WannaCry 如何感染電腦?
WannaCry 使用 Shadow Brokers 洩漏出的弱點攻擊套件「EternalBlue」攻擊微軟的安全性弱點 CVE-2017-0144。雖然微軟在2017年3月已經針對此安全性弱點發布了MS17-010 修補程式,但是沒有安裝修補程式的電腦仍然很容易被感染。
WannaCry 的蠕蟲特性讓它可以在網路之間散佈,自動感染區域網路內連線的電腦。所以只要其中一台電腦遭到感染,整個網路環境都暴露於風險之中。
趨勢科技同時也密切注意類似的威脅(例如:Uiwix 勒索病毒及 Monero-Mining 惡意程式,兩者皆攻擊同一個微軟弱點 CVE-2017-0144),並會持續更新我們的偵測防禦狀況(例如:Ransom_UIWIX.A 與 TROJ_COINMINER.WN)。相關資訊請參閱 After WannaCry, UIWIX Ransomware and Monero-Mining Malware Follow Suit。
降低感染風險的步驟
執行最佳實作
- 安裝修補程式並且更新系統,或是考慮虛擬補丁的解決方案;
- 啟動防火牆、入侵偵測系統、入侵防禦系統;
- 主動監控進出的網路流量;
- 針對其他入侵點如 Email、網站部署安全防禦措施;
- 除了行為監控阻止系統內的異動外,也部署應用程式控管阻止可疑程式執行;
- 妥善分類資料並切割區域網路,以降低資料暴露受損的風險;
- 使用 GPO 或依照微軟說明停用 SMB (v1);
- 確保安裝所有修補程式,尤其是與 MS17-010 相關的修補程式(或是使用虛擬補丁解決方案);
趨勢科技產品與防護措施
趨勢科技建議您根據端點電腦、信件、伺服器、閘道、網路安全等等採用分層式防護以確保有效防禦各個潛在入侵點。在此基準上,我們已能針對這樣的新威脅事件提供某種程度的防護能力:
- 病毒碼:
趨勢科技已可偵測已知的病毒變種及元件,請確認您已更新病毒碼至下列版本:
- 雲端病毒碼 – 13.401.00
- 傳統掃瞄病毒碼 - 13.401.00
請時時保持病毒碼更新到最新版本以防病毒變種攻擊;
- 趨勢科技網頁信譽評等服務(Web Reputation Services,WRS)已加入已知的命令控制伺服器(Command and Control servers,C&C)。
- 趨勢科技 Deep Security 與 Vulnerability Protection 已釋出了防堵此漏洞的規則更新。建議客戶儘快下載並套用至最新的規則更新
- IPS Rules 1008224, 1008228, 1008225, 1008227 – 涵蓋 MS17-010 以及防護 Windows SMB 遠端程式碼執行弱點;
- 趨勢科技 Deep Discovery Inspector 客戶請確認已更新以下規則並監控是否偵測 C&C 連線
- DDI Rule 2383: CVE-2017-0144 – Remote Code Execution – SMB (Request)
- 趨勢科技 TippingPoint 客戶請確認已更新以下規則
- Filters 5614, 27433, 27711, 27935, 27928 – 涵蓋 MS17-010 以及防護 Windows SMB 遠端程式碼執行弱點;
- ThreatDV Filter 30623 - 降低對外的 C2 通訊;
- Policy Filter 11403 - 提供針對 SMB 的額外防護;
- Trend Micro Endpoint Application Control (EAC) 管理員利用此產品的「Lockdown」模式,僅經過預先設定的應用程式方能執行運作,可保護使用者避免此勒索病毒攻擊。
- Trend Micro Cloud Edge 下列規則可保護使用者防禦此勒索病毒:
- Rule 1133615: SMB Microsoft Windows SMB Server SMBv1 CVE-2017-0145 Buffer Overflow (CVE-2017-0145)
- Rule 1133635: SMB Microsoft MS17-010 SMB Remote Code Execution -1
- Rule 1133636: SMB Microsoft MS17-010 SMB Remote Code Execution -2
- Rule 1133637: SMB Microsoft MS17-010 SMB Remote Code Execution -3
- Rule 1133638: SMB Microsoft MS17-010 SMB Remote Code Execution -4
- Trend Micro Home Network Security 下列規則可保護使用者防禦此勒索病毒:
- Rule 1133635: SMB Microsoft MS17-010 SMB Remote Code Execution -1
- Rule 1133636: SMB Microsoft MS17-010 SMB Remote Code Execution -2
參考資料
專家分析文章
技術資訊
第三方資訊
趨勢科技強烈建議,請務必儘速套用軟體廠商釋出的重大修補更新。若客戶和合作夥伴們需要進一步的資訊或是有任何方面的疑問,請洽您的授權趨勢科技技術支援代表以尋求進一步協助。
透過以下社群網站聯絡我們
| |