶段,并且记录相关特征,包括Registry、MD5等指标。」  

若企业IT环境仅建置FireEye Network Security(NX系列),亦可借此侦测拦截勒索软体的回呼(Callback)中继站连线行为,不论是上传或下载金钥,

抑或是通报渗透成功,皆可径行阻断。萧松瀛提醒,尤其需留意连线的网域名称是否包含「Trojan.SinkholeMalware」,经分析后发现,在多个WannaCry样本中皆有出现。 

「目前FireEye DTI已掌握WannaCry勒索软体渗透手法与攻击行为,只要客户取得IOC即可进行侦测与拦截。须注意的是,

WannaCry会利用SMB漏洞试图横向感染,因此必须确定资料流得以经过NX设备,或是端点上有部署HX防护措施。」萧松瀛强调。 

面对来势汹汹的新变种病毒,企业IT难免担心遭受勒索之害。由于WannaCry主要是利用SMB漏洞,因此根本解决之道仍旧是尽快安装修补更新,

以及勿随意开启邮件附加档案与连结;万一不幸发现有电脑已遭受感染,亦须进一步确认是否已内部扩散,控制影响范围,以免造成更多档案因此损害。 

▲FireEye Endpoint Security提供Exploit Guard机制,以入侵指标拦阻WannaCry执行程序。



【责任编辑:洪羿涟】(Top) 返回页面顶端
分享到:
0

QQ联系

  • FireEye       QQ
  • Sophos      QQ
  • 售后服务     QQ