最新資訊

資安通報

日期：2017/6/28

繼WanaCrypt0r/WanaCry attacks後，又一波死恢復燃的攻擊出現了。"Petya"，2017/06/27，攻擊出現在多個組織，包含政府及重要的基礎設施上。為什麼講死恢復燃？如果對CVE這個組織有了解的話，看序號就會知道這是跟WanaCry同一個時間出現的Windows 漏洞，同樣的，微軟在2017/3/14也發布了重大更新，所以如果有進行Windows更新的設備，基本上都不必太擔心。

另外，此次的攻擊方式與2017年5月的Wannacry相似，但就我找到的文件來看，比Wannacry可怕的是，只要環境中有一台電腦沒進行更新，病毒感染後，就會再採用CVE-2017-0199的漏洞進行橫向感染，如果還不知道的，在下面有香港的unwire.hk有提供中文說明：

https://unwire.hk/2017/06/28/petya/tech-secure/

★針對Paloalto的處理方式如下：

• WildFire classifies all known samples as malware, automatically blocking malicious content from being delivered to users.

• Threat Prevention

  • Enforces IPS signatures (content release: 688-2964) for the SMB vulnerability exploit (CVE-2017-0144– MS17-010) likely used in this attack.

  • Blocks the malicious payload via “Virus/Win32.WGeneric.mkldr” and “Virus/Win32.WGeneric.mkknd” signatures.

• GlobalProtect extends WildFire protections to ensure consistent coverage for remote locations and users.

從文件中可以知道，如果設備已有採購Wirefire及Threat的License的情況下，並有開啟相關的阻擋功能後，已可針對"Petya"的惡意攻擊進行防禦。

★針對Fortigate的處理方式如下：

Fortigate有提出針對petya建立了一個petya-central資料平台，讓使用者可以知道最新的消息，網址如下，

https://fortinet.uberflip.com/petya-central

• 原廠也有提出說明，只要更新到最新的IPS, 即可有效進行防禦。