Digitalna disrupcija - specijalno izdanje Internet ogledala DIGITALNA DISRUPCIJA PDF | Page 29
C
heck Pointov tim za odgo-
vor na incidente je još 12.
maja počeo da prati širenje
epidemije WannaCryptor ransom-
vera. Imali su izveštaje da više glo-
balnih organizacija doživljava na-
pad ransomvera širokih razmera
koji koristi SMB za širenje unutar
njihovih mreža. Da bi stvari bile
komplikovanije, postojalo je više
različitih kampanja, pa je identi-
fikovanje specifičnih vektora infek-
cije bilo problem. Recimo, oni su
identifikovali određene vektore za
više ransomver kampanja koje su se
dešavale samo u toku 24-48 sati.
Vektor infekcije može da se pred-
stavi na više načina:
1. WannaCryptor –Direktna in-
fekcija koja koristi SMB kao metod
isporuke – identifikovano je više
primera uključujući imitacije i vari-
jante. Svi testirani uzorci su otkriveni
i blokirani uz pomoć SandBlast Anti-
Ransomwarea i/ili Emulatora pretnji
2. Neprijateljski linkovi unutar emaila
3. Neprijateljski atačmenti koji
sadrže neprijateljske linkove unutar
PDF-a
4. Neprijateljski atačmenti koji su
zip fajl sa enkriptovanom lozinkom
koji sadrži PDF koji počinje lanac in-
fekcije
5. Brutalni login napadi na RDP
servere koji onda postavljaju ran-
somver
WannaCry napad
WannaCry implementira neko-
liko naprednih malver tehnika. Na
primer, on nastoji da izbegne sand-
box detekciju razdvajanjem na ne-
postojeću DNS adresu. Takođe
iskorišćava i enkriptuje svoje ko-
mandne i kontrolne komunikacije
koristeći TOR. Neki uzorci koje su
analizirali CheckPointovi stručnjaci
koriste ikone koje liče na Excelovu,
pretvarajući se da su bezopasan
Excel fajl.
WannaCry može da prodre preko
veba ili mejla, ili čak direktno preko
računara sa SMB konekcijom ot-
vorenom ka internetu. Kada inici-
jalna penetracija bude uspešna on
se širi bočno koristeći ranjivosti u
nepečovanom Windows SMB-u.
Check Point zaštita
Check Point nudi sledeće zaštite
od WannaCryptora:
• Mrežne zaštite (SandBlast)
- Ekstrakciju pretnji i emulaci-
ju pretnji (Threat Extraction i Threat
Emulation)
- Anti-Bot/Anti Virus
• Endpoint zaštite (SandBlast Agent)
- Antiransomware
- Ekstrakcija i emulacija pretnji
- Anti-Bot/Anti Virus
- Anti-Malware
• IPS zaštite (neće raditi u flet mreži)
- Microsoft Windows EternalBlue
SMB Remote Code Execution https://
www.checkpoint.com/defense/adviso-
ries/public/2017/cpai-2017-0332.html
- Microsoft Windows SMB Remote
Code Execution (MS17-010: CVE-
2017-0143) https://www.check-
point.com/defense/advisories/pub-
lic/2017/cpai-2017-0177.html
- Microsoft Windows SMB Remote
Code Execution (MS17-010: CVE-
2017-0144) https://www.check-
point.com/defense/advisories/pub-
lic/2017/cpai-2017-0198.html
Internet ogledalo Business & Technologies Magazine :: Specijalno izdanje - Digitalna disrupcija