WannaCry og sårbarheten EternalBlue

By mai 15, 2017 Uncategorized
threatmapping

Ransomware og ormer

Vi har det siste året brukt mye tid til å snakke om og advare om at de forekomstene av Ransomware som vi har sett opp til nå er for ingen ting å regne sammenlignet med det som skjer når Ransomware får orm-funksjonalitet. Over helgen har man virkelig sett effekten av dette når det første store utbruddet av ransomware med orm-funksjonalitet har dukket opp med navnet WannaCrypt, WanaCrypt0r eller WCry. (Kjært barn har mange navn). Her er noen linjer om hva dette egentlig er og hva vi anbefaler av tiltak.

WCry bruker en sårbarhet kjent som EternalBlue. Denne ser ut som å stamme fra nylig lekkede NSA dokumenter(Shadow Brokers). Maskiner fra XP og opp til Server 2012 er sårbare. Virusskriverne har klart å kombinere EternalBlue sårbarheten med en selv-replikerende payload som gjør at WCry kan spre seg som en orm via nettverksfildelingsprotokollen SMB. WCry kan spre seg som en orm fra en maskin til en annen i et nettverk uten brukerens interaksjon.
Ransomware følger utviklingstrekkene til andre typer virus, og det er hevet over tvil at nye crypto-ormer vil dukke opp i hopetall. Versjon 2.0 av WCry ble oppdaget allerede i går, 13. mai, så her er det bare å ta de forholdsregler man kan. Her er Core Services sine anbefalinger for å beskytte seg:

Ta grep for å begrense bedriftens angrepsflate

State-of-the-Art mailfilterløsning

Alle kunder burde kjøre en mailfilterløsning. ProofPoint sender ukjente og suspekte vedlegg og URL'er til analyse i deres skybaserte sandbox. WCry sitt brohode i bedriftens nettverk skjer ved at brukere klikker på vedlegg og URL'er de ikke burde. Det er slik tradisjonell Ransomware har spredd seg til nå. Dette er mulig å stanse.

Next Generation sikkerhetsplattform

Vi tilbyr i samarbeid med Palo Alto Networks, Next Gen. sikkerhetsplattform som beskytter nettverket på følgende måter:
Wildfire klassifiserer alle kjente forekomster av WCry og blokkerer skadelig innhold fra å bli levert til brukeren
Threat Prevention påtvinger IPS signaturer for EternalBlue (CVE 2017-0144-MS17-010)
URL filtrering vil monitorere skadelige URL`er og beskytte mot disse.
DNS Sinkholing kan bli brukt til å identifisere infiserte maskiner i nettverket
Global Protect forlenger sikkerhetsmekanismene Wildfire og Threat Prevention til brukere som er på VPN

Next Generation endepunktsikkerhetsløsning

Ved å ha en Next Gen. endepunktsikkerhetsløsning installert som f.eks. Palo Alto Traps vil man forhindre at WannaCry får kjørt på maskinene uten en signatur for det spesifikke viruset (Exploit prevention).

Velfungerende backup-løsning

Ha en velfungerende backup-løsning installert, og test ofte at re-store lar seg gjøre enkelt. Husk at en backup server som står i nettverket også kan tas over og krypteres av WCry. Vi kan bistå deg med dette.

Patching, patching, patching!

Til sist kommer det mest akutte tiltaket; patching! Finn ut hvilke maskiner som mangler MS 17-010 og MS 16-114 og se å få oppdatert disse så fort det lar seg gjøre. Men vær obs på at en maskin som er oppdatert med disse patchene, som gjelder SMB-tjenesten, fortsatt kan infiseres av WCry hvis brukeren klikker på skadelig link eller vedlegg. Men "orm-spredning" vil da være forhindret for denne gang.

Vi minner om at Iloveyou-ormen som dukket opp tilbake i år 2000 spredde seg til et titalls millioner maskiner. Payload`en vi ser nå med Crypto-ormer er selvsagt langt mer alvorlig enn den gang da. Vi oppfordrer alle til å ta forholdsregler som best de kan. Ikke nøl med å ta kontakt med Core Services dersom din bedrift trenger bistand eller løsninger.

Trenger du bistand på dette området?
Stian er vår mann på sikkerhet. Han kan kontaktes direkte på:

stian-at-coreservices.no
416 70 850

Ønsker du bistand med sikkerhet?

[contact-form-7 404 "Not Found"]