Se ha denunciado esta presentación.

Wannacry fortinet-security-fabric

113 visualizaciones

Publicado el

Wannacry fortinet-security-fabric
fortinet, wannacry, fortiguard, fortios, firewall, fortigate, security, fortigate 300d, fortigate 500d, fortigate 600d, fortigate 800d, fortigate 900d, fortigate 1000d, fortigate 1200d, productos fortinet, catálogo fortinet, fortigate 100e, fortigate 200d, fortigate 200e, seguridad, cortafuegos, malware, antivirus, spam, antispam

Publicado en: Tecnología
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Wannacry fortinet-security-fabric

  1. 1. Fortinet Security Fabric y Wannacry Ransomware El 12 de mayo de 2017 el WanaCry Ransomware interrumpió el funcionamiento de cientos de organizaciones en docenas de países. El ransomware cifra documentos y archivos personales y críticos del sistema. Fortinet Security Fabric brinda soluciones ante esta amenaza.
  2. 2. Es importante señalar que las soluciones de Fortinet FortiGate y Fortinet Security Fabric bloquean con éxito este ataque. FortiGate IPS bloquea el exploit FortiSandbox detecta el comportamiento malicioso Nuestro motor AV detecta el malware junto con sus variantes Nuestro filtro Web identifica los sitios objetivo y bloquea o permite apropiadamente El ISFW de FortiGate detiene la propagación del malware El comportamiento es similar a un gusano que explota el puerto 445 del servidor en busca de una puerta trasera. Si la puerta trasera está presente, la recargará, y si no la encuentra tomará una ruta de explotación ligeramente menos fiable. Por esta razón, recomendamos que las organizaciones (por ahora) bloqueen el puerto 445 desde Internet o, además, utilicen capacidades NGFW para bloquear el propio protocolo SMB. El malware es modular. Esto significa que debido a que podría conceder privilegios de superusuario a los actores maliciosos en el dispositivo infectado, les permitiría descargar malware adicional y URL de spoof. En un caso observado por Fortinet, el malware se aprovechó primero de la vulnerabilidad CVE-2017-0144 para obtener acceso al sistema. TOR saliente El malware descarga un cliente TOR y comienza a comunicarse con los servidores del protocolo TOR. Recomendamos bloquear el tráfico de TOR saliente. Puede realizar esto en dispositivos FortiGate utilizando las firmas de AppControl. Para ello, vaya a los perfiles de seguridad, el control de aplicaciones y la selección de agregar firma en “Sobrecargas de aplicación”.
  3. 3. A continuación, agregue el protocolo Tor: Ahora puede ver qué está siendo bloqueado. Asegúrese de tener activada la directiva de aplicación firewall.
  4. 4. TOR entrante Aunque no es necesario, es posible que también desee considerar el bloqueo del tráfico entrante procedente de la red TOR. El tráfico entrante procedente de la red TOR se parece a cualquier otro tráfico de Internet. Sin embargo, el punto de origen se produce en los nodos de salida TOR. Una lista de nodos de salida bien conocidos se muestra y se actualiza en la base de datos de servicios de Fortinet. Puede usar esta lista pre-construida en una directiva de firewall. Si se permite que el malware se comunique, intentará conectarse a varios dominios maliciosos. El motor de filtrado Web de Fortinet clasifica estos dominios conocidos como maliciosos y, si se configuran correctamente, deben bloquear estos dominios
  5. 5. como parte de las políticas de firewall. Existe un interruptor kill en el malware que detiene su ejecución si encuentra que existe el dominio “www [.] Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com”. Si bien este dominio originalmente no existía, un investigador de malware en el Reino Unido lo ha registrado. Para que el interruptor kill funcione, el malware debe poder comunicarse con el dominio kill switch. Fortinet ha decidido no categorizar el dominio kill switch como malicioso. Sin embargo, los informes a partir del 14 de mayo de 2017 identificaron una versión del malware que elimina el interruptor kill, lo que hace que este sea un medio ineficaz de mitigación. De hecho, el interruptor kill ahora parece ser obsoleto, ya que el ataque sigue en curso y las muestras de estas nuevas olas incluyen nombres de dominio diferentes, o algunos no incluyen un interruptor. Cómo ver el malware Fortinet proporciona dos firmas IPS primarias para detectar el ataque. Estas son: MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution Backdoor.Double.Pulsar Anti-Malware Los motores de Fortinet Anti-Malware / Anti-Virus tienen firmas inteligentes habilitadas para detectar el malware: W32 / Agent.AAPW! Tr W32 / CVE_2017_0147.A! Tr
  6. 6. W32 / Farfli.ATVE! Tr.bdr W32 / Filecoder_WannaCryptor.B! Tr W32 / Filecoder_WannaCryptor.D! Tr W32 / Gen.DKT! Tr W32 / Gen.DLG! Tr W32 / GenKryptik.1C25! Tr W32 / Generic.AC.3EF991! Tr W32 / Scatter.B! Tr W32 / Wanna.A! Tr W32 / Wanna.D! Tr W32 / WannaCryptor.B! Tr W32 / WannaCryptor.D! Tr W32 / Zapchast.D! Tr Tenga en cuenta que algunas firmas AV requieren que los dispositivos FortiGate se configuren utilizando las definiciones de antivirus extendidas. En su dispositivo FortiGate usted deberá acceder a System-FortiGuard, y luego habilitar AV extendido e IPS extendido, si están disponibles. Revise que el ransomware también dejará un archivo llamado ! Por favor , Léeme ! .txt con más instrucciones. El nombre del archivo puede cambiar ligeramente con cada infección. Artículo original en el blog oficial de Fortinet (Inglés)

×