WannaCry变种已现
作者: CBISMB
责任编辑: 张金祥
来源: ISMB
时间: 2017-07-18 11:26
关键字: Fortinet
浏览: 0
点赞: 0
收藏: 0
Fortinet有效防御措施及用户操作指南
5月12号,Fortinet FortiGuard全球威胁研究与响应实验室开始跟踪Wannacry新的变种,且发现新的变种在一天之内已快速传播。
这是一种具有高度威胁且能够自我复制的勒索软件,在全球造成了广泛影响,它支持二十多种语言的多语言赎金要求。
该勒索软件以不同的名字出现,包括WCry, WannaCry, WanaCrypt0r, WannaCrypt,或Wana Decrypt0r.
受影响的Microsoft产品包括:
- Windows Vista
- Windows Server 2008
- Windows 7
- Windows Server 2008 R2
- Windows 8.1
- Windows Server 2012及Windows Server 2012 R2
- Windows RT 8.1
- Windows 10
- Windows Server 2016
- Windows Server Core安装选项
Fortinet强烈建议用户采取如下防御措施:
首先建议网络与安全管理员,第一时间安装Microsoft发布MS17-010更新,这已是共识。
Microsoft在3月份针对该漏洞发布了重要的补丁MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx).
Fortinet的Security Fabric架构及其安全解决方案可以实时对Wannacry及其变种进行有效防御。
一,FortiGate NGFW用户
FortiGate NGFW是Fortinet旗舰安全产品,型号齐备,可根据用户规模部署作为边界防火墙,内网防火墙,数据中心防火墙。
最简单高效的FortiGate NGFW防御实现。如果您部署了FortiGate防火墙,您可以查看以下图确认您的网络环境已可以防御Wannacry系列的攻击。
确保FortiGate的AV,IPS以及应用控制特征已经更新到最新的版本。
确保Fortinet设备中的AV,IPS检测以及网页过滤引擎处于开启状态,这样才可以阻断恶意软件的下载。
请确保FortiGate设备网页过滤服务阻断了对C&C服务器的访问。
对于那些可能不使用SAMBA/SMB的网络,我们建议您开启FortiGate防火墙策略,关闭UDP端口137 / 138及TCP端口139 / 445.
二, FortiGate NGFW + FortiClient用户
如果您部署使用了FortiClient终端防御软件,请确保AV与应用控制功能已激活且特征库已经更新到最新。FortiClient可以阻断WannaCrypter勒索软件。
您也可以运行FortiClient中的漏洞扫描功能,以确保其已经打上了MS17-010补丁。FortiGate/EMS仪表盘会显示网络中哪些PC设备还没有完成补丁更新。
三, FortiMail邮件安全网关用户
如果您部署了FortiMail邮件安全网关,请再次确认FortiGuard服务已经更新到最新的AV特征。WannaCryptor勒索软件变种也将会即时进行防御。
四, FortiSandbox沙盒用户
部署了Fortinet Security Fabric架构多安全组件(FortiGate NGFW +FortiMail邮件安全网关+FortiSandbox沙盒)的用户。
第三方测试机构已确认Fortinet的反病毒与FortiSandbox沙盒技术可以有效的应对该勒索软件。
4.1如果您部署使用了FortiSandbox,请确认在沙盒分析中没有待处理文件队列。那么您应该就没有被此次勒索软件攻击的风险。
4.2 FortiSandbox可以同时检测WINXP&WIN7系统的WannaCyrter变种。根据实验室取证,该勒索软件可以自己隐藏其文件夹,将自身的文件创建在windows的目录下同时建立对其他PC的攻击。这正好匹配了该勒索软件家族的行为模式。
4.3检测后,即时的特征将启动并推送到FortiGate防火墙与FortiMail邮件安全网关做相应的阻断动作。那么,您的整个网络将相应的形成了自动的防御体系。
五, Security Fabric架构部署用户
如果您已经使用了FortiGate的最新操作系统,同时网络中部署了多款Fortinet安全产品解决方案,如FortiGate,FortiMail,FortiSandbox,FortiClient,FortiWeb等。
在网络中的主防火墙FortiGate设备开启了其中的Security Fabric功能模块后,那么该功能模块的面板将显示您网络中的全部Fortinet安全组件包括FortiGate,FortiClietn与FortiSandbox的协同与联动状态,包括最新的威胁漏洞更新状态,以及整体网络安全健康状态的审计情况。
