CẢNH BÁO VỀ MÃ ĐỘC WANNACRY

canh-bao-ma-doc

Kính gửi: Quý khách hàng,

Trước nguy cơ WannaCry đang gia tăng như hiện nay, VNCS xin đưa ra một số khuyến nghị sử dụng các giải pháp do VNCS phân phối để phát hiện và ngăn chặn Ransomware như sau:

Nếu quý vị đang sử dụng hệ thống giam sát an ninh mạng Splunk

Để tìm kiếm các máy bị nhiễm:

  • Sử dụng search box để tìm theo các keyword là địa chỉ IP hoặc domain của C&C server. Ví dụ: cwwnhwhlz52ma.onion hoặc 128.31.0.39.

Bất kỳ máy nào kết nối nào đến những IP hoặc domain này là những máy đã bị nhiễm

  • Sử dụng search box để tìm theo các keyword là địa chỉ IP hoặc domain của C&C server.

Giao tiếp sử dụng giao thức SMB v1 (TCP/139, TCP/445)

Bất kỳ máy nào thực hiện Scan các port này nhiều khả năng là các máy đã bị nhiễm ransomware

Nhiều cách phát hiện khác nữa sử dụng Splunk được đề cập tại đây:

https://www.splunk.com/blog/2017/05/13/steering-clear-of-the-wannacry-or-wanna-decryptor-ransomware-attack.html?linkId=37554162

Nếu quý vị đang sử dụng hệ thống giám sát lỗ hổng Tenable

  1. Tìm kiếm máy bị nhiễm:
  2. Kiểm tra các truy vấn DNS để xác định các máy trong mạng có liên lạc với domain điều khiển

Trên Dashboard sử dụng tính năng Event Analysis và lọc theo các thông tin:

Type: dns

Syslog Text: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea

Timeframe: Last 7 Days

a. Kiểm tra phát hiện các máy đang thực hiện scan port 445

Trên Dashboard sử dụng tính năng Event Analysis và lọc theo các thông tin:

Destination Port = 445

Timeframe = Last 7 Days

b. Sau khi đã làm sạch các máy bị nhiễm, sử dụng Nessus để scan xem còn máy nào trên mạng bị lỗ hổng MS17-010 và tiến hành vá

Tham khảo thêm hướng dẫn chi tiết của Tenable tại:

http://www.tenable.com/blog/wannacry-three-actions-you-can-take-right-now-to-prevent-ransomware

Nếu quý vị đang sử dụng tường lửa thế hệ mới Watchguard

Đối với khách hàng đang sử dụng Watchguard, cả hai module Gateway AntiVirus và APT Blocker đều có khả năng phát hiện và block giao tiếp của ransomware. Các biến thế tiếp theo của ransomware cũng ó thể được detect thông qua APT Blocke’s sandbox , Module IPS cũng có thể phát hiện và ngăn chặn việc khai thác lỗ hổng MS17-010.

Chi tiết thông tin có thể tham khảo thêm ở đây:

http://watchguardsupport.force.com/publicKB?type=KBSecurityIssues&SFDCID=kA62A0000000Ks7SAE&lang=en_US

Lưu ý: Hiện nay xuất hiện nhiều biến thể mới của Wana Cry, các biện pháp phát hiện theo IP và domain có thể không hữu hiệu nữa, VNCS Khuyến cáo thực hiện một số hành động sau:

  1. Backup các dữ liệu quan trọng và lưu trữ ra ổ cứng ngoài (hoặc trên cloud)
  2. Disable giao thức SMB nếu không cần thiết sử dụng, Hoặc dùng firewall chặn port 139,445
  3. Download bản vá cho MS17-010 và cập nhật vào hệ thống
  4. Thường xuyên cập nhật Window Defender và các phần mềm AV

Quý khách hàng có thể tham khảo thêm các sản phẩm của VNCS trên trang chủ của chúng tôi.

Trân trọng!