Digitalna disrupcija - specijalno izdanje GM Business & Lifestyle GM DIGITALNA DISRUPCIJA PDF - Page 29

C heck Pointov tim za odgo- vor na incidente je još 12. maja počeo da prati širenje epidemije WannaCryptor ransom- vera. Imali su izveštaje da više glo- balnih organizacija doživljava na- pad ransomvera širokih razmera koji koristi SMB za širenje unutar njihovih mreža. Da bi stvari bile komplikovanije, postojalo je više različitih kampanja, pa je identi- fikovanje specifičnih vektora infek- cije bilo problem. Recimo, oni su identifikovali određene vektore za više ransomver kampanja koje su se dešavale samo u toku 24-48 sati. Vektor infekcije može da se pred- stavi na više načina: 1. WannaCryptor –Direktna in- fekcija koja koristi SMB kao metod isporuke – identifikovano je više primera uključujući imitacije i vari- jante. Svi testirani uzorci su otkriveni i blokirani uz pomoć SandBlast Anti- Ransomwarea i/ili Emulatora pretnji 2. Neprijateljski linkovi unutar emaila 3. Neprijateljski atačmenti koji sadrže neprijateljske linkove unutar PDF-a 4. Neprijateljski atačmenti koji su zip fajl sa enkriptovanom lozinkom koji sadrži PDF koji počinje lanac in- fekcije 5. Brutalni login napadi na RDP servere koji onda postavljaju ran- somver WannaCry napad WannaCry implementira neko- liko naprednih malver tehnika. Na primer, on nastoji da izbegne sand- box detekciju razdvajanjem na ne- postojeću DNS adresu. Takođe iskorišćava i enkriptuje svoje ko- mandne i kontrolne komunikacije koristeći TOR. Neki uzorci koje su analizirali CheckPointovi stručnjaci koriste ikone koje liče na Excelovu, pretvarajući se da su bezopasan Excel fajl. WannaCry može da prodre preko veba ili mejla, ili čak direktno preko računara sa SMB konekcijom ot- vorenom ka internetu. Kada inici- jalna penetracija bude uspešna on se širi bočno koristeći ranjivosti u nepečovanom Windows SMB-u. Check Point zaštita Check Point nudi sledeće zaštite od WannaCryptora: • Mrežne zaštite (SandBlast) - Ekstrakciju pretnji i emulaci- ju pretnji (Threat Extraction i Threat Emulation) - Anti-Bot/Anti Virus • Endpoint zaštite (SandBlast Agent) - Antiransomware - Ekstrakcija i emulacija pretnji - Anti-Bot/Anti Virus - Anti-Malware • IPS zaštite (neće raditi u flet mreži) - Microsoft Windows EternalBlue SMB Remote Code Execution https:// www.checkpoint.com/defense/adviso- ries/public/2017/cpai-2017-0332.html - Microsoft Windows SMB Remote Code Execution (MS17-010: CVE- 2017-0143) https://www.check- point.com/defense/advisories/pub- lic/2017/cpai-2017-0177.html - Microsoft Windows SMB Remote Code Execution (MS17-010: CVE- 2017-0144) https://www.check- point.com/defense/advisories/pub- lic/2017/cpai-2017-0198.html Internet ogledalo Business & Technologies Magazine :: Specijalno izdanje - Digitalna disrupcija