Những ngày gần đây mọi người đã nghe về ransomware được gọi là Wanna, WannaCry hoặc WCry đang lan rộng trên toàn cầu và mã hóa dữ liệu của một số công ty lớn nhất thế giới. Phần mềm độc hại đã khai thác lỗ hổng SMB mà Microsoft đã cung cấp một bản vá vào tháng 3 năm 2017. Một số hãng bảo mật đã đưa ra các phương pháp cũng như các cập nhật mới nhất cho các sản phẩm mà họ cung cấp cho khách hàng để ngăn chặn thành công sự tấn công và lây lan của ransomware này và khách hàng dường như không phải quá lo lắng trước sự kiện này. Tuy nhiên lỗ hổng khác vẫn tồn tại trên hàng triệu hệ thống và có thể được sử dụng cho những lần tấn công sau. Vì vậy bây giờ không phải là lúc để tự mãn mà đây chính là thời gian để hành động. Tenable cung cấp một số cách để phát hiện WannaCry trong hệ thống của khách hàng và từ đó khách hàng có những hành động cụ thể để bảo vệ an toàn cho doanh nghiệp của mình.

Hành động cần thực hiện ngay:

Nếu đã là một khách hàng của SecurityCenter®, dưới đây là ba điều khách hàng có thể thực hiện trước khi phiên bản kế tiếp của WCry xuất hiện và trước khi nó mã hóa các dữ liệu trên máy tính của bạn.

1. Truy tìm các máy bị nhiễm: Kiểm tra các truy vấn DNS và quét malware.

Phiên bản đầu tiên của WCry lây lan trên toàn cầu thực hiện tra cứu DNS khi nó khởi tạo; Passive Vulnerability Scanner (PVS) của Tenable có thể ghi lại các truy vấn DNS trong mạng của bạn. Bạn có thể áp dụng các bộ lọc (filters) như sau trong chế độ Phân tích Sự kiện (Event Analysis) để truy tìm các máy chủ gửi truy vấn đến miền này:

Type: dns

Syslog Text: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea

Timeframe: Last 7 Days

Sau khi bạn áp dụng filters, hãy thay đổi trạng thái hiển thị sang Source IP Summary. Nếu bạn thấy có bất kỳ máy nào gửi truy vấn tới miền này, nó có thể đã bị xâm nhập. Bạn nên ngắt kết nối máy tính đó khỏi mạng và thực hiện hành động thích hợp.

Nếu bạn đã cài đặt Nessus Agent hay có thể cấu hình Credentialed Scan, việc phát hiện thậm chí còn dễ dàng hơn; chỉ cần sử dụng tính năng Malware Scan Policy; Các máy bị nhiễm WCry sẽ được báo cáo trong plugin 59275.

2. Tìm kiếm các máy đang tiến hành lây nhiễm cho các máy khác (lateral movement).

Các ransomware WannaCry lây lan rất nhanh vì một khi nó lây nhiễm vào một máy, nó quét bất kỳ máy khác đang mở cổng 445, và sau đó lây nhiễm cho máy đó đó. Với SecurityCenter, bạn có thể tìm kiếm bất kỳ máy nào đang thực hiệ quét cổng 445 bằng cách áp dụng bộ lọc này:

Destination Port = 445

Timeframe = Last 7 Days

Sử dụng công cụ Connection Summary bạn có thể xác định các máy đang kết nối với các máy khác sử dụng cổng 445. Ví dụ, trong hình dưới đây ghi nhận một máy có 1650 sự kiện sử dụng cổng 445 với máy khác. Bạn cần phải điều tra ngay tình huống (có thể xem là bất thường) khi cùng một máy cùng lúc lại “nói chuyện” với nhiều máy khác. Bạn có thể nâng cao những kết quả tìm kiếm này bằng cách quét riêng từng subnets.

3. Một khi các hệ thống của bạn đã sạch, hãy tiến hành thực hiện vá và quét kiểm tra lần nữa.

Nếu môi trường của bạn đã sạch, cách tốt nhất để ngăn ngừa nhiễm WCry là áp dụng các bản vá và vô hiệu hóa SMBv1. Tenable có một số plugin có thể phát hiện nếu một máy tính dễ bị lỗ hổng liên quan đến MS17-010:

Plugin ID

Plugin

Description

96982

Server Message Block (SMB) Protocol Version 1 Enabled (uncredentialed check)

The system has been found to be vulnerable to SMBv1 attacks using uncredentialed checks. The Shadow Brokers group reportedly has an exploit that affects SMB, and the current WannaCry ransomware is using this exploit.

97086

Server Message Block (SMB) Protocol Version 1 Enabled

This plugin is similar to 96982, but the vulnerability is detected using credentials. The system has been confirmed vulnerable to SMBv1 attacks used by WannaCry and vulnerabilities described by Shadow Brokers. Credentialed checks are more accurate and provide mode details.

97737

MS17-010: Security Update for Microsoft Windows SMB Server (4013389) (ETERNALBLUE) (ETERNALCHAMPION) (ETERNALROMANCE) (ETERNALSYNERGY)

Credentialed plugin to detect MS017-010 (detects the patch is missing)

97833

MS17-010: Security Update for Microsoft Windows SMB Server (4013389) (ETERNALBLUE) (ETERNALCHAMPION) (ETERNALROMANCE) (ETERNALSYNERGY) (uncredentialed check)

Remote plugin to detect the MS017-010 vulnerability

700099

Ransomware Traffic Detected (WannaCry)

This plugin uses passive techniques to determine if the remote system may be affected by ransomware that encrypts most or all of the files on a user’s computer. This attack is related to the WannaCry ransomware.

Tenable đã phát triển một bảng điều khiển (dashboard) trên SecurityCenter được thiết kế dành riêng để xác định các máy có thể dễ bị khai thác bởi WannaCry ransomware.  WannaCry Vulnerability Detection dashboard  đã được cập nhật sẵn trong SecurityCenter Feed để cung cấp thông tin chi tiết về lỗ hổng trong hệ thống mạng của bạn và tiến độ cập nhật bản vá các máy chưa được cập nhật.

Dashboard được xây dựng dựa trên tất cả các phương pháp phát hiện được mô tả trong bài viết này, có tính tương tác cao nhưng lại dễ hiểu và sử dụng. Ma trận ở góc trên bên trái sử dụng các sự kiện CVEs và DNS để xác định các máy có nguy cơ tiềm ẩn và các máy được xác nhận là bị lỗ hổng. Dashboard cũng sử dụng nhiều thành phần tương tự được sử dụng trong Shadow Brokers Vulnerability Detection dashboard, cung cấp tổng quan về việc vá lỗi cho các máy trên tất cả các hệ điều hành trong hệ thống để giúp bạn hiểu được tiến trình hiện tại trong quá trình triển khai vá lỗi.

Tenable cũng đề xuất vá các lỗ hổng khác được tiết lộ bởi nhóm Shadow Brokers trong dashboard Shadow Brokers Vulnerability Detection của SecurityCenter.

Hầu hết các cuộc tấn công ransomware là do khai thác lỗ hổng được biết đến mà vẫn chưa được vá trên hệ thống. Điều này đặc biệt đúng đối với các hệ thống đang chạy hệ điều hành đã lỗi thời và không được hỗ trợ. Bằng cách vá tất cả các tài nguyên kết hợp với sao lưu dữ liệu thường xuyên giúp bạn ngăn chặn các cuộc tấn công ransomware.

Bài viết của Disney Cheng - Rất cám ơn Gavin Millard, Anthony Bettini, Cris Thomas, Cody Dumont và toàn bộ nhóm nghiên cứu của Tenable về những đóng góp của họ cho tài liệu này.