攔阻/截擊 WCRY (WannaCry)勒索病毒的指標

技術支援
解決方案編號 更新時間
1117402 2017/05/17 10:35 (PST)


對應產品 對應作業系統
Deep Discovery Inspector - All;Deep Security - All;OfficeScan - All;Worry-Free Business Security Advanced (原CSM for SMB) - All;Worry-Free Business Security Services for Dell - All;
Windows - All

問題描述

WCRY勒索病毒與其變種自2017/5/12起在全球大量肆虐,從大型、中小企業到個人,許多未更新修補程式的電腦皆受到此惡意程式的感染。同時,趨勢科技也在全球未受到此惡意程式攻擊的用戶環境中,歸納出成功防堵此波攻擊的可能原因:
  • 環境中的Windows作業系統已完成MS17-010安全性更新的安裝。
  • 環境中沒有任何主機/伺服器對外網開放SMB協定通訊埠。
  • 用戶在防火牆或路由器中封鎖了SMB協定通訊埠。
  • 所安裝資安防護的軟/硬體封鎖了該惡意程式。

 

若資安人員想知道環境中的防護軟體是否確實有效攔阻了WCRY勒索病毒,並進一步了解這隻病毒在何處被攔截,以下資訊可提供給資安人員作為後續的事件調查以及內部管理報告的參考。本文件將藉由查詢趨勢科技產品中的log紀錄檔,判別WCRY相關的惡意程式被偵測/攔阻的相關資訊。

解決方案

時間線:

在2017/5/12之前趨勢科技尚未採集到這隻勒索病毒相關的任何樣本,這隻病毒也不曾於網路上出現過。然而,此勒索病毒於初期進行傳播時,即使趨勢科技尚未採集到此樣本也尚未製作病毒碼,卻已經可以透過行為偵測(Behavior Monitor)、弱點攻擊特性(Exploit Targeting)以及預測性機器學習(Machine Learning)等技術成功偵測並進行攔阻。您可透過趨勢科技以下產品的Log紀錄檔,發現到WCRY以及類似的勒索病毒,在5/12之前就已經被成功偵測攔截的蛛絲馬跡。

它真的是WCRY/WannaCry嗎?

由於此惡意程式被不同的偵測技術偵測後所顯示的病毒名稱也會有所不同。例如在Log記錄中所看到違反MS17-010弱點偵測的紀錄,很可能就是因為偵測到WCRY的行為所致。(但是就算不是WCRY病毒,其他只要透過MS17-010弱點進行攻擊的惡意手法也會產生相同的違反紀錄。)同樣的,在OfficeScan與Worry-Free系列產品中的預測性機器學習功能所偵測到的Log,也不會顯示為WCRY。您可以透過比對檔案的hash值來確定該檔案是否為WCRY。

趨勢科技產品中WCRY相關的Log紀錄:

OfficeScan 與 Worry-Free 產品

 

功能偵測名稱
在5/12病毒碼更新前有開啟行為監控功能 [OfficeScan 11 SP1 與之後的版本, Worry-Free Services, Worry-Free Standard/Advanced 9.0 SP3之後的版本
未經授權的檔案加密行為 
Unauthorized file encryption
預測性機器學習 (勒索病毒皆顯示為類似格式)
[OfficeScan XG 與Worry-Free Services]
Ransom.Win32.TRX.XXPE
在5/12之後透過病毒碼偵測 [所有產品]
  • Ransom_WANA.A
  • Ransom_WCRY.B
  • Ransom_WCRY.C
  • Ransom_WCRY.H
  • Ransom_WCRY.I
  • Ransom_WCRY.J
  • Ransom_WCRY.K
  • Ransom_WCRY.L
  • Ransom_WCRY.DAM
  • Ransom_WCRY.F117D7
  • Ransom_WCRY.F117DB
  • Ransom_WCRY.F117E8
  • Ransom_WCRY.SM
  • Ransom_WCRY.SM1
  • Ransom_WCRY.SMB
  • WORM_WCRY.A

Deep Security

 

功能規則/病毒碼
相關於MS17-010弱點的IPS rules – 於2017/3/17生效
  • 1008224
  • 1008228
  • 1008225
  • 1008227
Anti-malware detection – 於2017/5/12病毒碼更新後生效
(Same as OfficeScan and 
Worry-Free pattern list above)

Deep Discorvery Inspector

 

功能規則
關於SMB通訊協定遠端執行程式碼
2383

TippingPoint

 

細節過濾
符合右方之一的filters即代表WCRY相關的惡意程式
  • 27433
  • 27928
  • 27711
  • 27928
  • 27929
  • 27937
  • 2176
  • 11403
  • 27935
  • 5614
  • 30623
  • 28304
  • 28305

Cloud Edge

 

細節規則
關於SMB 弱點
  • 1133615
  • 1133635
  • 1133636
  • 1133637
  • 1133638

其他參考:


評定這個解決方案
此解決方案是否能解決您的問題?

請提供您的寶貴意見,幫助我們改進這一解決方案。

 
  *注意! 此為諮詢百科收集建議使用, 系統不會提供任何回覆
 

 

透過以下社群網站聯絡我們