2017年5月21日 星期日

思科:網路勒索要從源頭阻斷


鄭淑芳╱台北報導

工商時報【鄭淑芳╱台北報導】

全球近日爆發大規模的勒索軟體感染事件,至少有99個國家受到了影響,連台灣也在受災的名單之內,為防患於未然,思科在啟動Talos安全團隊針對這次爆發的勒索軟體進行了深入的分析和研究,提出四個關鍵要點,希望可以從源頭阻斷勒索軟體的感染情事。

思科指出,此次受災戶多為企業用戶,在國外有醫療、快遞業者,至於國內受影的則是金融、教育等業者。

在消息傳出的第一時間,思科已啟動Talos安全團隊針對這次爆發的勒索軟體進行了深入的分析和研究,並隨即發布研究報告,報告中指出,四個關鍵要點:一是此次大範圍傳播的勒索軟體名為WannaCry,係通過掃描TCP 445埠,採用蠕蟲病毒的傳播方式感染主機,並且加密檔案,這是此次大規模爆發的一個原因。

第二、WannaCry是利用微軟Windows系統上被稱為DOUBLEPULSAR的後門,在入侵的系統上,安裝和啟動惡意程式碼。

第三、不存在DOUBLEPULSAR後門的系統,WannaCry則嘗試掃描和探測是否存在SMB的另一個漏洞ETERNALBLUE,嘗試入侵,並進行蠕蟲病毒傳播的方式進行傳播。

第四、思科Talos建議關閉網路邊界防火牆上的SMB埠(139,445)。

至於使用者是在何處「染毒」?思科指出,此次加密勒索軟體的傳播途徑有四:一是透過帶有惡意檔案附件或者釣魚網站連結的郵件的來傳播,二、網站的惡意程式碼下載,三、綁定在某些惡意軟體上傳播,四、藉助卸除式存放裝置作為媒介來傳播。

思科指出,如果不幸被鎖定,含有加密勒索軟體代碼在使用者電腦上運行時,主動連接上僵屍網路C&C主機,下載加密程式或者獲取加密金鑰,隨後入侵個人的檔案系統,並對特定檔案進行加密,跟進攻擊者就會發出勒索資訊,通知使用者支付贖金,才會提供解密的方法。

思科通過對多種案例和勒索軟體的傳播路徑的分析,如果能夠切斷傳播路徑,應該就可以大幅減少遭勒索軟體感染和入侵的機會,消費者可以先從不要隨意打開陌生郵件、或是瀏覽不熟悉的網站做起,若再不安心,可採用主動的威脅防禦模式,借助於安全解決方案,從阻斷加密勒索軟體的傳播路徑入手,應該就可以防患於未然。

沒有留言: