Danny Yang

資安通報:新型惡意木馬程式變種Glupteba迅速擴散

Blog Post created by Danny Yang Employee on Apr 13, 2018

 

Check Point威脅研究團隊正持續追蹤並觀察一支散佈極為迅速新興變種病毒Glupteba(惡意木馬程式),它透過Double Pulsa與Eternal Blue漏洞在企業網路中橫向擴散。

過去一週內,我們發現已有260個客戶受到影響,其中在印度(34+)和印尼(26+)的受害企業相當多,也有逐漸擴散至亞洲其他區域的趨勢。

 

如何判斷可能有遭到感染的跡象?

 

  • 從Check Point Anti-Bot中 觀察是否有下列惡意站台連線的相關日誌
  • Fastandcoolest[.]com
  • Blumbergnew[.]com
  • 從防火牆日誌中觀察是否有從內部至外部internet的SMB掃描

 

如果確認遭到感染,後續該如何處置?

 

  • 立即將疑似受感染的主機/工作站隔離於企業網路(離線)
  • 請儘快與Check Point臺灣辦公室聯繫,安排原廠IRT(Incident Response Team)進行遠端協助

-我們已經發現一些徵兆,受感染主機並未連線至惡意中繼站(C&C),而僅是掃描SMB

 

如何有效預防?

 

於現有的Check Point Security Gateway啟用SandBlast功能,目前已證實SandBlast Threat Emulation(沙箱掃描)能偵測該新型病毒的運作進程並有效阻擋。

Outcomes