Kako se zaštititi od masovnog ransomver napada WannaCry?

Шта је WannaCry?
WannaCry је рансомвeр варијанта која користи експлоит у оперативном систему Windows (MS17-010) (објављен од стране хакерске организације под називом Shadow Brokers у марту) . Наведени експлоит и алати су наводно део колекције шпијунских алата који се користе од стране Агенције за националну безбедност SAD  (NSA). Microsoft тврди да је издао закрпу за рањивост врло брзо након објаве рањивости, реална ситуација је да данас вероватно милиони рачунара још увек нису ажурирани са том најновијом закрпом. Дакле, сви ти рачунари су и даље рањиви и вероватно активно нападнути. WannaCry рансомвер експлоатише ту познату рањивост да би успоставио  своје упориште у окружењу и шири се брзо и ефикасно без знања и без потребе за аутентикацијом или било којом другом акцијом корисника. Тренутна ситуација је веома лоша и вероватно ће проћи још пуно времена док се ситуација не стабилизује и даље ширење напада заустави.

Могу ли наша решења Deep Secure’s Content Threat Removal (CTR), AlienVault Unified Security Management (USM), Towers Net Defender (TND),  да се користe за детекцију и заштиту система рањивих на МS17-010?

*Deep Secure’s Content Threat Removal (CTR)
Microsoft  je 11. Априла објавио да је издао најновију закрпу која решава рањивост у оперативном систему и у његовом пакету Office.  У односу на криминалце то је већ претпостаљало кашњење од најмање неколико недеља што им је сигурно омогућило да стекну контролу над рањивим системима.
Срећом, наша платформа Content Threat Removal (CTR) у пракси функционише ефикасно и против тзв Напада нултог дана (Zero Day) и која омугућује свим корисницима да на миру раде своје послове без потребе за бригом да ли су ажурирали регистре оперативног система или преузели најновију закрпу. Систем рада платформе је такав да практично прекида долазну комуникацију, врши дубинску проверу, одбацује непотребан и сумњив садржај те у завршној фази потпуно обнови oригинални саобраћај али без било каквог штетног садржаја. Закључак је да ова наша платформа без проблема зауставља WannaCry и све друге врсте рансомвeра.

*AlienVault USM Anywhere и USM Appliance
Са апсолутном сигурношћу детектује ову врсту напада. USM Anywhere и USM Appliance имају уграђене технике да открију ову рањивост на системима клијената. Клијенти могу покренути скенирање својих система за процену и идентификацију  оних који су потенцијално угрожени. Препоручујемо да наши клијенти покрену скенирање одмах да би идентификовали рањиве системе и применили закрпу. Уколико се то не уради могли би брзо и лако да буду компромитовани и угрожени од WannaCry рансомвeр варијанте.
Може ли AlienVault да се користити за детекцију напада који користе MS17-010 рањивости?
Апсолутно. AlienVault Labs безбедносни истраживачки тим је објавио ажуриране интелигентне податке о претњи за USM Anywhere и USM Appliance за откривање експлоатације рањивости. Ако је откривено да је систем експлоатисан, аларм ће се генерисати тако да AlienVault безбедносни аналитичар може одмах уклонити систем са мреже и решити проблем.
Клијенти који користе USM Anywhere, такође имају додатну корист од уграђене способности оркестрираног одговора који нуди Forensics and Response AlienApp. Преко ове апликације, ако је систем заражен, корисник може одмах да предузме акцију којом изолује или на други начин искључује заражени систем да би спречио исти да даље напада и инфицира друге системе на мрежи. То није нешто што традиционални SIEM може да уради. То је моћ унифициране безбедности и оркестриране акције!
Шта USM корисници треба да ураде?
USM Anywhere корисници су аутоматски ажурирани и заштићени. Не постоји ништа што треба да ураде, осим можда да покрену скенирање рањивости на својим системима.
USM Appliance клијенти треба да ажурирају обавештајне податке о претњама на свом систему да би добили најновије потписе, тако да њихова USM апликација може открити рањивост и претње. У блиској будућности, када се објави USM Appliance v5.4, биће доступна опција да се то уради аутоматски, чиме се штеди време клијентима и спречава потенцијална празнина у безбедносној покривености. Али, још увек нисмо сасвим стигли до те тачке. Дакле, мануелно ажурирање је потребно.

*Towers Net Defender (TND)
ТНД, најсавременији  систем за детекцију и превенцију  напада  са  интегрисаном заштитом веб апликација надгледа и анализира све лог датотеке на улазу у систем у реалном времену. Удањени ТНД сервер располаже у реалном времену ажурном базом података свих познатих напада те је врло брзо након појаве WannaCry рансомвера синхронизовано ажурурао базу својих сервера тако да немамо податак да је било који систем штићен помоћу ТНД-а успешно нападнут и експлоатисан од стране нападача. Сваки напад овим малвером ТНД успешно детектује на брањеном порту и штити систем од даље екплоатације малвером.

*Општа препорука администраторима:
Како наведни малвер има могућност да снажно скенира ТЦП порт 445 (Server Message Block/SMB) понашајући се као црв те на тај начин компромитује систем и кодира све фајлове на истом,  препорука је да се провери статус ажурности Windows решења те да администратори блокирају СМБ портове 139 и 445 до даљег.

Ваш Towers Net тим

У Београду 15.05.2017. године

Comments for this post are closed.