Palo Alto Networks กับการป้องกันการโจมตีจากมัลแวร์ WanaCrypt0r

หน้าจอแสดงข้อความเตือนเกี่ยวกับการเข้ารหัสของ WanaCrypt0r

ทาง Engineer ของ อินแกรม ไมโคร (ประเทศไทย) วิเคราะห์สถานการณ์เกี่ยวกับมัลแวร์ WanaCrypt0r (หรือ WannaCry) และการนำไปใช้ป้องกันบนผลิตภัฑณ์ Palo Alto Networks

สืบเนื่องจากช่วงนี้มีการระบาดของ Ransomware ที่ชื่อ WanaCrypt0r ระบาดอยู่ ซึ่งทางลูกค้าทุกท่านอาจจะเป็นกังวลถึงระบบการป้องกันที่มีอยู่จะเพียงพอต่อการป้องกันผู้ใช้งานในองค์กรจาก malware ตัวนี้หรือไม่ เราขอสรุปให้ตามนี้ครับ โดยอ้างอิงรายละเอียดจาก http://researchcenter.paloaltonetworks.com/2017/05/palo-alto-networks-protections-wanacrypt0r-attacks/

Malware ตัวนี้ทำงานอย่างไร?

การโจมตีของ WanaCrypt0r malware นั้นมักจะโจมตีผ่านทาง phishing email ที่มี Link ไปยัง website ที่จะทำการ exploit เครื่องผู้ใช้งานและทำการ download และสั่งให้ malware ทำงานโดยอัตโนมัติ หรืออีกวิธีคือการแนบไฟล์ PDF ที่ฝัง malware เข้ามากับ email และอาศัยความไม่ระวังของผู้ใช้ให้เปิดไฟล์

หลังจากที่เครื่องผู้ใช้โดน ransomware ติดตั้งไปแล้ว ตัว malware จะมีการแพร่กระจายเข้าเครือข่ายผ่าน SMB protocol โดยอาศัยช่องโห่วของ Microsoft Windows (CVE-2017–0144) ซึ่งช่องโหว่ตัวนี้มีการถูกเปิดเผยโดยกลุ่ม Shadow Brokers ในช่วงเดือนเมษายน และทาง Microsoft ได้ออกโปรแกรมอัพเดท เพื่ออุดช่องโหว่ตัวนี้ MS17–010 ในช่วงเดือนมีนาคม

การป้องกัน

ลูกค้าของ Palo Alto Networks Next-Generation Firewall ทุกท่านที่มีการเปิดใช้งาน subscription (Threat Prevention, URL Filtering, WildFire) และ Advanced Endpoint Protection จะได้รับการป้องกันด้วย Next-Generation Security Platform ของทางบริษัท โดยใช้หลากหลายวิธีการในการป้องกันวงจรของการโจมตีจาก WanaCrypt0r ดังนี้:

  • WildFire: ทำการเรียนรู้ แยกประเภทไฟล์ที่เป็นมัลแวร์ที่ไม่รู้จักมาก่อนและทำการป้องกันเครื่องยูสเซอร์จากการดาวโหลดหรืออัพโหลดมัลแวร์โดยอัตโนมัติ
  • Threat Prevention:
    - ใช้ IPS signatures ในการป้องกันเครื่องยูสเซอร์การโจมตีช่องโหว่ CVE-2017–0144 — MS17–01: SMB vulnerability ETERNALBLUE โดยอัตโนมัติ
    - ใช้ DNS Sinkholing ในการป้องกันทราฟฟิกการติดต่อสื่อสาร (Command and Control) กลับไปยังโดแมนของมัลแวร์ รวมถึงระบุเครื่องที่ติดมัลแวร์ WanaCrypt0r
  • URL Filtering: ป้องกันเครื่องยูสเซอร์จากการเข้าถึงเว้บไซด์ที่เป็นแหล่งแพร่กระจายมัลแวร์ รวมถึงป้องกันการติดต่อสื่อสารกลับ (Command and Control URL) ไปยังเครื่องแฮ้กเกอร์โดยอัตโนมัติ
  • Traps: ป้องกันการ execution มัลแวร์ WannaCrypt0r บนเครื่องยูสเซอร์โดยอัตโนมัติ
  • AutoFocus: ใช้ Threat Intelligence เพื่อทำการติดตาม วิเคราะห์เชิงลึก และตามล่าการโจมตี ของมัลแวร์ผ่าน Tag Name “WanaCrypt0r” แบบเชิงรุก (Proactive Prevention and Response)
  • GlobalProtect: ขยายการป้องกันไปยังเครื่องยูสเซอร์ที่มีการใช้งานนอกระบบเครือข่าย

สำหรับ Best Practices ในการป้องกัน Ransomware ด้วย Palo Alto Networks Next-Generation Security Platform แนะนำให้อ่านจากเพจ https://live.paloaltonetworks.com/t5/Featured-Articles/Best-Practices-for-Ransomware-Prevention/ta-p/74148

หากมีข้อสงสัยเกี่ยวกับผลิตภัณฑ์ Palo Alto Networks ติดต่อ อินแกรม ไมโคร (ประเทศไทย) ที่อีเมล TH-PaloAltoNetworks@ingrammicro.com