НОВОСТИ

WannaCry - анализ и рекомендации от ISSP

Дата публикации: 16.05.2017 13:00 | Категория: Новость | Источник: http://issp.ua

WannaCry – это ransomware, который использует уязвимость в программных продуктах компании Microsoft. Ключевая особенность WannaCry - способность молниеносно распространяться по сети. Поразив всего одну цель, он «прочесывает» сеть и ищет незащищенные устройства со скоростью 50 000 000 IP-адресов в минуту. При наличии данной уязвимости в ИТ-инфраструктуре компании, достаточно лишь одному пользователю ошибочно запустить зловредное ПО для массового шифрования данных на компьютерах в организации.

Проведя анализ WannaCry, специалисты ISSP Labs обнаружили, что зловредное ПО устанавливает TOR клиент и его дальнейшие коммуникации осуществляются через цепочки выходных узлов сети TOR.

Лаборатория ISSP с 2016 года изучает активность выходных узлов сети ТОR, так как хакеры часто прячут центры управления именно в ней. Мы формируем поведенческие маски посредствам кросс-аналитики активности выходных узлов анонимной сети TOR и фиксации кибератак происходящих в Мире. Поэтому, любое соединение с TOR-сетью со стороны наших клиентов, моментально обнаруживается Центром Мониторинга (ISSP SOC).


Рекомендации от экспертов лаборатории ISSP:


- Удостоверится в наличии установленного обновления MS17-010

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

- Для неподдерживаемых систем, таких как Windows XP, установить выпущенное Microsoft обновление

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

- Проводить мониторинг появления новых сервисов и процессов. Появление сервиса «mssecsvc2.0» («Microsoft Security Center (2.0) Service»), процессов «tasksche.exe», «@WanaDecryptor@.exe» - является индикатором заражения

- Без необходимости не разрешать подключения к портам 445 и 139 рабочих станций из внешних сетей. В случае если в компании не используется протокол SMB версии 1 желательно отключить его поддержку

- Для предотвращения заражения можно создать в системе мютексы с именами «Global\MsWinZonesCacheCounterMutexA0» «Global\MsWinZonesCacheCounterMutexW», тогда образец не будет производить шифрование файлов. 

 

Детали атаки и индикаторы компрометации по ссылке. 


СЛЕДУЮЩИЕ ШАГИ

Отправить запрос

ПОДПИСАТЬСЯ НА РАССЫЛКУ

Для подписки на новостной бюллетень
укажите адрес электронной почты