FireEye动态威胁情报网已提前发布入侵指标:首见勒索蠕虫,专业情资早先知 - 行业资讯 - 广州科明大同科技有限公司丨20多年网络安全解决方案经验

FireEye动态威胁情报网已提前发布入侵指标:首见勒索蠕虫,专业情资早先知 - 行业资讯 - 广州科明大同科技有限公司丨20多年网络安全解决方案经验

行业资讯

您当前所在的位置:首页>>动态资讯>>行业资讯

FireEye动态威胁情报网已提前发布入侵指标:首见勒索蠕虫,专业情资早先知

点击数:6892017-06-09 10:32:37 来源:广州科明大同科技有限公司丨20多年网络安全解决方案经验

新闻摘要:「FireEye DTI早已掌握WannaCry勒索软件渗透手法与攻击行为,只要客户取得IOC即可进行侦测与拦截。须注意的是,WannaCry会利用SMB漏洞扩散感染, 因此必须确定数据流确实经过NX设备,或是端点上有部署HX防护措施。」

企业内部若未及时安装Windows系统更新修补程序,得小心WannaCry勒索蠕虫来袭。近日来震惊全球的勒索软件WannaCry

(亦称为WanaCrypt0r 2.0、WCry、WanaCryptor),利用Windows环境中的SMB(Server Message Block)通讯协议漏洞

(MS17-10),透过邮件管道夹带钓鱼网站或恶意软件,在全球大规模散布,引发各界高度关注。



针对SMB通讯协议漏洞,事实上,微软早在3月14日,即已发布MS17-010重大更新;对于无法部署修补更新程序的Windows版本,

微软亦建议尽快关闭SMB服务。但不论是否已安装更新修补,面对新变种病毒,抑或是首次出现勒索软件属于具自我复制功能的蠕虫,

最终仍取决于终端用户的资安警觉心,勿随意点选来路不明的邮件附加档或内文连结,才能避免触发勒索软件执行档案加密。 


▲ FireEye Endpoint Security提供Exploit Guard机制,以入侵指针拦阻WannaCry执行程序。


事实上,在WannaCry尚未发作前,已被国际间许多攻击情资研究单位锁定追踪,例如FireEye iSIGHT,事前已解析取得攻击行为,

并且透过动态威胁情报(DTI)发布入侵指针(IOC)信息,更新到全球客户端产品平台。 


FireEye大中华区首席技术顾问萧松瀛说明,针对WannaCry勒索蠕虫,在夹带攻击程序的邮件尚未进入收件匣之前,会先经过FireEye Email Security

内建的MVX无特征码动态引擎分析,即可侦测发现予以拦阻;邮件内文中若含有URL引导用户下载,MVX也能够模拟执行动作,将档案取回后交给

引擎执行分析。「但必须确认部署为Inline模式,而非BCC模式。」萧松瀛提醒。 


由于Endpoint Security本身亦有提供Exploit Guard功能,可依据入侵指针侦测发现勒索软件执行程序,实时阻断执行。「由于恶意软件感染计算机时,

会产生各种渗透入侵行为,Endpoint Security得以及时拦截,主要是已掌握WannaCry发作时的数个阶段,并且记录相关特征,包括Registry、MD5等指标。」 


若企业IT环境仅建置FireEye Network Security(NX系列),亦可藉此侦测拦截勒索软件的回呼(Callback)中继站联机行为,不论是上传或下载密钥,

抑或是通报渗透成功,皆可径行阻断。 


「FireEye DTI早已掌握WannaCry勒索软件渗透手法与攻击行为,只要客户取得IOC即可进行侦测与拦截。须注意的是,WannaCry会利用SMB漏洞扩散感染,

因此必须确定数据流确实经过NX设备,或是端点上有部署HX防护措施。」萧松瀛强调。 面对来势汹汹的勒索蠕虫,企业IT难免担心遭受勒索之害。

由于WannaCry主要是利用SMB漏洞,因此根本解决之道仍旧是尽快安装修补更新,以及勿随意开启邮件附加档案与连结;万一不幸发现有计算机已遭受感染,

亦须立即确认是否已内部扩散,控制影响范围,以免造成更多档案因此受到损害。 


【责任编辑:洪羿涟】(Top) 返回页面顶端
分享到:
0

QQ联系

  • FireEye       QQ
  • SonicWALL QQ
  • 售后服务     QQ