Wannacry fortinet-security-fabric

  • View
    125

  • Download
    0

Embed Size (px)

Text of Wannacry fortinet-security-fabric

  1. 1. Fortinet Security Fabric y Wannacry Ransomware El 12 de mayo de 2017 el WanaCry Ransomware interrumpi el funcionamiento de cientos de organizaciones en docenas de pases. El ransomware cifra documentos y archivos personales y crticos del sistema. Fortinet Security Fabric brinda soluciones ante esta amenaza.
  2. 2. Es importante sealar que las soluciones de Fortinet FortiGate y Fortinet Security Fabric bloquean con xito este ataque. FortiGate IPS bloquea el exploit FortiSandbox detecta el comportamiento malicioso Nuestro motor AV detecta el malware junto con sus variantes Nuestro filtro Web identifica los sitios objetivo y bloquea o permite apropiadamente El ISFW de FortiGate detiene la propagacin del malware El comportamiento es similar a un gusano que explota el puerto 445 del servidor en busca de una puerta trasera. Si la puerta trasera est presente, la recargar, y si no la encuentra tomar una ruta de explotacin ligeramente menos fiable. Por esta razn, recomendamos que las organizaciones (por ahora) bloqueen el puerto 445 desde Internet o, adems, utilicen capacidades NGFW para bloquear el propio protocolo SMB. El malware es modular. Esto significa que debido a que podra conceder privilegios de superusuario a los actores maliciosos en el dispositivo infectado, les permitira descargar malware adicional y URL de spoof. En un caso observado por Fortinet, el malware se aprovech primero de la vulnerabilidad CVE-2017-0144 para obtener acceso al sistema. TOR saliente El malware descarga un cliente TOR y comienza a comunicarse con los servidores del protocolo TOR. Recomendamos bloquear el trfico de TOR saliente. Puede realizar esto en dispositivos FortiGate utilizando las firmas de AppControl. Para ello, vaya a los perfiles de seguridad, el control de aplicaciones y la seleccin de agregar firma en Sobrecargas de aplicacin.
  3. 3. A continuacin, agregue el protocolo Tor: Ahora puede ver qu est siendo bloqueado. Asegrese de tener activada la directiva de aplicacin firewall.
  4. 4. TOR entrante Aunque no es necesario, es posible que tambin desee considerar el bloqueo del trfico entrante procedente de la red TOR. El trfico entrante procedente de la red TOR se parece a cualquier otro trfico de Internet. Sin embargo, el punto de origen se produce en los nodos de salida TOR. Una lista de nodos de salida bien conocidos se muestra y se actualiza en la base de datos de servicios de Fortinet. Puede usar esta lista pre-construida en una directiva de firewall. Si se permite que el malware se comunique, intentar conectarse a varios dominios maliciosos. El motor de filtrado Web de Fortinet clasifica estos dominios conocidos como maliciosos y, si se configuran correctamente, deben bloquear estos dominios
  5. 5. como parte de las polticas de firewall. Existe un interruptor kill en el malware que detiene su ejecucin si encuentra que existe el dominio www [.] Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com. Si bien este dominio originalmente no exista, un investigador de malware en el Reino Unido lo ha registrado. Para que el interruptor kill funcione, el malware debe poder comunicarse con el dominio kill switch. Fortinet ha decidido no categorizar el dominio kill switch como malicioso. Sin embargo, los informes a partir del 14 de mayo de 2017 identificaron una versin del malware que elimina el interruptor kill, lo que hace que este sea un medio ineficaz de mitigacin. De hecho, el interruptor kill ahora parece ser obsoleto, ya que el ataque sigue en curso y las muestras de estas nuevas olas incluyen nombres de dominio diferentes, o algunos no incluyen un interruptor. Cmo ver el malware Fortinet proporciona dos firmas IPS primarias para detectar el ataque. Estas son: MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution Backdoor.Double.Pulsar Anti-Malware Los motores de Fortinet Anti-Malware / Anti-Virus tienen firmas inteligentes habilitadas para detectar el malware: W32 / Agent.AAPW! Tr W32 / CVE_2017_0147.A! Tr
  6. 6. W32 / Farfli.ATVE! Tr.bdr W32 / Filecoder_WannaCryptor.B! Tr W32 / Filecoder_WannaCryptor.D! Tr W32 / Gen.DKT! Tr W32 / Gen.DLG! Tr W32 / GenKryptik.1C25! Tr W32 / Generic.AC.3EF991! Tr W32 / Scatter.B! Tr W32 / Wanna.A! Tr W32 / Wanna.D! Tr W32 / WannaCryptor.B! Tr W32 / WannaCryptor.D! Tr W32 / Zapchast.D! Tr Tenga en cuenta que algunas firmas AV requieren que los dispositivos FortiGate se configuren utilizando las definiciones de antivirus extendidas. En su dispositivo FortiGate usted deber acceder a System-FortiGuard, y luego habilitar AV extendido e IPS extendido, si estn disponibles. Revise que el ransomware tambin dejar un archivo llamado ! Por favor , Leme ! .txt con ms instrucciones. El nombre del archivo puede cambiar ligeramente con cada infeccin. Artculo original en el blog oficial de Fortinet (Ingls)

Recommended

View more >