MENDEL 2.8 RELEASED

We are happy to announce the latest version of GREYCORTEX MENDEL. Version 2.8 includes three new important features: the first is the Event Collector. Released as part of v2.7 (a limited release), the Event Collector offers the opportunity to centrally monitor events from several remote GREYCORTEX MENDEL collectors. The second major new feature is the Correlation Engine. This tool correlates individual, less-serious events – which together may be indicative of attacks within the network, to more effectively alert security analysts. Finally, MENDEL 2.8 includes proxy pairing functionality which identifies source or destination addresses hidden by proxy servers, which will allow security analysts to better identify potential issues on the network and provide even greater visibility.
New Features

  • Added a beta version of the Correlation Engine, including seven tuned rules which further increase security (The feature may be turned on by going to Settings->System Components)
  • Added a proxy pairing feature to display source or destination addresses hidden by a proxy server

Improvements

  • Optimized the display of charts and tables in the Network module
  • Added information about the type of key exchange algorithms in HTTPS and TLS flows
  • Improved the calculation of flow metrics to show values valid for specific parts

Bug Fixes

  • Fixed issues with disabling deep packet inspection and enabling rules in IDS
  • Fixed an issue with updates to older installations
  • Fixed issues with MS-SQL protocol parsing at higher speeds
  • Fixed an issue with displaying current values on the Network Services tab
  • Fixed an issue with displaying multiple VLAN IDs in a single flow
  • Fixed issues with parsing SMB flows
  • Fixed issues with editing export definitions
  • Fixed an issue with pagination results in the Peers graph
  • Fixed issues with restarting services
  • Fixed an issue with filtering by protocol type
  • Fixed an issue with deleting user-defined filters
  • Fixed an issue with saving user-created or user-defined filters
  • Fixed an issue with displaying VLAN statistics in the Analysis module
  • Fixed an issue with exporting records in CEF and Syslog formats
  • Fixed an issue with long hostnames
  • Fixed issues with calculating the minimum and maximum duration of flows
  • Fixed link formatting in Exports
  • Fixed an issue with displaying ASN names in flows
  • Fixed an issue with displaying host information in the Analysis module
  • Fixed the calculation of RTT and ART metrics in long term flows with unfinished communication
  • Fixed an issue with the validation of row counts in Column Manager

GREYCORTEX WINS AGAIN AT CESA 2017

GREYCORTEX took home the top prize in its category at the Czech Finals of the 2017 Central European Startup Awards (CESA). The Czech final,  held on September 25th in Prague, recognized GREYCORTEX as the Best AI Startup in the country.
The Central European Startup Awards is a series of national events in the CEE countries, recognizing and celebrating the entrepreneurial spirit and startup ecosystems of the region. Having been successful in the AI Startup category in the Czech Republic, GREYCORTEX now competes in the Regional Finals, to be held in Sofia Bulgaria on November 23rd. GREYCORTEX was successful at least year’s Regional Final, winning “Best Newcomer” in Ljubljana, Slovenia.
A list of CESA Czech Winners in 2017 may be found at: http://centraleuropeanstartupawards.com/season-2017/czech-republic-national-winners

Petya最新變種須知

最近發生的全球網路攻擊,ESET將其檢測為Win32/Diskcoder.C,而這再次凸顯出過時的系統和不足的安全解決方案仍然普遍存在。

此次攻擊所造成的損失方面存在著許多疑問,ESET資安專家在這裡為您解答。

該病毒的特點是什麼?

  • 加密:只加密特定副檔名的檔,但也會嘗試加密MBR (Master Boot Record)。
  • 傳播:像蠕蟲一樣,他可以透過網路傳播並感染其他台電腦。
  • 利用漏洞:利用了尚未更新和安裝安全更新的電腦中所存在的漏洞。

是否與WannaCryptor具有同樣強的破壞力?

兩者感染後的後果相同,使用者無法讀取系統中存儲的資料。但Diskcoder.C不僅僅加密漏洞電腦上的檔案,更在系統重啟後,使作業系統無法載入,迫使受害者重新安裝系統。

與WannaCryptor傳播方式相同嗎?

部分相同,但不盡然。雖然兩者都利用了美國國家安全局的漏洞入侵工具-永恆之藍,但Win32/Diskcoder.C還利用了其他傳播技術,通過濫用Microsoft Windows所供Sysinternals工具包中的PsExec等合法工具,以及Windows Management Instrumentation Command-line (WMIC)進行傳播;後者是為運行Windows作業系統的本地或遠端電腦提供的一種資料和功能管理資源。

與Mischa和Petya有何類似之處?

將這三種惡意程式家族歸為一類的主要原因,是因為它們除了加密作業系統之中的檔案資料外,還會通過加密MBR的方式,使作業系統無法運行。除這共通性以外,它們之間再沒多少相同之處,所採用的技術和處理機制各有不同。

該病毒的具體工作原理是什麼?

惡意程式運行後,首先會建立在特定時間之後重啟電腦的排程任務,通常不超過60分鐘。

此外,該病毒還會查看是否存在可以複製自身到共用資料夾或隱藏磁碟區。如果存在,則會利用WMIC在遠端設備上運行惡意程式。

接著,該病毒開始加密含有特定副檔名的檔案。需要強調的是,Win32/Diskcoder.C與多數勒索病毒不同,不會在加密每個檔後修改或添加特定副檔名;後者是攻擊者廣泛運用、區別染毒檔的方式之一。

下圖中,可以看到病毒試圖加密的檔案的副檔名:

此外,該病毒還試圖刪除事件日誌、不留下任何線索,並隱藏其行為。使用上述技巧執行命令列的畫面,如下圖所示:

如何傳播?

如上所述,傳播技術是該病毒的主要特徵。一旦成功感染電腦後,病毒會嘗試提取使用者帳戶和密碼,並配合PsExec和WMIC搜索共用資料夾和隱藏磁碟區,然後在通過電腦網路傳播。借助這種方式,便可感染位於其他國家和海外地區的電腦。

多數情況下,跨國公司團隊在通過同一網路連接位於歐洲或亞洲的其他分公司時,便會受到病毒感染。病毒的傳播機制與蠕蟲相同。

如何防範這一病毒?請參考以下五個建議:

1.使用專業可值得信賴的防毒軟體 (ESET NOD32)

在家用和工作電腦上安裝防毒軟體,確保定期更新系統。需正確配置port,明確開放port及其開放原因 – 尤其是WMI和PsExec所使用的135、139、445和1025-1035 TCP port。

 

2.阻止EXE檔案

在資料夾%AppData%和%Temp%中阻止EXE執行,禁用預設ADMIN$帳戶與Admin$共用資料夾。可以的話禁用SMB v1。

 

3.監測網路狀態

確保網路配置正確、分級管理,時刻檢測網路流量並查找異常行為。

 

4.備份資料

找出電腦上的關鍵資料和資料,做好備份 – 將備份檔案離線儲存。一旦您的電腦不幸感染勒索病毒,可將資料資料回復到近期狀態。

 

5.密碼管理

必須認真管理密碼。如果不同管理中心統一使用同一密碼,一旦其中一台電腦染毒,便可洩露管理員帳戶和密碼,從而可導致整個網路染毒。作為防範措施,最好確保不同團隊和管理中心各自使用不同的密碼。

同時啟用【雙重身份驗證機制】(ESET雙重認證安全)也十分重要,因為它為驗證使用者身份的帳戶密碼提供了一道新增安全屏障。一旦某台設備不幸中毒,便能夠在病毒試圖獲取其他電腦管理許可權之時,阻止病毒在網路內部橫向傳播。

已染毒且無法訪問系統,怎麼辦?

可借助取證技術,嘗試在記憶體中運行另一作業系統,以讀取已加密檔。但除了恢復備份,可以避免重裝作業系統外,再沒有其他更好的解決途徑。

對於此病毒,繳交贖金是沒有任何意義的,ESET近期所作的TeleBots調查結果顯示,攻擊背後的疑似駭客團隊表示,Win32/Diskcoder.C並非常規意義上的勒索病毒。

雖然該病毒加密檔並索要300美元解密贖金,但攻擊者實際想要的效果 – 也正是他們的主要目標 – 就是造成損失。因此,他們竭盡全力,使資料幾乎不可能解密。

此外,該病毒還能夠運用自身惡意程式碼,修改MBR。但這種操作方式本身,使主引導記錄根本無法恢復。攻擊者根本無法提供解密金鑰,同時解密金鑰也無法輸入到勒索介面之中,因為所生成的密碼含有非法字元。

缺乏安全意識、公司教育訓練不足和相關網路安全技能缺乏,是造成檔案被勒索的主要原因之一。不幸的是,許多職員仍未意識到網路攻擊對公司經營帶來的潛在危害,直到淪為受害者、被勒索支付贖金,而此時也為時已晚。由於網路罪犯遇到的防禦水準較低,因此他們更有動力持續利用薄弱環節,開發出新的勒索病毒並成功執行攻擊,造成用戶損失。因此擁有資安危機意識是很重要的,預防措施永遠更勝於後續補救,ESET資安產品及企業解決方案能主動偵測已知(如WannaCryptor、Petya)、未知病毒及勒索軟體,抵禦網路攻擊或資安威脅,協助您打造良好的資安環境。

原文出處: https://www.welivesecurity.com/2017/07/06/everything-need-know-latest-variant-petya/