卡巴斯基:WannaCry变种 企业如何防范

2019-08-20 12:18 评论 0 条

  【IT168 资讯】5月22日,卡巴斯基在北京举办了一场媒体见面会,就近期出现的“WannaCry勒索软件病毒”情况进行了分析和解读,以及目前病毒的变种发展情况,卡巴斯基实验室亚太区病毒中心负责人董岩在会上还分享了卡巴斯基工业网络安全和企业安全情报服务等解决方案,并给出了网络安全防范措施。

  近期,全球范围内发生的大规模WannaCry勒索软件攻击事件在各大媒体上已经传播的沸沸扬扬,令人震惊的是,除了有大量办公网络被攻击和感染外,还有多个全球知名的工业设施由于遭受WannaCry感染而出现故障或遭受干扰。卡巴斯基实验室亚太区病毒中心负责人董岩表示,“除了新闻头条上的相关报道外,我们的ICS CERT证实了工业网络中同样出现了WannaCry感染。”

卡巴斯基:WannaCry变种 企业如何防范
▲卡巴斯基实验室亚太区病毒中心负责人董岩

  据介绍,卡巴斯基实验室安全研究人员持续追踪Wannacry威胁的最新演化情况。截止到5月15 日,该恶意软件的变种总数量仍然不明,但周末期间,出现了两种值得注意的最新变种。卡巴斯基实验窒并不认为这些变种是Wannacy 的原作者编写的,这些变种很可能是其他网络罪犯在在此基础上进行的修改,利用这次攻击达到自己的目的。

  此外,就Wannacry勒索病毒的发展,董岩也表示,卡巴斯基早期就已经侦测到该勒索病毒的存在,并跟踪到其多个版本的进化。

  ·第一种变种从14日凌晨约2点开始传播,该变种经过修改后,会连接与原版不同的域名。截止到目前,卡巴斯基实验室已经发现了三个受害者,位于俄罗斯和巴西。

  ·第二种变种也是在周末出现的 ,而且似乎被移除了Kill Switch. 这个变种似乎无法进行传播,原因可能是它本身包含bug。

  ·对网络日志的深入分析显示,WannaCry勒索软件可能是从5月11 日开始传播的。

  董岩称,目前很难预估全部的感染数量,我们遥测的数据显示为超过45,000 名卡巴斯基实验室客户拦截了攻击,但这仅代表了全部攻击数量中的一部分。

  面对不断演化的网络威胁,传统的安全解决方案早已力不从心。卡巴斯基实验室的数据显示,2016年28.7%的企业需要几天时间才能够发现网络安全事故,而19%的企业则承认需要几周时间,还有一小部分企业甚至需要几个月时间。而网络安全事故一旦发生,不仅会导致机密信息泄露,还会使企业蒙受经济、名誉双重损失。如何才能防范此类威胁于未然,快速响应网络安全事故?

  在近期举行的一场分享会上,卡巴斯基实验室大中华区总经理郑启良先生也曾展示了一段网络罪犯使用驻留内存的恶意软件感染银行网络成功入侵的案例。“这种恶意软件是远程安装到银行的ATM机上的,并且远程控制和执行。安装并连接到ATM机上后,ATMitch恶意软件会伪装成合法软件同ATM机进行通讯。攻击者可以通过通讯执行一系列命令,例如获取ATM机的储钞盒中现金的数量。更为重要的是,网络罪犯可以通过按下一个按钮,随时可以从ATM机中提取现金,”郑启良解释说。

  据了解,通常网络罪犯会首先获取ATM机的储钞盒中所存的现金数量信息。之后,网络罪犯可以发送一条命令,指定任意储钞盒吐出任意数量的现金。盗取现金后,网络罪犯只需拿上钱离开就可以。这种ATM盗窃仅需几秒就可以完成。完成盗窃后,恶意软件会从系统中删除自己的痕迹。

  那么,如何才能防范此类威胁于未然,快速响应网络安全事故?针对工业控制环境的安全解决方案如下:

  — 为各个终端节点提供适用于工业环境的安全软件;
  — 可针对PLC设备进行实时监控、威胁侦测;
  — 在网络层部署流量监测设备,实时发现未知设备、网络攻击和工业环境独有的威胁行为。

  卡巴斯基工业网络安全解决方案提供各种类型的保护,帮助基础设施管理者打造高效的安全策略。这意味着,除了提供强大的威胁检测和预防技术外,这款解决方案还引入了特殊的安全服务,帮助进行紧急事件响应和威胁预测服务。

  卡巴斯基实验室亚太区病毒中心负责人董岩还讲到,这次勒索病毒爆发是10年前熊猫烧香后最为严重的一次计算机病毒爆发,而勒索病毒加密用户文件给用户造成了不可估量的损失。此次病毒爆发再次给我们敲响警钟——任何时候都不能对信息安全掉以轻心,要从根本上提高安全意识,及时更新系统,谨防钓鱼欺骗,使用安全可靠的安全软件。

  同时,卡巴斯基实验室建议企业采取如下措施降低感染风险:

  — 安装微软发布的官方补丁,关闭攻击所使用的漏洞(Windows XP、Windows 8和Windows Server 2003 同样有可用的补丁)

  — 确保网络中的所有节点都启用安全解决方案

  — 对于没有使用卡巴斯基实验室产品的用户,建议安装面向企业的并且免费的卡巴斯基反勒索软件工具(KART)

  — 如果正在使用卡巴斯基实验室解决方案,请确保解决方案包含系统监控组件(一种行为主动检测模块),并且启用该功能

  — 尽快执行卡巴斯基实验室解决方案的关键区域扫描任务,以检测可能存在的感染(如果该功能没有被关闭,则会在24小时内自动检测到感染)

  — 如果检测到MEM:Trojan.Win64.EquationDrug.gen,请重启系统

  — 使用专门定制的威胁情报报告服务,了解有关最新攻击的情报

  WannaCry还能够攻击嵌入系统。我们建议为嵌系统安装专用的安全解决方案,这些解决方案应当同时启用反恶意软件保护和默认拒绝功能。

版权声明:本文著作权归原作者所有,欢迎分享本文,谢谢支持!
转载请注明:卡巴斯基:WannaCry变种 企业如何防范 | 天际彩友心水论坛-世外桃园论坛

发表评论


表情