Opšti nivo pretnje od novih oblika kiber napada veoma visok

Dragi klijenti, prijatelji, saradnici

Obaveštavamo vas da je opšti nivo pretnje od novih oblika kiber napada veoma visok.
Opšti opis:

Nivo pretnje: veoma visok – napad je veoma verovatan. Neophodno je primeniti dodatne i održive mere bezbednosne zaštite kao odgovor na pretnje širokog spektra u kombinaciji sa specifičnim poslovnim i geografskim ranjivostima i procenama o stepenu  prihvatljivog rizika.

Opis:

Dok se svet još uvek veoma intenzivno bavi pretnjom u vidu samoširećeg WannaCry ransomvera, primetili smo da je Wikileaks objavio novu seriju CIA Vault 7 curenja, detaljno opisujući dva očigledna CIA malvera usmerena na Microsoft Windows platformu. Ova dva malvera, pod nazivom „AfterMidnight“ i „Assassin„, dizajnirani su za praćenje i izveštavanje o akcijama preduzetim na inficiranom udaljenom host-u i za izvršavanje zlonamernih radnji. Malver ‘After Midnight’ omogućava svojim operatorima dinamičko učitavanje i izvršenje zlonamernog malvera  na ciljanom sistemu. Glavni kontrolor zlonamernog malvera  je maskiran kao Windows Dinamic-Link Library (DLL) samoodrživi fajl koji startuje ’Gremlins’ – skriveni malver  koji dobro  skriven  u napadnutom računaru  podriva  funkcionalnost softvera, monitoriše sve aktivnosti i pruža podršku  za ostale Gremlins-e. Malver ‘Assassin’ je sličan malveru After Midnight i može se opisati  kao automatski implant koji predstavlja jednostavnu platformu za prikupljanje podataka na udaljenim računarima koji rade pod operativnim sistemom Microsoft Windows. Kada se instalira na ciljanom računaru, ovaj maliciozni  softver  startuje implantat unutar Windows service procesa, omogućavajući napadačima  da obavljaju maliciozne zadatke na zaraženom računaru, baš kao i malver After Midnight.  Malver Assassin se sastoji od četiri podsistema: Implant, Builder, Command and Control i Listening Post.

Važno je istaći  da je praksa obaveštajnih agencija da ne otkrivaju ranjivosti vendorima, uzrokovala haos širom sveta u poslednja 3 dana, kada je WannaCry ransomver pogodio računare u 150 zemalja koristeći nedostatak u SMB-ukoji je NSA otkrio i održavao, ali koji je kasnije procurio i dospeo u posed ’The Shadow Brokers’-a pre više od mesec dana.

Sistemi koji su pogođeni: Microsoft Windows operativni sistemi

Preporuke:

Priložene smernice će vam pomoći da se zaštitite od zlonamernih programa, i njegovih povezanih bezbednosnih pretnji:

* Ažurirajte antivirusni program sa najnovijim update-ovima i koristite zaštitu u    realnom vremenu.

* Ažurirajte vaš web pretraživač. Uverite se da koristite najnoviju verziju koja sadrži sve najnovije bezbednosne zakrpe.

* Redovno ažurirajte računare sa najnovijim verzijama i zakrpama kako antivirus tako i antispyware softvera.

* Osigurati da se računari redovno ažuriraru sa bezbednosnim zakrpama, naročito operativni sistem i ključne aplikacije.

* Preporučljivo je da se sprovede Security Awareness program, upućen menadžmentu i zaposlenima, dizajniran da poveća nivo razumevanja u vezi sa socijalnim inženjeringom i bezbednosnim pretnjama u celini.

* Filtrirajte izvršne datoteke kod e-pošte. Ukoliko vaš email gateway ima sposobnost filtriranja fajlova po ekstenziji, blokirati elektronsku poštu  poslatu  sa „.exe“, „.scr“, „.bat“ fajlovima i blokirati mejlove  poslate sa datotekama koje imaju dve ekstenzije, gde je poslednja ekstenzija izvršna.

* Konačno, u slučaju da je sistem kompromitovan, treba ga odmah ukloniti iz mreže.

 

TowersNet tim i Društvo za infomacionu bezbednost Srbije Vam stoje na raspolaganju za sva dodatna pitanja ili pomoć vezano za gore navedeno.

 

Srdačan pozdrav,
Zoran Živković

Predsednik društva

z.zivkovic@towersnet.rs

+381112662444

Kako se zaštititi od masovnog ransomver napada WannaCry?

Шта је WannaCry?
WannaCry је рансомвeр варијанта која користи експлоит у оперативном систему Windows (MS17-010) (објављен од стране хакерске организације под називом Shadow Brokers у марту) . Наведени експлоит и алати су наводно део колекције шпијунских алата који се користе од стране Агенције за националну безбедност SAD  (NSA). Microsoft тврди да је издао закрпу за рањивост врло брзо након објаве рањивости, реална ситуација је да данас вероватно милиони рачунара још увек нису ажурирани са том најновијом закрпом. Дакле, сви ти рачунари су и даље рањиви и вероватно активно нападнути. WannaCry рансомвер експлоатише ту познату рањивост да би успоставио  своје упориште у окружењу и шири се брзо и ефикасно без знања и без потребе за аутентикацијом или било којом другом акцијом корисника. Тренутна ситуација је веома лоша и вероватно ће проћи још пуно времена док се ситуација не стабилизује и даље ширење напада заустави.

Могу ли наша решења Deep Secure’s Content Threat Removal (CTR), AlienVault Unified Security Management (USM), Towers Net Defender (TND),  да се користe за детекцију и заштиту система рањивих на МS17-010?

*Deep Secure’s Content Threat Removal (CTR)
Microsoft  je 11. Априла објавио да је издао најновију закрпу која решава рањивост у оперативном систему и у његовом пакету Office.  У односу на криминалце то је већ претпостаљало кашњење од најмање неколико недеља што им је сигурно омогућило да стекну контролу над рањивим системима.
Срећом, наша платформа Content Threat Removal (CTR) у пракси функционише ефикасно и против тзв Напада нултог дана (Zero Day) и која омугућује свим корисницима да на миру раде своје послове без потребе за бригом да ли су ажурирали регистре оперативног система или преузели најновију закрпу. Систем рада платформе је такав да практично прекида долазну комуникацију, врши дубинску проверу, одбацује непотребан и сумњив садржај те у завршној фази потпуно обнови oригинални саобраћај али без било каквог штетног садржаја. Закључак је да ова наша платформа без проблема зауставља WannaCry и све друге врсте рансомвeра.

*AlienVault USM Anywhere и USM Appliance
Са апсолутном сигурношћу детектује ову врсту напада. USM Anywhere и USM Appliance имају уграђене технике да открију ову рањивост на системима клијената. Клијенти могу покренути скенирање својих система за процену и идентификацију  оних који су потенцијално угрожени. Препоручујемо да наши клијенти покрену скенирање одмах да би идентификовали рањиве системе и применили закрпу. Уколико се то не уради могли би брзо и лако да буду компромитовани и угрожени од WannaCry рансомвeр варијанте.
Може ли AlienVault да се користити за детекцију напада који користе MS17-010 рањивости?
Апсолутно. AlienVault Labs безбедносни истраживачки тим је објавио ажуриране интелигентне податке о претњи за USM Anywhere и USM Appliance за откривање експлоатације рањивости. Ако је откривено да је систем експлоатисан, аларм ће се генерисати тако да AlienVault безбедносни аналитичар може одмах уклонити систем са мреже и решити проблем.
Клијенти који користе USM Anywhere, такође имају додатну корист од уграђене способности оркестрираног одговора који нуди Forensics and Response AlienApp. Преко ове апликације, ако је систем заражен, корисник може одмах да предузме акцију којом изолује или на други начин искључује заражени систем да би спречио исти да даље напада и инфицира друге системе на мрежи. То није нешто што традиционални SIEM може да уради. То је моћ унифициране безбедности и оркестриране акције!
Шта USM корисници треба да ураде?
USM Anywhere корисници су аутоматски ажурирани и заштићени. Не постоји ништа што треба да ураде, осим можда да покрену скенирање рањивости на својим системима.
USM Appliance клијенти треба да ажурирају обавештајне податке о претњама на свом систему да би добили најновије потписе, тако да њихова USM апликација може открити рањивост и претње. У блиској будућности, када се објави USM Appliance v5.4, биће доступна опција да се то уради аутоматски, чиме се штеди време клијентима и спречава потенцијална празнина у безбедносној покривености. Али, још увек нисмо сасвим стигли до те тачке. Дакле, мануелно ажурирање је потребно.

*Towers Net Defender (TND)
ТНД, најсавременији  систем за детекцију и превенцију  напада  са  интегрисаном заштитом веб апликација надгледа и анализира све лог датотеке на улазу у систем у реалном времену. Удањени ТНД сервер располаже у реалном времену ажурном базом података свих познатих напада те је врло брзо након појаве WannaCry рансомвера синхронизовано ажурурао базу својих сервера тако да немамо податак да је било који систем штићен помоћу ТНД-а успешно нападнут и експлоатисан од стране нападача. Сваки напад овим малвером ТНД успешно детектује на брањеном порту и штити систем од даље екплоатације малвером.

*Општа препорука администраторима:
Како наведни малвер има могућност да снажно скенира ТЦП порт 445 (Server Message Block/SMB) понашајући се као црв те на тај начин компромитује систем и кодира све фајлове на истом,  препорука је да се провери статус ажурности Windows решења те да администратори блокирају СМБ портове 139 и 445 до даљег.

Ваш Towers Net тим

У Београду 15.05.2017. године