X

Напишите нам!

Я согласен на обработку моих персональных данных, в соответствии с условиями.
X

Стать партнером!

CAPTCHA
Я согласен на обработку моих персональных данных, в соответствии с условиями.
X

Запланировать бесплатное тестирование Palo Alto Networks

Важная информация: шифровальщик WannaCry

16 мая 2017

12 мая вредоносное ПО - шифровальщик WannaCry (также известный как WannaCryptor) нанесло ущерб сотням организаций в разных странах, в т.ч. в России. Вредоносное ПО зашифровывает персональные и критичные документы и файлы, и требует от жертвы выкуп размером ~ $300 USD в BitCoin для предоставления ключа расшифрования файлов.

Следует заметить, что решения Fortinet успешно блокируют эту атаку

 
1.FortiGate IPS блокирует эксплоит.
2.FortiSandbox выявляет вредоносное поведение.
3.Антивирус Fortinet выявляет Wannacry в различных вариантах.
4.Веб-фильтр FortiGuard классифицирует веб-сайты, к которым обращается Wannacry, как вредоносные (за исключением домена "kill switch"). 
5.Межсегментный сетевой экран (ISFW) FortiGate может остановить распространение вредоносного ПО.

Wannacry распространяется по принципу сетевого червя, за счёт активного опроса ПК в сети по протоколу SMBv1 и порту 445 с целью выявления ПК, подверженных уязвимости Backdoor.Double.Pulsar Если уязвимость присутствует на ПК-жертве, она используется для доставки и запуска образца вредоносного ПО. Если нет, используется менее результативный способ эксплуатации.

По этой причине, мы рекомендуем организациям временно (до обновления всех подверженных систем) заблокировать порт 445 от соединений извне, а также, при наличии технической возможности, использовать функциональность NGFW для полного блокирования протокола SMB.

Вредоносное ПО является модульным Это значит, что оно позволяет злоумышленнику получить административные привилегии на ПК-жертве, что в свою очередь может быть использовано для загрузки дополнительных модулей вредоносного ПО. В одном из случаев, расследованных Fortinet, вредоносное ПО использовало уязвимость CVE-2017-0144 для получения доступа к системе. После этого, был запущен загрузчик (dropper) для загрузки и запуска ПО шифровальщика.

Причиной этой уязвимости является переполнение буфера при разборе некорректно сформированного запроса Trans2 сервисом SMBv1. Успешная эксплуатация приводит к запуску кода в контексте приложения. Для эксплуатации не требуется аутентификация по SMB, именно это явилось основной причиной столь массового распространения Wannacry в локальных сетях.

Backdoor.Double.Pulsar

Если вредоносное ПО определяет, что в системе присутствует Backdoor.Double.Pulsar, оно пытается использовать его для загрузки и выполнения ПО шифровальщика. Что интересно, в некоторых проанализированных образцах присутствовал флаг для отключения DoublePulsar.

Вредоносное ПО загружается на ПК-жертву в виде зашифрованного ключом AES DLL файла. После запуска, вредоносное ПО создаёт файл “t.wry." и использует встроенный ключ AES для расшифрования DLL в буфер оперативной памяти, после расшифровки DLL загружается в родительский процесс - таким образом, расшифрованный DLL файл не сохраняется на диск. Это позволяет избежать детектирования некоторыми антивирусными решениями.

Шифровальщик ищет файлы 179 типов, для каждого файла генерируется ключ.

В субботу, 13 мая, исследователь в области ИБ обнаружил "kill switch" - способ дистанционно выключить вредоносное ПО. Это - DNS проверка и обращение к определенному домену, не зарегистрированному на тот момент. После регистрации, темп заражений сошел на нет, т.к. в большинстве новых случаем заражения вредоносное ПО детектировало доступность созданного домена.

Исходящий TOR

Вредоносное ПО загружает клиент сети анонимизации TOR и использует его для анонимной, зашифрованной коммуникации с серверами управления. Мы рекомендуем блокировать исходящий трафик TOR. Это легко реализовать на FotiGate посредством сигнатур AppControl.

Для настройки перейдите в security profiles -> application control и нажмите add signature в секции Application Overrides.



 Добавьте протокол Tor:



Теперь трафик Tor блокируется профилем.



Убедитесь, что профиль используется в релевантных правилах контроля доступа.

Входящий TOR

Несмотря на то что это не обязательно, также может быть предпринято блокирование трафика, исходящего из сети TOR. Входящий трафик из сети TOR не отличается от обычного Интернет трафика. Тем не менее, трафик исходит от "внешних" узлов TOR - exit nodes. Список известных exit nodes содержится и поддерживается в базе Fortinet Internet Service Database. Этот список может быть использован в правиле контроля доступа.