許多全球性組織正遭受大規模勒索軟體的攻擊,Check Point事件回應團隊追蹤進行中勒索軟體活動向量,並提出相關進一步的防護資訊!
全球最大、專攻資安解決方案的業者Check Point (NASDAQ: CHKP),Check Point 事件回應團隊開始追蹤 WannaCryptor 勒索軟體大規模肆虐的狀況。我們提出的報告指出,有許多全球性 組織正遭受大規模勒索軟體的攻擊,其利用 SMB 漏洞在這些組織的網路內傳播。由於同時有幾個不同的攻擊活動正在進行,使這個問題變 得更加複雜,因此難以快速找出特定的感染向量。過去 24-48 小時內,我們特別找出下列多個進行中勒索軟體活動向量。
感染向量疑似是利用 SMB 漏洞作為直接感染方式。Check Point 研究團隊發現,樣本中包含變種「killswitch」網域以及比特幣地址。SandBlast 防勒索軟體及/或威脅模擬均成功偵測並封鎖所有測試樣本。
WannaCryptor 感染向量以幾種方式呈現: 1. WannaCryptor –利用 SMB 作為傳播方式來造成直接感染 – 已有多個樣本獲得確認,包括模仿軟體和變體。SandBlast 防勒索軟體及/或威脅模擬均成功偵測並封鎖所有測試樣本 2. 電子郵件內的惡意連結 3. 內含附有惡意連結 PDF 檔的惡意附件 4. 以密碼加密壓縮檔形式的惡意附件,且內含可啟動感染鏈的PDF 檔 5. 針對 RDP 伺服器的暴力登入攻擊,且隨後植入勒索軟體
CheckPoint 針對 WannaCryptor 提供下列防護措施:
o 威脅萃取和威脅模擬 o 防殭屍網路和防毒
o 防勒索軟體 o 威脅萃取和威脅模擬 o 防殭屍網路和防毒 o 防惡意軟體
o Microsoft Windows EternalBlue SMB 遠端執行程式碼
o Microsoft Windows SMB 遠端執行程式碼 (MS17-010:CVE-2017-0143)
o Microsoft Windows SMB 遠端執行程式碼 (MS17-010:CVE-2017-0144)
o Microsoft Windows SMB 遠端執行程式碼 (MS17-010:CVE-2017-0145)
o Microsoft Windows SMB 遠端執行程式碼 (MS17-010:CVE-2017-0146)
o Microsoft Windows SMB 資訊洩露 (MS17-010:CVE-2017-0147)
o Windows 電腦應安裝「Microsoft 資訊安全公告 MS17-010 – 重大 Microsoft Windows SMB 伺服器的安全性更新 (4013389)」中公佈的漏洞修補程式
o 確定已備妥未在網路上分享的檔案備份
o 封鎖來自電子郵件閘道的已加密且有密碼保護之附件
Check Point Sandblast 防勒索軟體代理程式,本影片介紹 Check Point 如何封鎖並復原遭到勒索軟體感染的系統 https://www.youtube.com/watch?v=0jb8zd7H634&feature=youtu.be
立即加入Check Point 台灣Facebook 粉絲頁掌握第一手資安新知 https://www.facebook.com/checkpoint.tw/
關於Check Point Check Point (www.checkpoint.com) 是全球最大的專攻資訊安全解決方案的領導廠商,為各界客戶提供領先業界的解決方案,以抵禦惡意軟體和各種威脅。Check Point 提供全方位的資安解決方案,包括從企業網路到行動設備的安全防護,以及最全面和視覺化的資安管理方案。Check Point 現為超過十萬家不同規模的組織提供安全防護。Check Point 竭力保衛,助您邁向未來。 |