랜섬웨어 공격에 대처하는 데 도움이 됩니다

Microsoft는 원래 MS17-010 업데이트에 포함되지 않았던 Windows XP, Windows 8 및 일부 서버 플랫폼에 대한 패치를 방금 출시했습니다.

또한 원래의 "killswitch" 스위치를 사용하지 않는 새로운 WannaCry 변종도 확인했습니다. 연구원들은 이제 이 메커니즘이 실제로 탐지를 피하기 위해 GET 요청에 자동으로 응답하는 동적 분석 엔진을 우회하려는 시도라고 의심합니다.

원래 설명:

Wanna, WannaCry 또는 Wcr이라는{0}}자체 복제형 랜섬웨어가 전 세계의 컴퓨터를 파괴하고 있습니다. 초기 정보에 따르면 대부분의 회사에서 초기 확산은 주로 Necurs 봇넷의 이메일과 PDF 파일과 같은 전통적인 방법을 통해 이루어졌습니다. WannaCry는 첫 번째 환자부터 시작하여 SMBv1 지원 네트워크 전체에 빠르게 확산될 수 있다는 점에서 독특합니다.

이 SMBv1 비-인증 원격-코드-실행 도구는 "Shadow Broker" 조직에서 2017년 4월 14일에 출시되었습니다. 비공식적으로는 "Eternal Blue"라고 하며 Microsoft는 3월 14일 보안 게시판 MS17-010에서 이를 적극적으로 언급했습니다.

아래 공개된 "Eternal Blue" 예시를 살펴보고 이 랜섬웨어가 효율적으로 확산될 수 있는 이유를 이해해 보세요. 공격자의 어떠한 조치 없이도 취약한 기업에 확산될 수 있습니다.

Microsoft가 해당 패치(MS17-010)를 출시한 후에도 많은 사용자가 여전히 패치를 배포하지 않았습니다.

랜섬웨어에 대한 우려가 크지만, 주니퍼의 보안 솔루션을 채택한 고객들은 상대적으로 안심하고 환경을 보호받을 수 있습니다. WannaCry의 기능과 이를 방지하는 데 사용할 수 있는 도구를 검토해 보겠습니다.

첫째, 고급 SkyATP 클라우드 악성 코드 방지 솔루션을 배포한 고객은 여러 수준에서 보호받을 가능성이 높습니다.

SkyATP의 보안 및 지능형 정보 푸시 업데이트를 통해 사용자와 Necurs 봇넷 간의 통신이 자동으로 잘립니다. 내부 액세스는 Juniper의 SRX 방화벽에 의해 삭제될 수 있습니다.

위의 네트워크-기반 보안 정보를 사용하여 업데이트 보호를 실행하지 않는 경우 SkyATP의-멀웨어 방지 기능은 강력한 다중 세그먼트 감지 파이프라인(서명-기반 감지, 기계 학습 정적 분석 및 샌드박스-기반 사기 동적 분석 메커니즘 포함)을 통해 WannaCry를 식별할 수 있습니다. 지금까지(5월 12일) 우리는 24개의 독립적인 사례를 분석했으며, 모두 30초 이내에 식별되고 포착되었습니다.

위의 구현 메커니즘을 기반으로 SkyATP가 파일의 초기 다운로드를 차단하지 않더라도 SkyATP가 파일이 악성임을 인식하면 이 정보를 다양한 기업의 SRX 장치에 전달하여 네트워크 수준에서 악성을 격리할 수 있다고 가정합니다. 소프트웨어.