ในปีนี้สถาบันการเงินและการดูแลสุขภาพหลายแห่งเห็นการโจมตีของ Ryuk ransomware เพิ่มขึ้นอย่างมาก Ryuk เป็นขั้นตอนสุดท้ายของการโจมตีหลายเฟสก่อนหน้าด้วยโทรจัน TrickBot ซึ่งใช้ช่องโหว่ EternalBlue เพื่อแพร่กระจายผ่านเครือข่ายของ บริษัท Ryuk เป็นเพย์โหลด “ธุรกิจ” ที่เข้ารหัสระบบและเรียกร้องค่าไถ่ในขั้นตอนสุดท้ายของการโจมตี
กระบวนการโจมตีเริ่มต้นด้วยอีเมลฟิชชิ่งที่มีลิงก์ที่เป็นอันตราย ตามที่ Shawn Kanady ผู้อำนวยการ Trustwave SpiderLabs Digital Forensics and Incident Response ระบุว่าร้อยละเก้าสิบของผู้โจมตีจะเริ่มแคมเปญโจมตีด้วยอีเมลฟิชชิ่ง [1] แล้วทำไมไม่ได้ล่ะ? เป็นวิธีการจัดส่งที่ง่ายต้นทุนต่ำและอีเมลฟิชชิงในปัจจุบันมีเป้าหมายที่ผู้ใช้และค่อนข้างน่าเชื่อ มัลแวร์ฝังตัวเองในระบบที่ติดไวรัสและยากที่จะกำจัด
การป้องกันในระดับความลึก
ไม่มีเครื่องมือเดียวที่จะหยุดมัลแวร์ไม่ให้ติดระบบของเราได้ แต่เป็นที่แน่นอนว่าหากไม่มีทั้งสองรายการนี้เราก็เหมือนกับการเล่น “Whack-a-Mole” เราต้องสร้างแนวป้องกันแนวหน้าเหล่านี้เพื่อที่เราจะได้มุ่งเน้นไปที่อันตรายที่มีอยู่เมื่อการป้องกันเหล่านี้ถูกละเมิด นักแสดงที่ไม่ดีฉลาดและคิดหาวิธีต่อสู้กับการศึกษาและตัวกรอง นี่คือเหตุผลที่เราต้องการการป้องกันในเชิงลึกและที่ซึ่ง BigFix สามารถช่วยคุณต่อสู้กับมัลแวร์ในระบบของคุณได้ มาดูพื้นที่ป้องกัน 3 แห่งและดูว่าการมองเห็นแบบเรียลไทม์การตอบสนองอย่างรวดเร็วและการบังคับใช้อย่างต่อเนื่องที่ BigFix มีให้จะช่วยต่อสู้กับการโจมตีเหล่านี้ได้อย่างไร
แก้ไขระบบของคุณ
จากข้อมูลของ Crowdstrike หนึ่งในขั้นตอนในการป้องกันไม่ให้มัลแวร์ TrickBot ส่งผลกระทบต่อระบบคือการตรวจสอบว่าช่องโหว่ CVE-2017-0144 (Eternal Blue) ได้รับการแก้ไขแล้ว [2] ซึ่งหมายถึงการใช้การอัปเดตความปลอดภัยของ Microsoft MS17-010 แพทช์นี้ได้รับการเผยแพร่ในเดือนมีนาคมปี 2017 ผ่านมา 1200 วันแล้วและเรายังคงได้รับคำแนะนำให้ติดตั้ง หากการ
แพตช์มีความสำคัญมากทำไมเราไม่ให้ความสำคัญกับมันมากขึ้น ระบบใดก็ตามที่ไม่มีช่องโหว่นี้ซึ่งได้รับการแก้ไขในปัจจุบันอาจเสี่ยงต่อโทรจัน TrickBot ที่อำนวยความสะดวกในการส่ง Ryuk ransomware
บังคับใช้การกำหนดค่าความปลอดภัย
ใช้งานและบังคับใช้รายการการกำหนดค่าความปลอดภัย เช่นเดียวกับการปฏิบัติตามข้อกำหนดของโปรแกรมแก้ไขเราควรระมัดระวังเกี่ยวกับการตั้งค่าความปลอดภัยบนเครือข่ายและระบบที่เข้าถึง นอกจากนี้เรายังต้องมีความกระตือรือร้นในการบังคับใช้การตั้งค่าระบบ – หรือที่เรียกว่าการชุบแข็ง
TrickBot และ Ryuk ใช้ประโยชน์จากการกำหนดค่าที่ผิดหลายอย่างเช่น SMBv1 BigFix สามารถช่วยคุณบังคับใช้การกำหนดค่าความปลอดภัยรวมถึงเกณฑ์มาตรฐาน Center for Internet Security (CIS) และ Defence Information Systems Agency (DISA) Security Technical Implementation Guidelines (STIGs) ใช้ BigFix เพื่อใช้รายการตรวจสอบเหล่านี้ในสภาพแวดล้อมของคุณเพื่อบังคับใช้การกำหนดค่าที่แนะนำและค่าการตั้งค่า และ BigFix ใช้นโยบายเพื่อบังคับใช้การตั้งค่าการกำหนดค่าเหล่านี้กับระบบในสภาพแวดล้อมของคุณเพื่อให้แน่ใจว่าสอดคล้องกับภัยคุกคามจากผู้ไม่หวังดี
ใช้ BigFix เพื่อค้นหาตัวบ่งชี้การประนีประนอมและการแก้ไข
แม้ว่า BigFix ไม่ใช่โซลูชัน EDR ที่มีคุณสมบัติครบถ้วน แต่ก็สามารถใช้เพื่อตรวจจับและแก้ไขตัวบ่งชี้ภัยคุกคามที่ทราบบนอุปกรณ์ปลายทางที่มีการจัดการทั้งหมดของคุณและแจ้งให้คุณทราบถึงเงื่อนไขและตัวบ่งชี้ที่คุณระบุ Ryuk และ TrickBot ใช้เวลานานพอที่จะวิเคราะห์และส่วนประกอบของแต่ละส่วนเช่นโฟลเดอร์การติดตั้งชื่อไฟล์และแฮชการตั้งค่ารีจิสทรีและกระบวนการทำงานเป็นที่รู้จักแม้ว่าจะมีการเปลี่ยนแปลงบ้างระหว่างการเผยแพร่มัลแวร์
Crowdstrike ขอแนะนำกระบวนการสามขั้นตอนในการลบมัลแวร์ TrickBot จากปลายทางด้วยตนเอง [3] และกระบวนการเหล่านี้สามารถดำเนินการโดยอัตโนมัติด้วย BigFix:
- ขั้นตอนที่หนึ่ง: การฆ่ากระบวนการที่เป็นอันตราย (ฉีด svchost) BigFix สามารถเฝ้าดูว่ามีกระบวนการทำงานอยู่หรือไม่และหากมีการระบุกระบวนการดังกล่าวก็สามารถหยุดได้ กระบวนการนี้สามารถบังคับใช้ได้โดยอัตโนมัติหลายครั้งเท่าที่จำเป็น
- ขั้นตอนที่สอง: ค้นหาและลบกลไกการคงอยู่ (เช่นงานตามกำหนดการบริการ) BigFix สามารถเฝ้าดูการมีอยู่ของบริการที่กำลังทำงานอยู่และหยุดบริการตลอดจนเปลี่ยนสถานะและนำบริการออก BigFix ยังสามารถกำหนดงานตามกำหนดเวลาและกำจัดได้
- ขั้นตอนที่สาม: การลบสิ่งประดิษฐ์ของดิสก์ (เช่นไบนารีและไดเร็กทอรี) เมื่อกระบวนการและบริการถูกหยุดและกำจัดแล้ว BigFix ยังสามารถใช้เพื่อค้นหาการมีอยู่ของไฟล์โฟลเดอร์รายการรีจิสตรีและสิ่งอื่น ๆ ที่คล้ายกันและแจ้งให้ผู้ดูแลระบบทราบถึงการมีอยู่ของสิ่งประดิษฐ์เหล่านี้
เช่
นเดียวกับการโจมตีของ WannaCry ransomware BigFix ยังสามารถแจ้งเตือนเมื่อมีไฟล์ที่เข้ารหัส (ในกรณีของ Ryuk คือไฟล์ที่มีนามสกุล “.ryk”) เพื่อให้สามารถดำเนินการได้เช่นการกักกันระบบเพื่อไม่ให้เกิดผลกระทบ อื่น ๆ
การศึกษาและการรับรู้
การให้ความรู้แก่ผู้ใช้ปลายทางเป็นขั้นตอนสำคัญในการป้องกันและบรรเทาผลกระทบของ TrickBot และ Ryuk หากผู้ใช้ไม่รู้ที่จะคลิกลิงก์อีเมลโอกาสที่จะประสบความสำเร็จในการโจมตีแบบฟิชชิงจะลดลงอย่างมาก การศึกษาทางไซเบอร์ไม่ได้หยุดยั้งการโจมตีทั้งหมด แต่การศึกษาที่เหมาะสมสามารถสร้างความแตกต่างได้
เครื่องมืออื่น ๆ สำหรับงาน
นอกจากการศึกษาแล้วคุณควรใช้เครื่องมือจริงบางอย่างที่จะช่วยต่อสู้กับปัญหาอีเมลโดยเฉพาะเช่นเกตเวย์อีเมลเพื่อกรองอีเมลขาเข้าของคุณ หากคุณสามารถป้องกันไม่ให้อีเมลเข้าถึงผู้ใช้หรือตัดลิงก์หรือไฟล์แนบที่น่าสงสัยออกไปก็มีโอกาสน้อยลงที่การโจมตีจะประสบความสำเร็จ
ระแวดระวัง!
BigFix สามารถทำให้งานในการปกป้องอุปกรณ์ปลายทางของคุณสามารถจัดการได้มากขึ้น แต่คุณต้องระมัดระวังในกระบวนการตระหนักถึงความปลอดภัย โปรดจำไว้ว่านักแสดงที่ไม่ดีรู้ดีพอ ๆ กับที่คุณทำเกี่ยวกับช่องโหว่และในแต่ละวันที่ผ่านไปด้วยระบบที่ไม่มีการแก้ไขก็เป็นอีกวันที่พวกเขาพยายามใช้ประโยชน์จากมัน
BigFix สามารถช่วยคุณจัดระเบียบการป้องกันของคุณโดยให้คุณมองเห็นช่องโหว่เครื่องมือที่จำเป็นในการตอบสนองต่อช่องโหว่เหล่านั้นและการบังคับใช้นโยบายเพื่อรักษาการปฏิบัติตามอย่างต่อเนื่องในสภาพแวดล้อมของคุณในทุกจุดสิ้นสุดของคุณโดยไม่คำนึงถึงตำแหน่งหรือประเภทการเชื่อมต่อ
หากคุณไม่ใช่ลูกค้า BigFix ในปัจจุบันโปรดติดต่อเรา KTNBS เพื่อสาธิตคุณสมบัติและประโยชน์ที่ BigFix มอบให้ เราสามารถช่วยคุณให้ระบบของคุณปราศจากมัลแวร์ได้
ที่มา :https://blog.hcltechsw.com/bigfix/worried-about-getting-trickbot-ed-and-ryuk-ed/
