【惡意程式防護資訊】勒贖軟體的防護策略-IWSVA的建議設定
近期RANSOM_Waltrix(CryptXXX)勒索病毒災情頻傳,感染案件遽增的原因是駭客透過惡意廣告發動攻擊,所謂惡意廣告是駭客偽裝成廣告主將他們製作的惡意廣告透過廣告商推播至各大網站或部落格。因此瀏覽一般正常網站也可能遭遇惡意廣告因而感染勒索病毒,尤有甚者駭客會利用Exploit Kit攻擊作業系統及應用程式的資安漏洞。此波肆虐台灣的勒索病毒利用Flash/SilverLight/IE的漏洞進行攻擊,據受害者反映,瀏覽新聞網站、入口網站以及文章常在FaceBook上被分享的一些內容網站之後,開始出現感染勒索病毒的情況,建議盡快更新Flash/SilverLight/IE的修補程式以降低遭遇勒索病毒的風險。
若您目前使用IWSVA可參考下列建議設定,透過IWSVA防護功能避免感染勒索病毒:
1. 利用檔案類型封鎖功能阻擋Flash檔的下載:
IWSVA透過將Flash檔的檔案類型下載進行封鎖,可大大降低感染勒贖軟體的機會。IWSVA v6.5支援以下Flash檔的檔案類型:
- Macromedia Director Cast
- Macromedia Director Shockwave Movie
- Macromedia Flash
- Macromedia Flash FLV Video
設定方式在『HTTP → Advanced Threat Protection → Policies → 點選Policy名稱 → Virus/Malware Scan Rule → Block These File Types』中,展開Audio/Video files後,選取Macromedia Director Cast、Macromedia Director Shockwave Movie、Macromedia Flash及Macromedia Flash FLV Video類別後,點選Save,即可將Flash檔類型檔案下載行為進行封鎖。
在此設定中也可將可執行檔的檔案類型下載進行封鎖,可大大降低感染勒贖軟體的機會。在Block These File Types項目中,也勾選Executables類別後,點選Save,即可將可執行檔類型檔案下載行為進行封鎖。
2.利用URL Filtering功能攔阻廣告類型網站瀏覽:
IWSVA透過URL Filtering功能可攔阻廣告類型網站的瀏覽。可大大降低感染勒贖軟體的機會。
設定方式在『HTTP → URL Filtering → Policies → 點選Policy名稱 → Rule』中,展開Internet Security後,選取Adware、Web Advertisement、New Domain及Ransomware類別後,變更Action為Block後,點選Apply,看到Action欄位變更為紅色X ,再點選Save,即可將廣告類型網站進行封鎖。
註:URL Filtering的Ransomware類別需更新至IWSVA v6.5 SP2。
3. 利用URL Filtering功能攔阻Flash檔及Silver Light檔的下載:
IWSVA透過URL Filtering功能將包含Flash檔及Silver Light檔的檔案類型下載進行封鎖,透過客製化網站類別,封鎖Flash及Silver Light相關檔案的下載,可大大降低感染勒贖軟體的機會。
設定方式先在『HTTP → Configuration → Custom Categories』中點選Add,新增自訂類別。
在Category Name中輸入自訂類別名稱 (在此以Flash Block為例)。在Match中輸入『*/*.swf』,並選擇String,再點選Add。完成後點選Save即可。
重複此步驟,在『HTTP → Configuration → Custom Categories』中點選Add,新增自訂類別。
在Category Name中輸入自訂類別名稱 (在此以SilverLight Block為例)。 在Match中輸入『*/*.xaml』,並選擇String,點選Add,以及在Match中輸入『*/*.xap』,並選擇String,點選Add。完成後點選Save即可。
完成後在『HTTP → URL Filtering → Policies → 點選Policy名稱 → Rule』中,於Custom Categories中,選取剛剛建立的自訂類別後,變更Action為Block後,點選Apply,看到Action欄位變更為紅色X,再點選Save,即可將自訂類型網站進行封鎖。
4. 使用HTTPS Decryption功能加強攔阻透過HTTPS管道的Flash檔及Silver Light檔的下載:
此波肆虐台灣的勒索病毒案例中也同樣發現,部分Exploit Kit攻擊的網頁放置於HTTPS加密的網站位置,您可透過啟用IWSVA的HTTPS Decryption功能加入過濾HTTPS類型網站。可大大降低感染勒贖軟體的機會。
注意事項:
1. 預設IWSVA並未啟用HTTPS Decryption功能。啟用此功能會增加IWSVA系統資源使用率,需評估及確認IWSVA效能及環境中網路流量後進行啟用。
2. 啟用HTTPS Decryption功能後,瀏覽HTTPS網站時若出現『此網站的安全性憑證有問題』畫面,需先將IWSVA的根憑證匯入用戶端本機受信任的根憑證授權單位中,即可避免此問題。
當啟用HTTPS Decryption功能後,開啟HTTPS的網頁時,一開始會出現此網站的安全性憑證有問題的畫面。
檢視憑證資訊確認為IWSVA根憑證未受信任。
於用戶端本機中安裝匯入IWSVA的根憑證後,即可正常瀏覽HTTPS網站。
啟用HTTPS Decryption功能需先於『HTTP → HTTPS Decryption』中,勾選Enable HTTPS Decryption,完成後點選Save。
接著在『HTTP → HTTPS Decryption → Policies → 點選Policy名稱 → Rule』中,於Custom Categories中,勾選所有網站類別後,再點選Save,即可將所選擇的HTTPS網站類型套用上述設定的過濾規則。
資料來源:趨勢科技20160706電子報
近期迴響