查看: 21372|回复: 172
收起左侧

[讨论] 转个帖,给大家压压惊,WannaCry 勒索病毒预警【看IPS防御】无聊来个双击玩SONAR

  [复制链接]
驭龙
发表于 2017-5-14 10:20:48 | 显示全部楼层 |阅读模式
本帖最后由 驭龙 于 2017-5-14 16:44 编辑

国外区的测试,大家看过以后,会不会担心诺顿无法防御这次的wanna呢?事实上不必担心的,毕竟SONAR断网就无法发挥全部效果了,更重要的是Symantec的IPS可阻断wanna的入侵,进不来的话,何谈加密?官方在昨天(13日凌晨)深夜就已经发文了,只是我没有转发,今天来转发给大家压压惊。

PS:这次用诺顿的有中毒的吗?

官方原文中文版:

2017年5月12日,一种新的已比特币赎金的方式。勒索病毒“Ransom.CryptXXX (WannaCry)开始广泛传播,影响了大量的企业用户,特别是在欧洲。
WannaCry是什么样勒索?
WannaCry用已加密数据文件,并要求用户支付$300赎金比特币。赎金明确说明指出,支付金额将三天后增加一倍。如果付款在七天后,加密的文件将被删除。
勒索信息截图(中文) 勒索信息截图(英文)
        同时下载一个文件为“!Plesae Read Me!.txt”其中文本解释发生了什么,以及如何支付赎金
同时WannaCry 加密文件具有以下扩展名,并将.WCRY 到添加到文件名的结尾:
• .lay6
        • .sqlite3
        • .sqlitedb
        • .accdb
        • .java
        • .class
        • .mpeg
        • .djvu
        • .tiff
        • .backup
        • .vmdk
        • .sldm
        • .sldx
        • .potm
        • .potx
        • .ppam
        • .ppsx
        • .ppsm
        • .pptm
        • .xltm
        • .xltx
        • .xlsb
        • .xlsm
        • .dotx
        • .dotm
        • .docm
        • .docb
        • .jpeg
        • .onetoc2
        • .vsdx
        • .pptx
        • .xlsx
        • .docx
此勒索软件的传播是利用微软已知SMBv2 中的远程代码执行漏洞:MS17-010
使用Symantec 防护软件否得到保护,免受威胁?
使用了赛门铁克和诺顿的客户已经检测WannaCry 并实施有效的保护。以下检测病毒和漏洞
        n 病毒
        l Ransom.CryptXXX
        l Trojan.Gen.8!Cloud
        l Trojan.Gen.2
        l Ransom.Wannacry
        n 入侵防御系统
        l 21179(OS 攻击:的Microsoft Windows SMB 远程执行代码3)
        l 23737(攻击:下载的Shellcode 活动)
        l 30018(OS 攻击:MSRPC 远程管理接口绑定)
        l 23624(OS 攻击:的Microsoft Windows SMB 远程执行代码2)
        l 23862(OS 攻击:的Microsoft Windows SMB 远程执行代码)
        l 30010(OS 攻击:的Microsoft Windows SMB RCE CVE-2017-0144)
        l 22534(系统感染:恶意下载活动9)
        l 23875(OS 攻击:微软SMB MS17-010 披露尝试)
        l 29064(系统感染:Ransom.Ransom32 活动)
        企业用户应确保安装了最新的Windows 安全更新程序,尤其是MS17-010,以防止其扩散。
谁受到影响?
        全球有许多组织受到影响,其中大多数在欧洲。
这是否是针对性的攻击?
        不,在这时期并不能确认是有针对性的攻击。勒索战役通常是不分青红皂白的。
为什么造成了企业用户如此多的问题?
        WannaCry 在企业网络内具有自传播功能,而无需用户交互,利用微软的Windows 已知的安全漏洞。
        如果没有最新的Windows 安全更新的计算机都将具有感染的风险。
我可以恢复加密的文件?
        解密现在还没有,但赛门铁克正在进行调查。赛门铁克不建议支付赎金。在可能的况下,已加密的文件
        应该从备份中恢复。
什么是保护免受勒索软件的最佳实践?
        • 新的变种勒索会不定期出现。始终保持安全软件是最新的,以保护自己免受危害。
        • 保持操作系统和其他软件更新。软件更新经常包括可能被勒索攻击者利用新发现的安全漏洞补
        丁。这些漏洞可能被勒索攻击者利用。
        • 电子邮件是主要传染方式之一。警惕意料之外的电子邮件,特别是如果它们包含的链接和/或附
        件。
        • 要特别谨慎,建议用户启用宏以查看其内容任何Microsoft Office 的电子邮件附件。除非你有绝
        对的把握,这是来自可靠来源的一个真正的电子邮件,如果不启用宏,请立即删除来源不明电子
        邮件。
• 备份重要数据是打击勒索攻击最有效方法。攻击者通过加密有价值的文件并使其无法访问,从而
        向被勒索折施加影响。如果被勒索者有备份副本,一旦感染被清理干净,我们就可以恢复我们文
        件。但是,企业组织应该确保备份被适当地保护或存储在离线状态,以便攻击者不能删除它们。
        • 使用云服务可以帮助减轻勒索病毒的感染,因为许多文件保留了以前版本的文件,允许用户“回
        滚”到未加密的文件。
我们建议
        针对 Symantec Endpoint Protection 用户
        Ø 对于只安装SEP 基本防病毒模块的用户请加装ips 和应用程序模块这两个模块不会加重系
        统负载,但能有效防御新的威胁。
        Ø HIPS 可以有效屏蔽网络上的恶意攻击,比如利用tcp 445 ms2017-010 漏洞的入侵
        Ø 通过sep 的应用程序控制模块的黑白名单功能,不依赖病毒库,直接把可疑程序加入黑
        名单禁止运行
        Ø 通过SEP 自带防火墙的功能,直接禁止445 端口的入站请求,防止扩散。
        Ø 请更新定义库至 AV: 5/12/2017 rev. 9,IPS: 5/12/2017 rev.11。
技术支援
        如有其他问题,请与我们技术支援中心联络。
        中国: 800 810 3992 或 400 810 9771
        香港: 852 3071 4616
        台湾: 0080 1861 032

评分

参与人数 2分享 +2 人气 +1 收起 理由
VUN + 1 感谢解答: )
屁颠屁颠 + 2 版区有你更精彩: )

查看全部评分

驭龙
 楼主| 发表于 2017-5-14 16:43:35 | 显示全部楼层
玩一下双击,Windows 7 X32系统,NS 22.8 SONAR 11版本引擎 SDS特征库是1月24日的

测试方法为断网双击,确实是被过,文件被加密,不过文件加密以后重新联网,NS开始发威。

各种杀
QQ拼音截图20170514162628.jpg

各种回滚
QQ拼音截图20170514162649.jpg

QQ拼音截图20170514162730.jpg

SONAR各种杀
QQ拼音截图20170514162804.jpg

QQ拼音截图20170514162829.jpg

SDS特征库日期。
QQ拼音截图20170514163129.jpg

其中还出现过C杀和Reputation 1杀,但文件还是被加密,没有被回滚。

也就是说完全断网的环境中NS无法防御这个威胁,只要联网,中招的可能性微乎其微,因为从SONAR的报毒名看并不是与云库联动的报法

看来NS的SONAR断网真的会GG了,如果网络不稳定,不推荐使用NS
驭龙
 楼主| 发表于 2017-5-15 13:47:25 | 显示全部楼层
jefffire 发表于 2017-5-15 12:05
12号之前的IPS特征库 翻了一遍 没找到相关漏洞特征入库的信息。

姐夫,你看东西不仔细哟,5月2日的IPS就已经拦截永恒之蓝了
QQ拼音截图20170515134435.jpg
https://www.symantec.com/securit ... -SU134-20170502.021

官方说的其他IPS特征码,我就不继续了,反正这个就足够了

评分

参与人数 1人气 +1 收起 理由
jefffire + 1 感谢解答: )

查看全部评分

驭龙
 楼主| 发表于 2017-5-18 08:11:08 | 显示全部楼层
利用MS17-10的攻击好多啊,但是有IPS在,毫无压力,IPS已阻止这类MS17-10的攻击四千四百万攻击
Low prevalence
Due to the effectiveness of IPS in proactively blocking infections, Symantec is observing low infections of Adylkuzz. Symantec has blocked over 44 million attempts to exploit MS17-10 and observed fewer than 200 machines with Adylkuzz infections.
Protection Details
Network-based protection
Symantec has the following IPS protection in place to block attempts to exploit the MS17-010 vulnerability:
OS Attack: Microsoft SMB MS17-010 Disclosure Attempt (released May 2, 2017)
Attack: Shellcode Download Activity (released April 24, 2017)
pal家族
发表于 2017-5-14 10:24:00 | 显示全部楼层
毛子12号中午也有blog

貌似所谓率先防御的某些几个,都是后知后觉的。
驭龙
 楼主| 发表于 2017-5-14 10:27:52 | 显示全部楼层
pal家族 发表于 2017-5-14 10:24
毛子12号中午也有blog

貌似所谓率先防御的某些几个,都是后知后觉的。

那些就不要说了,哈

刚刚官方英文版也更新了,看针对这货,IPS和SONAR也调整最新对策了
Am I protected against this threat?
The Blue Coat Global Intelligence Network (GIN) provides automatic detection to all enabled products for web-based infection attempts.
Symantec and Norton customers are protected against WannaCry using a combination of technologies.
Antivirus
Customers should run LiveUpdate and verify that they have the following definition versions or later installed in order to ensure they have the most up-to-date protection:
  • 20170512.009
SONAR protection
Network based protection
Symantec also has the following IPS protection in place which has proven highly effective in proactively blocking attempts to exploit the MS17-010 vulnerability:
The following IPS signature also blocks activity related to Ransom.Wannacry:
Organizations should also ensure that they have the latest Windows security updates installed, in particular MS17-010 to prevent spreading.

pal家族
发表于 2017-5-14 10:29:39 | 显示全部楼层
驭龙 发表于 2017-5-14 10:27
那些就不要说了,哈

刚刚官方英文版也更新了,看针对这货,IPS和SONAR也调整最新对策了

不怎么会说话的永远是最老老实实干事情的。
发微博和头条的,都是XX
驭龙
 楼主| 发表于 2017-5-14 10:32:08 | 显示全部楼层
pal家族 发表于 2017-5-14 10:29
不怎么会说话的永远是最老老实实干事情的。
发微博和头条的,都是XX

说到不怎么说话的,让我想到DrWeb了,什么都没有发,似乎根本不尿wanna这货
pal家族
发表于 2017-5-14 10:33:21 | 显示全部楼层
驭龙 发表于 2017-5-14 10:32
说到不怎么说话的,让我想到DrWeb了,什么都没有发,似乎根本不尿wanna这货

DrWeb向来不说话,真的很没有存在感啊~
驭龙
 楼主| 发表于 2017-5-14 10:37:09 | 显示全部楼层
pal家族 发表于 2017-5-14 10:33
DrWeb向来不说话,真的很没有存在感啊~

毕竟人家去年的特征库都杀这个样本了,DPH都没有出手
超超~.~
发表于 2017-5-14 10:38:49 | 显示全部楼层
刚换回NS,第一次这么近,好激动
zongk
头像被屏蔽
发表于 2017-5-14 10:42:22 | 显示全部楼层
"ips 和应用程序模块“就是入侵防护 和  应用程序与设备控制  吧,默认安装sep是不是就有
驭龙
 楼主| 发表于 2017-5-14 10:44:22 | 显示全部楼层
zongk 发表于 2017-5-14 10:42
"ips 和应用程序模块“就是入侵防护 和  应用程序与设备控制  吧,默认安装sep是不是就有

IPS就可以防御,Symantec产品默认开启的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-8-19 03:56 , Processed in 0.102209 second(s), 8 queries , MemCache On.

快速回复 返回顶部 返回列表