Cisco Greece

Το Cisco AMP δεν έκλαψε!

1 min read



Το Cisco Advanced Malware Protection (AMP) και η επίθεση του WannaCry

Στις 12 Μαΐου, το Cisco AMP Threat Grid ανίχνευσε το WannaCry σε πολλά υποβληθέντα δείγματα. Ορισμένα από αυτά προέκυψαν από αυτόματες υποβολές μέσω της ενσωματωμένης λειτουργίας Low Prevalence του AMP στα Endpoints, ενώ άλλα προέρχονταν από το Cisco Email Security με AMP license.

Οι λεπτομέρειες του παρακάτω δείγματος είναι θολές για την προστασία των χρηστών.

Δεδομένου ότι το Threat Grid είναι ενσωματωμένο μέρος του συστήματος AMP, μόλις εντοπίσαμε το κακόβουλο λογισμικό με βάση τα χαρακτηριστικά του και μόνο, το AMP κατάφερε να ανιχνεύσει, να αναλύσει και να προστατεύσει από αυτήν την άγνωστη παραλλαγή malware και να την αποκλείσει από κάθε προστατευμένο σύστημα.

Το Cisco Umbrella μπορεί επίσης να βοηθήσει στην αποτροπή της σύνδεσης με τον command και control server. Το Cisco Umbrella (OpenDNS) εντόπισε για πρώτη φορά τα αιτήματα για το kill/anti-sandbox domain του WannaCry.

(iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com) στις 07:24 UTC την Παρασκευή και προστέθηκαν στην κατηγορία των πρόσφατων domains (Newly Seen Domains).

Έτσι, ακόμη και πριν από την εγγραφή του παραπάνω site (για να λειτουργήσει ως kill/switch), εάν ένας πελάτης είχε umbrella με πρόσφατα site ως αποκλεισμένα, το κακόβουλο πρόγραμμα θα έκανε το domain request, θα λάμβανε την IP της σελίδα διαχείρισης του OpenDNS, θα συνδεόταν στην block NSD policy ιστοσελίδα  και στη συνέχεια θα έκλεινε την εφαρμογή, αφού ενεργοποιείται ο διακόπτης kill. Και έτσι το κακόβουλο λογισμικό δεν θα εξαπλώνονταν.

Αυτό σημαίνει ότι οι πελάτες Cisco Umbrella ήταν ασφαλείς από τις 7:43 UTC την Παρασκευή το πρωί.

Για περισσότερες πληροφορίες σχετικά με το πως το Cisco AMP μπορεί να σας προστατέψει επισκεφθείτε το www.cisco.com/go/amp

Authors

Nikos Mourtzinos

Product Sales Specialist

Cisco Global Security Organization

Tags