Kako Flowmon rešenje pomaže u otkrivanju EXPETR/PETYA Wiper

Milan Marinković

Business Development Manager

Milan.Marinkovic@alef.com

U slučaju napada pri kojem su vaši podaci kriptovani, najjednostavnije rešenje je jednostavno vratiti podatke iz backupa kojeg, verujemo, radite redovno. Nema nikakvog smisla kontaktirati ucenjivača ili platiti traženi iznos jer je tehnički nemoguće dešifrovati jednom kriptovane podatke. Razlog? Instalacijski ID ne sadrži informacije potrebne za povraćaj podataka, odnosno ekstrakcija ključa za dešifrovanje koristeći privatni ključ nije moguća.

Internet sigurnosna zajednica je detektovala specifičan način ponašanja karakterističan za Petyu. Glavna komunikacija zaraženih sistema uvek ide prema sledećim IP adresama: 95.141.115.108, 185.165.29.78, 84.200.16.242, i 111.90.139.247. Upravo ova činjenica olakšava detekciju zaraženih sistema na mrežnom nivou.

Prvi način je postavljanje alarma u Flowmon monitoring centru (FMC) gde se definiše alarm za navedene IP adrese. Koristimo sledeći filter:

dst ip 95.141.115.108 or dst ip 185.165.29.78 or dst ip 84.200.16.242 or dst ip 111.90.139.247

Drugi način je definisanje Custom behavior patterna unutar Flowmon ADS modula.

Postavite uzorak na sledeći način: destination_ip_address = Tools.ip_to_int('95.141.115.108') OR destination_ip_address = Tools.ip_to_int('185.165.29.78') OR destination_ip_address = Tools.ip_to_int('84.200.16.242') OR destination_ip_address = Tools.ip_to_int('111.90.139.247')

I to je to!

Ukoliko želite, možete ovaj članak pogledati i na Flowmon YouTube kanalu.

Za više detalja o Flowmon rešenjima molimo vas da nas kontaktirate.