品牌新訊-FireEye






關於「想哭」勒索蠕蟲,不論您是否為 FireEye 的用戶,均可以考慮底下的資訊


 

 

如果您是 FireEye 的用戶,那麼根據您所使用的產品,可以在攻擊發動的不同階段有不同著偵測與防禦

 

FireEye EX

  • 該攻擊是以 Email 中夾帶惡意連結,讓用戶下載惡意檔案開始,在這個階段, EX 能夠偵測並且攔截這個郵件,郵件中的夾檔會進入 FireEye 的 MVX 進行分析。
  • 郵件中若有 URLs 引導用戶去下載惡意軟體,那麼 MVX 也能夠模擬下載的動作,將檔案送至 MVX 進行分析,在這個階段應該會被攔截。
  • 請確定您使用 EX 在 Inline 模式,而非 BCC 模式。

 

FireEye HX

該惡意程式感染電腦時,會有各種的惡意行為,HX 能夠在這個階段攔截惡意程式,我們在Lab 中已經確定 HX 能夠攔阻程式的數個發作階段,並且記錄相關的特徵,包括 Registry, File MD5… 等等。

 

  • Exploit Guard (dependent on delivery mechanism)
  • AV Alerts if using Beta/Alpha BitDefender Integration
  • WMIC SHADOWCOPY DELETE (METHODOLOGY)
  • WANNACRY RANSOMWARE (FAMILY)

 

FireEye NX

該勒索軟體一樣有 C&C 的連線行為,以及相關的網路行為,該行為會觸發 NX 中的 call back 規則,您需要注意是否有 Trojan.SinkholeMalware、Trojan.SinkholeMalware(裡面的其中一個網域,我們已經判斷出在多個 WannaCry 樣本中使用了)

 目前這些收集到的資料,都在 DTI 裡面,也就是說相關的手法等等,都能夠透過 FireEye 的產品取得DTI 的 IOC 進行偵測與攔截。

須注意的是,這個惡意程式會利用 SMB 漏洞,試圖逕行橫向感染,您必須確定資料流能夠流經我們的設備 NX,或是有我們的設備HX。

 

此外,您也可以參考附件中的 iSight 報告,裡面有詳細的 IOC 訊息,非 FireEye 用戶也可以利用該訊息嘗試找出公司中是否有招受到攻擊,譬如從我們的情報中取出

  • Source IP Sender – 比對您的郵件日誌,或是郵件主機的連線日誌,看看是否有發信者從這些地方發信給貴公司。
  • MD5 – 如果貴公司有 Endpoint 設備,可以考慮檢測電腦中的 MD5 ,不過請注意, MD5 會跟著樣本不同而不同,不見得您會檢測得到。
  • URL – 如果您有 Content Filter 或是 Proxy 設備,可以考慮比對 URL 訊息,或是利用 DNS , Firewall log 比對 URL 的 domain (目前 iSight 中提供的是 URL 的網域而已)。
  • IP Address – 強烈建議您先將 IP 在 Firewall 中進行阻擋,或是您可以比對您的 Log 服務器中,查詢是否有電腦試圖往這些地方連線。
  • TOR – WannaCry 會利用 TOR 服務,試圖匿名加密通訊,您必須封鎖這些 TOR IPs. 或是檢測 Firewall Log 是否有對這些 TOR 試圖連線的電腦。
  • Related Executables – 如果您有監控 Process 的程式(像是 HX 一樣),請您監控報告中的兩個程式是否被驅動執行。
  • Registry Keys – WannaCry 會註冊該 Registry Key, 如果您有類似 HX 的工具,可以查詢企業中的電腦是否有電腦具有該 Registry Key。
  • Files Created – WannaCry 會產生相關的子檔案,您可以從報告中取出,並且根據檔名建立黑名單,或是進行查詢。
  • File Strings – 如果企業有能力查詢檔案名稱,則利用這個資訊對企業進行檔案的檢查。

 

一旦當您檢測出某電腦有問題時,應即刻處置該電腦。。

說明:iSight 是一個極度知名的情報系統服務,FireEye 在第一時間就針對該事件發佈了 iSight 的報告,iSight 中所使用的訊息,也會利用 DTI 分享給我們的用戶的設備

 

如果您有其他疑問,請您盡速與零壹科技FireEye產品聯絡窗口聯繫。

陳先生 : 02-26565822   michael.chen@zerone.com.tw



    馬上按讚,加入零壹科技粉絲頁