Které firewally zvládnou detekovat variabilní šifrovací vir Locky Ransomware?

Které firewally zvládnou detekovat variabilní šifrovací vir Locky Ransomware?
30 / 01 / 2017, 14:00

Vir Locky Ransomware je obvykle integrován v dokumentech Microsoft Word zasílaných formou přílohy e-mailových zpráv k velkému počtu příjemců pomocí masivní spamové kampaně. Podle výzkumu se tento vir, který se velmi často tváří jako více čí méně věrohodná faktura, rychle rozšířil a každou hodinu infikuje tisíce nových počítačů.

Jakmile je příloha otevřena, Locky Ransomware je nainstalován a povolen v počítači oběti. Následně se snaží stahovat soubory Portable Executable (PE) ze vzdáleného serveru (Command & Control server), který je pod správou útočníka a umožnit vzdálenou kontrolu nad infikovanou stanicí. Útočník pak zašifruje každý soubor v místní jednotce, stejně jako v celé topologii sítě s použitím RSA-2048 a AES-1024 algoritmů.

Následně se zobrazí na počítači oběti hlášení, které vyzývá uživatele k návštěvě webové stránky útočníka pro další pokyny a zaplacení výkupného za účelem dešifrování dříve zašifrovaných souborů. Požadavek na výkupné se liší a umožňuje např. platbu virtuální měnou Bitcoin.

Locky Ransomware je aktuálně rychle se šířící bezpečnostní hrozbou a způsobuje velké škody firmám na celém světě. V jednom z nejnovějším případů, týkajícího se útoku Locky Ransomware na institut Hollywood Presbyterian Medical Center, bylo rozhodnuto zaplatit útočníkům výkupné ve výši 40 Bitcoin (asi 17.000 dolarů) , aby bylo možné dešifrovat "zamčené" soubory a obnovit systém pro administrativní funkce.

Odhalování Locky Ransomware s Hillstone iNGFW

Locky Ransomware útok má odlišné vzorce chování ve všech fázích kybernetického útoku – tedy doručení phishing souboru formou nevyžádaných e-mailů, následná instalace do sytému, po které je třeba zajistit komunikaci se vzdáleným serverem útočníka, aktivita nevyžádaného stažení souborů, atd.

Hillstone

Na příkladu tohoto variabilního a zákeřného viru lze demonstrovat unikátní schopnosti inteligentních Next-Generation Firewallů – například americého výrobce Hillstone. iNGFW kombinuje statickou detekci NGFW na základě signatur pomocí nástrojů jako IPS / AV a také behaviorální analýzu založenou na sledování chování uživatelů a stanic v síti - to vše v rámci jediné platformy. Kombinace těchto nástrojů umožňuje účinnou detekci a blokování viru Locky Ransomware a jeho variant v různých fázích kybernetického útoku.

Mechanismy detekce a ochrany na Hillstone iNGFW:

  • iNGFW Anti-Virus engine zahrnují nejnovější signatury, které odhalí signatury odpovídající pro Locky e-mailové spamy s obsahem nebezpečných příloh.
  • iNGFW reputation engine obsahuje seznam známých škodlivých IP adres a doménových jmen.
  • iNGFW Domain Generation Algorithmus (DGA) detekční nástroj je použit pro detekci doménových jmen DGA, které se používají jako vzdálené servery Command & Control.
  • Locky používá doménové názvy generované DGA algoritmy jako server C & C. Hillstone engine DGA múže být použit k detekci DGA názvy domén.

Následující obrázek ukazuje jeden příklad:

Hillstone 

  • iNGFW inteligentní korelační modul může porovnávat různé události a upozornění na potenciální nebezpečí a vypracovat přesnější závěry z jednotlivých incidentů.
    • Například pokud se infikovaná stanice pokusí připojit k serveru útočníka C & C, firewall může korelovat činnost DNS s výsledky podobných detekcí DGA engine na konkrétním hostitelském počítači pro přesné určení možných činností souvisejících s Locky Ransomware.
    • Dalším příkladem je porovnat informace o hrozbách, jako malé velikosti PE souborů ke stažení, detekce DGA, privátní šifrovací kanál na konkrétním hostitelském počítači vykreslí jasnou představu o pokračování Locky Ransomware útoku.
  • iNGFW cloud inteligentní systém může provést další analýzy hrozeb na podezřelé události nebo objekty.
    • Například podezřelé jméno domény je odesláno do Hillstone cloud, kde je provedena další kontrola reputace webu. Informace "whois", jako je doba registrace doménových jmen a TTL může být použita pro další analýzy k určení charakteru doménového jména.

Hillstone Networks iNGFW má mocné nástroje, které mohou být kombinovány pro účinnou detekci ransomwaru Locky a jeho variant. Na rozdíl od běžných konkurenčních firewallů dokážou iNGFW Hillstone zabránit dalším dosud neznámým hrozbám a zajistit kompletní ochranu firemní sítě.

Hillstone

Společnost Hillstone byla založena v roce 2006 odborníky s historií ve společnostech NetScreen, Cisco a Juniper. V současnosti má Hillstone Networks více než 12.000 zákazníků po celém světě včetně společností z okruhu Fortune 500, z oblasti školství, finančních institucí a poskytovatelů služeb. Centrála se nachází ve městě Sunnyvale v Kalifornii.

Více informací na stránkách autorizovaného distributora pro ČR a SR: //www.proficomms.cz/

Hillstone

Tagy článku

SECURITY magazín je ve své tištěné podobě první a jediný český odborný časopis o komerční bezpečnosti a vychází od roku 1994. SECURITY magazín se orientuje především na profesionály v přímém výkonu služby v soukromých bezpečnostních agenturách a ve firmách, které poskytují technické bezpečnostní služby. Je určen také manažerům, kteří uvedené služby prodávají a řídí a bezpečnostním specialistům, kteří bezpečnostní služby nakupují v soukromém i státním sektoru. Zkušenosti a informace v SECURITY magazínu jsou ale určeny i laické veřejnosti, potenciálním zákazníkům, kteří o bezpečnosti velmi často mluví a ne vždy jí rozumí nebo chápou její specifika. SECURITY magazín chce tradiční spoluprací s akademickým prostředím a experty v oboru dokázat, že komerční bezpečnost je multioborová disciplína, úzce propojená požadavky norem a předpisů a je v mnoha ohledech založena na moderních vyspělých technologiích, které mohou instalovat a provozovat pouze vzdělaní specialisté.

Cookies nám pomáhají k Vaší spokojenosti

Tento web používá soubory cookies k poskytování služeb, personalizaci reklam a analýze návštěvnosti.
Používáním tohoto webu s tím souhlasíte.

Další informace