Статьи
Вредоносное ПО под названием WannaCry использует уязвимость MS17-010 (CVE‑2017‑0143,144,145,146,147,148) в системе обмена файлами Microsoft Windows. Первоначальное распространение происходило через электронную почту, но оно способно распространяться не только вертикально через письма, но и горизонтально, с заражённой системы на другие через SMB.
Распространение началось в пятницу, 12.05.2017, и продолжалось в течение всего уикенда, мобилизовав исследователей кибербезопасности — вредоносное ПО шифровало файлы на компьютерах и требовало выкуп.
Сообщается, что уязвимость была первоначально обнаружена в арсенале кибер‑оружия АНБ под названием Equation Group ETERNALBLUE и раскрыта группой Shadow Brokers. В марте 2017 года Microsoft выпустила обновление для устранения уязвимости.
После запуска вредоносное ПО выполняет следующие действия:
– Проверяет адрес killswitch; если он не задействован, продолжает распространение.
– Удаляет теневые копии и точки восстановления.
– Регистрируется под видами задач, кажущимися безобидными (tasksche.exe, mssecsvc.exe).
– Сканирует диск и получает полный доступ ко всем файлам.
– Шифрует более 100 типов файлов.
– Запускает сеть Tor и устанавливает связь с командным сервером (C&C).
– Показывает уведомления на экране о зашифрованных файлах и требует выкуп.
В продуктах Labris UTM реализована защита от этого ПО с помощью модулей anti-malware, IPS и web‑фильтрации.
Рекомендуемые меры для ИТ‑подразделений:
Краткосрочные меры:
1‑ По возможности закройте SMB-доступ (TCP 139, 445) между компьютерами во внутренней сети (ACL на маршрутизаторах/коммутаторах). Учтите, это блокирует сетевые шаринги.
2‑ Убедитесь, что системы фильтрации почты и web обновлены с актуальными базами.
3‑ Антивирусное ПО и решения для защиты на конечных точках (endpoint) должны быть обновлены. Ограничьте интернет‑доступ для устройств с устаревшими базами.
4‑ Установите все последние обновления Windows. Отключите и прекратите использование нелицензионных систем.
Ссылки на обновления по MS17‑010 и инструкциям.
5‑ Отключите SMBv1 на всех компьютерах.
6‑ На уровне сетевого шлюза блокируйте TCP 139, 445 и UDP 137‑138 как входящие, так и исходящие подключения.
7‑ Информируйте конечных пользователей об угрозе и попросите не открывать неожиданные письма.
8‑ Проверьте резервные копии. Дополните недостающие резервные копии для критически важных систем.
9‑ Изолируйте с заражёнными системой, выявленные по средствам шлюза или централизованного антивируса.
10‑ Сообщите в EGM подразделение по борьбе с киберпреступлениями и следуйте их указаниям.
11‑ Если у вас есть образец вредоноса, поделитесь им через security@labrisnetworks.com, ihbar@usom.gov.tr и virustotal.com.
Среднесрочные и долгосрочные меры:
12‑ Усильте инфраструктуру защиты от вредоносной почты.
13‑ Пересмотрите политику обновлений. Патч вышел 2 месяца назад.
14‑ Регулярно сканируйте сеть на уязвимости, чтобы не осталось непатченных систем.
15‑ Проверьте политику резервного копирования. Убедитесь, что бэкапы недоступны напрямую в сети. Новые варианты ransomware могут шифровать и бэкапы.
16‑ Повышайте осведомлённость пользователей о кибербезопасности.
17‑ Проанализируйте работу CERT, SOC, политику непрерывности бизнеса после инцидента: «Что сделали хорошо, что не сделали?» — усиливайте плюсы, исключайте минусы.
18‑ Спроектируйте сегментацию сети, чтобы локализовать распространение.
19‑ Не используйте устаревшие и непатченные ОС.
20‑ При необходимости рассмотрите использование Linux.
Связанные ссылки:
https://www.usom.gov.tr/tehdit/209.html
https://www.us-cert.gov/ncas/alerts/TA17-132A
https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
https://www.engadget.com/2017/04/15/microsoft-says-it-already-patched-several-shadow-brokers-nsa-l/
SON Статьи
