• Home
  • Resellers
    • VAR & SI Channel
    • Cloud Channel
    • Retail Channel
    • Service Provider Channel
    • Become a Partner/ Reseller
    • Events/ Workshops/ Siminars
  • End User
    • Look for a Reseller/ How to buy?
  • Products & Services
    • Products by Vendors >
      • Dell Technologies
      • Hewlett Packard Enterprise (HPE)
      • Aruba Networks
      • Extreme Networks
      • Veritas
      • COMMSCOPE
      • F5
      • FireEye
      • LogRhythm
      • RUCKUS Wireless >
        • Ruckus solutions
      • Sentinel One
      • APC
      • PANDUIT
      • RITTAL
      • LINKSYS Networks
      • technicolor
      • Mandiant
      • Lenovo
      • FLUKE networks
      • Honeywell Mobility
      • tenable network security
      • Netscout
      • Nexthink
      • NEC Display
      • STC Cloud
      • Acronis
      • Skybox Security
      • Logitech Video Conferencing
      • GATEWATCHER
    • Product by BU Solutions >
      • Data Centers >
        • DELL EMC
        • HPE Compute and Data Storage
        • Lenovo Data Center Group
        • VMware
        • F5
        • Pivot3
        • Veritas
      • Cloud & Digital Distribution BU
      • Cyber Security & Data Protection >
        • Tenable
        • FireEye
        • Mandiant
        • F5
        • LogRhythm
        • Sentinel One
        • Arbor Networks
        • Veritas
        • GATEWATCHER
        • Skybox Security
        • Acronis
        • Boolebox
      • Infrastructure & Networks >
        • Aruba Networks
        • Extreme Networks
        • F5
        • RUCKUS Enterprise Networking
        • DELL Networking
        • LINKSYS SMB Networking
        • SYSTIMAX® Structured Cabling
        • NETCONNECT® Structured Cabling
        • PANDUIT
        • APC
        • Rittal
      • Collaboration, Wireless & Mobility >
        • Logitech Video Conferencing
        • Zoom
        • NEC Display
        • Zoho Cliq Collaboration
        • Aruba Wireless
        • Ruckus Wireless
        • Extreme Wireless & Mobility
        • LINKSYS Wireless for SMB
        • Cradlepoint 4G/5G
        • Honeywell productivity & Mobility
      • IT Support & Test Systems >
        • Nexthink
        • PRTG Network Monitor
        • Team Viewer
        • Zoho IT & Help Desk
        • NETSCOUT
        • Fluke Networks
        • spirent
      • Retail and Consumer BU
      • IoT, Internet & Connectivity BU
    • Cloud Solutions
    • Professional Services
    • Support >
      • Escalation Procedure
      • RMA & After Sales
      • Downloads
      • Forum
    • Product Information >
      • Dell EMC smart value promotion
      • Dell EMC PowerScale
      • HPE Storage
      • Aruba SMB Networking
    • Knowledge Center
  • Marketplace
  • VAD Technologies
  • Company
    • About Us
    • News
    • Events Gallery
    • Vendor Partners
    • Awards
    • Join us
    • Contact
AlJammaz Technologies
The Leading Value-Added Distributor

ترجمة بالعربية لتغطية سيسكو تالوس لـ واناكراي  Arabization for Cisco Talos coverage for WannaCry

16/5/2017

0 Comments

 
Picture
A major ransomware attack has affected many organizations across the world reportedly including Telefonica in Spain, the National Health Service in the UK, and FedEx in the US. The malware responsible for this attack is a ransomware variant known as 'WannaCry'.
The malware then has the capability to scan heavily over TCP port 445 (Server Message Block/SMB), spreading similar to a worm, compromising hosts, encrypting files stored on them then demanding a ransom payment in the form of Bitcoin. It is important to note that this is not a threat that simply scans internal ranges to identify where to spread, it is also capable of spreading based on vulnerabilities it finds in other externally facing hosts across the internet.
لقد أثر هجوم الفديه الكبير واناكراي  على العديد من المنظمات في جميع أنحاء العالم بما في ذلك تلوفونيكا في إسبانيا، وخدمة الصحة الوطنية في المملكة المتحدة، و فيداكس في الولايات المتحدة. البرمجيه الخبيثة المسؤولة عن هذا الهجوم كانت هجوم الفديه البديل المعروف باسم واناكراي
البرمجيه الخبيثة "واناكراي" كان لديها القدرة على مسح المنفذ تي سي بي 445  بشكل كبير وهو المسؤول عن (خادم حجب الرسائل اس ام بي). "واناكري" انتشر بشكل مماثل لطريقه انتشار الدوده وورم، انتهك اجهزه المضيفين، شفر الملفات المخزنة على هذه الاجهزه ثم طالب بدفع فدية ماليه على شكل بت كوين (العملة الرقمية التي يمكن التداول بها في المعاملات دون الحاجة إلى البنك المركزي). من المهم أن نلاحظ أن هذه البرمجيه الخبيثه ليست ببساطة تهديدا يقوم بمسح النطاقات الداخلية لتحديد المكان التي ستنتشر بها فقط، بل هو أيضا قادرة على نشر نفسه من خلال نقاط الضعف او الثغرات التي يجدها على اجهزه المضيفين التي يتمكن من الوصول اليها في النطاقات الخارجيه عبر الإنترنت
Additionally, Talos has observed WannaCry samples making use of DOUBLEPULSAR which is a persistent backdoor that is generally used to access and execute code on previously compromised systems. This allows for the installation and activation of additional software, such as malware. This backdoor is typically installed following successful exploitation of SMB vulnerabilities addressed as part of Microsoft Security Bulletin MS17-010. This backdoor is associated with an offensive exploitation framework that was released as part of the Shadow Brokers cache that was recently released to the public. Since its release it has been widely analyzed and studied by the security industry as well as on various underground hacking forums.

WannaCry appears to primarily utilize the ETERNALBLUE modules and the DOUBLEPULSAR backdoor. The malware uses ETERNALBLUE for the initial exploitation of the SMB vulnerability. If successful it will then implant the DOUBLEPULSAR backdoor and utilize it to install the malware. If the DOUBLEPULSAR backdoor is already installed the malware will still leverage this to install the ransomware payload. This is the cause of the worm-like activity that has been widely observed across the internet

Organizations should ensure that devices running Windows are fully patched and deployed in accordance with best practices. Additionally, organizations should have SMB ports (139, 445) blocked from all externally accessible hosts.

Please note this threat is still under active investigation, the situation may change as we learn more or as our adversary responds to our actions. Talos will continue to actively monitor and analyze this situation for new developments and respond accordingly. As a result, new coverage may be developed or existing coverage adapted and/or modified at a later date. For current information, please refer to your Firepower Management Center or Snort.org.
​بالإضافة إلى ذلك، لاحظ تالوس وجود عينات واناكراي تستخدم دبل بلسار وهي عباره عن بوابات خلفيه خبيثه و مخفيه تستخدم عادة لتنفيذ التعليمات البرمجية على النظم التي انتهكت وتم دخولها. هذا يسمح لتركيب وتفعيل برامج إضافية، مثل البرمجيات الخبيثة على هذه الاجهزه.  تمكنت واناكراي من تثبيت هذه البوابات الخلفيه الخبيثه بعد نجاحها في استغلال ثغره خادم حجب الرسائل اس ام بي والتي تم معالجتها كجزء من نشرة أمان أصدرتها ميكروسوفت مسبقا وكانت تحت اسم ام اس 17-010. البوابات الخلفيه الخبيثه  التي استخدمتها هجمه واناكري كانت مرتبطه مع إطار استغلالي هجومي وعدواني تم إصدارها كجزء من بوابات خلفيه خبيثه مخبأه مع مجموعه تسمى شادو بروكر والتي قامت باصدارها ونشرها مؤخرا للجمهور. منذ إطلاق ونشر هذه البوابات الخلفيه الخبيثه فقد تم تحليلها على نطاق واسع ودراستها من قبل شركات وجماعات امن المعلومات وكذلك على مختلف منتديات القرصنة بشكل سري

ويظهر ان واناكراي قامت في المقام الأول من الاستفادة من وحدات اترنابلو التي وضعتهاوكالة الأمن القومي الأمريكية  وتم سرقتها, واستفادت من البوابات الخلفيه الخبيثه دبل بلسار. تمكنت البرمجيات الخبيثة من استخدام اترنابلو للاستغلال الأولي لثغرة خادم حجب الرسائل اس ام بي. كان مخطط لهذا الهجوم بانه اذا نجح الاستغلال فانه سيتم زرع البوابات الخلفيه الخبيثه دبل بلسار بشكل مخفي والاستفادة من هذه البوابات لتثبيت البرامج الضارة. في حال ان البوابات الخلفيه الخبيثه دبل بلسار بالفعل تم تثبيتها فان البرامج الخبيثه سوف يكون لها القدره على تثبيت حمولة هجوم الفديه (واناكري) على الانظمه. وهذا يفسر سبب النشاط الشبيه بالدودة وورم الذي لوحظ على نطاق واسع عبر الإنترنت

يجب على المنظمات التأكد من أن الأجهزة التي تعمل بنظام التشغيل ويندوز مصححة بالكامل ومتبعه افضل الممارسات. بالإضافة إلى ذلك، يجب أن تكون منافذ اس ام بي 445 و 139 لدى المنظمات محظورة على جميع المضيفين في الخارج

​يرجى ملاحظة أن هذا التهديد لا يزال قيد التحقيق الفعلي، وقد يتغير الوضع ونحن ندرس أكثر عن الهجوم وكيف يستجيب خصمنا لأفعالنا. وسوف تستمر تالوس في رصد وتحليل هذا الوضع بنشاط لمراقبه التطورات الجديدة والرد وفقا لذلك. ونتيجة لذلك، يمكن وضع تغطية جديدة أو تكييف التغطية الحالية و / أو تعديلها في وقت لاحق. للحصول على المعلومات الحالية، يرجى الرجوع إلى
  Firepower Management Centerأو Snort.org

CAMPAIGN DETAILS

We observed an uptick in scanning of our internet facing honeypots starting shortly before 5am EST (9am UTC).​

تفاصيل الحملة​

​لاحظنا زيادة في عمليات مسح واجهات المصائد المواجهه للإنترنت والتي بدأت بالتوقيت العالمي قبل وقت قصير من 5 صباحا ايسترن تايم 
Picture

​INFRASTRUCTURE ANALYSIS

Cisco Umbrella researchers first observed requests for one of WannaCry's killswitch domains (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com)
​starting at 07:24 UTC, then rising to a peak of just over 1,400 nearly 10 hours later. 

تحليل البنية التحتية

لقد لاحظ باحثو سيسكو أمبريلا  لأول مرة طلب الحصول على واحد من نطاقات تبديل قتل وانا كراي الخاصة ب واناكراي
​iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
​ابتداء من الساعة 07:24 بالتوقيت العالمي ، ثم ارتفع إلى ذروته ليزيد قليلا عن 1400 طلب بعد حوالي 10 ساعات
Picture
​The domain composition looks almost human typed, with most characters falling into the top and home rows of a keyboard. 

Communication to this domain might be categorized as a kill switch domain due to its role in the overall execution of the malware:
​تكوين المجال يبدو تقريبا مكتوب من قبل شخص، حيث تبين من معظم الحروف المكتوبه انها تقع في أعلى لوحة المفاتيح

​قد يتم تصنيف الاتصالات إلى هذا المجال على أنه مجال تبديل القتل بسبب دوره في التنفيذ الشامل للبرامج الضارة
Picture
​The above subroutine attempts an HTTP GET to this domain, and if it fails, continues to carry out the infection. However if it succeeds, the subroutine exits. The domain is registered to a well known sinkhole, effectively causing this sample to terminate its malicious activity. 
​يحاول البرنامج الفرعي أعلاه عمل طلب إلى المجال، وإذا فشل، فانه يستمر في تنفيذ هذا البرنامج العدواني بشكل لا نهائي. ومع ذلك، إذا نجح طلب المجال، فان البرنامج الفرعي يتوقف. لقد تم تسجيل المجال إلى  سنيك هول معروفه مما تسبب بشكل فعال  لهذه العينة لإنهاء نشاطها الخبيث
Picture
The raw registration information re-enforces this as it was registered on 12 May 2017:
معلومات التسجيل الاوليه الخاصه بهذا المجال إعادة فرض بان المجال تم تسجيله في 12 مايو 2017​
Picture

MALWARE ANALYSIS

​An initial file "mssecsvc.exe" drops and executes "tasksche.exe", this exe tests the kill switch domains. One complete, the service mssecsvc2.0 is created, this is a method of persistance for the malware. This service executes "mssecsvc.exe" with a different entry point than the initial execution. This second execution executes 2 threads. The first thread checks the IP address of the infected machine and attempts to connect to TCP445 (SMB) of each host/IP address in the same subnet and second thread generates random IP address on the Internet to perform the same action. When the malware successfully connects to a machine, a connection is initiated and data is transferred. The malware exploits the SMB vulnerability addressed by Microsoft in the bulletin MS17-010 (ETERNALBLUE) in order to implant the DOUBLEPULSAR backdoor. The backdoor is used to execute WANNACRY on the new compromised system.

The file tasksche.exe
checks for disk drives, including network shares and removable storage devices mapped to a letter, such as 'C:/', 'D:/' etc. The malware then checks for files with a file extension as listed in the appendix and encrypts these using 2048-bit RSA encryption. While the files are being encrypted, the malware creates a new file directory 'Tor/' into which it drops tor.exe and nine dll files used by tor.exe. Additionally, it drops two further files: taskdl.exe & taskse.exe. The former deletes temporary files while the latter launches
@wanadecryptor@.exe ​
to display the ransom note on the desktop to the end user. The @wanadecryptor@.exe is not in and of itself the ransomware, only the ransom note. The encryption is performed in the background by tasksche.exe.

The tor.exe file is executed by @wanadecryptor@.exe. This newly executed process initiates network connections to Tor nodes. This allows WannaCry to attempt to preserve anonymity by proxying their traffic through the Tor network. 

Typical of other ransomware variants, the malware also deletes any shadow copies on the victim's machine in order to make recovery more difficult. It achieve this by using
WMIC.exe, vssadmin.exe and cmd.exe.

​تحليل البرمجيات الضارة

​الملف الأولي المسمى 
(mssecsvc.exe) 
نفذ الخدمه المسماه
(tasksche.exe)
والتي تقوم باختبار وفحص نطاقات قتل التبديل. عندما تكتمل عمليه الاختبار فان  الملف الاولي
​ينشأ وهذه هي طريقه الإصرار من قبل البرامج الخبيثه. هذه الخدمه  تنفذ برنامج الملف الاولي ولكن من نقطة دخول مختلفة عن التنفيذ الأولي. التنفيذ الثاني يقوم بتشغيل 2 ثريد , في  ثريد الأول يقوم بالتحقق من عنوان النترنت الخاص بالجهاز المصاب ويحاول الاتصال ب  تي سي بي 445 ( خدمه ال اس ام بي) لكل عنوان في نفس الشبكة الفرعية ويقوم ثريد الثاني بإنشاء عنوان انترنت عشوائي على الإنترنت لتنفيذ نفس الإجراء. عندما تصل البرامج الخبيثه وتتصل بنجاح إلى جهاز، يتم عمل شبكه اتصال ويتم بدء نقل البيانات. البرمجيات الخبيثة استغلت نقطه الضعف  اس ام بي الموجودة في ويندوز والتي تناولتها مايكروسوفت في نشرة ام اس 17- 010 من أجل زرع بوابات خلفيه خبيثه.  هذه البوابات الخلفيه الخبيثه استخدامت لتنفيذ هجمه وانا كراي على الانظمه الجديده المنتهكه
​الملف tasksche.exe
يقوم بفحص محركات الأقراص بما في ذلك مشاركات الشبكة وأجهزة التخزين القابلة للإزالة  مثل قرص ال سي و ال دي الخ. ثم يقوم البرنامج الخبيث بفحص امتداد الملفات بناء على ما هو مذكور في التذييل ويقوم بتشفير هذه الملفات باستخدام تشفير ار اس اي 2048 بت. في حين يتم تشفير الملفات، فان البرنامج الخبيث يقوم بإنشاء مجلد جديد (تور/) يقوم بوضع البرنامج تور وتسعة ملفات دلل تستخدم من قبل تور. بالإضافة إلى ذلك، فإنه يلغي اثنين من الملفات الأخرى
taskdl.exe و taskse.exe
​الأول يحذف الملفات المؤقتة في حين أن الأخير يشغل​
 wanadecryptor@.exe@ 
لعرض مسج الفدية على سطح المكتب للمستخدم النهائي. و البرنامج ليست في حد ذاته برنامج خبيث، إلا انه مجرد مسج موجه للمستخدم على انه الان تحت هجوم فدية. اما بالنسبه لعمليه التشفير فانه يتم في الخلفية من خلال الربنامج سابق الذكر تاسكس
يتم تنفيذ ملف تور بواسطة برنامج مسج الفدية. من خلال هذه العملية التي تم تنفيذها حديثا فانه يتم بناء شبكه اتصالات الى نقاط و عقد تور وهذا يسمح ل وانا كراي لمحاولة الحفاظ على عدم الكشف عن هويته عن طريق استخدام الوساطة المروريه من خلال شبكة تور
من المتغيرات في وانا كراي هو ان البرمجيات الخبيثة أيضا تحذف نسخ التعقب على الجهاز الضحية من أجل جعل عمليه استرجاع البيانات أكثر صعوبة. والذي يتحقق باستخدام
WMIC.exe، vssadmin.exe و cmd.exe.
Picture
​WannaCry uses various methods to attempt to aid its execution by leveraging both attrib.exe to modify the +h flag (hide) and also icacls.exe to allow full access rights for all users, "icacls . /grant Everyone:F /T /C /Q"

The malware has been designed as a modular service. It appears to us that the executable files associated with the ransomware have been written by a different individual than whomever developed the service module. Potentially, this means that the structure of this malware can be used to deliver and run different malicious payloads.

After encryption is complete, the malware displays the following ransomware note. One interesting aspect of this ransomware variant is that the ransom screen is actually an executable and not an image, HTA file, or text file. 
يستخدم وانا كراي أساليب مختلفة في محاولة للمساعدة في تنفيذ نفسه من خلال الاستفادة من
attrib.exe
لتعديل الرمز المسؤول عن الاخفاء لمنح حقوق الوصول الكامل لجميع المستخدمين

​لقد تم تصميم البرمجيه الخبيثة كخدمة وحدات. يبدو لنا أن الملفات القابلة للتنفيذ المرتبطة بوانا كراي قد كتبت من قبل شخص مختلف عن الشخص الذي طور وحدة الخدمة. هذا يعني أن بنية هذه البرامج الخبيثه يمكن استخدامها لتسليم وتشغيل حمولات خبيثه مختلفة.
بعد اكتمال التشفير، يعرض البرنامج الخبيث رساله الفديه التالية. أحد الجوانب المثيرة للاهتمام من في وانا كراي هو أن شاشة الفدية في الواقع قابلة للتنفيذ وليس مجرد صورة او ملف أو ملف نصي
Picture
​Organisations should be aware that there is no obligation for criminals to supply decryption keys following the payment of a ransom. Talos strongly urges anyone who has been compromised to avoid paying the ransom if possible as paying the ransom directly funds development of these malicious campaigns.
​وينبغي للمنظمات أن تدرك أنه لا يوجد أي التزام على المجرمين بتوفير مفاتيح فك التشفير بعد دفع الفدية. تالوس يحث بقوة أي شخص قد تم اختراقه لتجنب دفع فدية إذا كان ذلك ممكنا لان دفع فدية الأموال تساعد بشكل مباشر على تطوير هذه الحملات الخبيثة

​MITIGATION AND PREVENTION

Organizations looking to mitigate the risk of becoming compromised should follow the following recommendations:
  • Ensure all Windows-based systems are fully patched. At a very minimum, ensure Microsoft bulletin MS17-010 has been applied.
  • In accordance with known best practices, any organization who has SMB publically accessible via the internet (ports 139, 445) should immediately block inbound traffic.

Additionally, organizations should strongly consider blocking connections to TOR nodes and TOR traffic on network. Known TOR exit nodes are listed within the Security Intelligence feed of ASA Firepower devices. Enabling this to be blacklisted will prevent outbound communications to TOR networks.

In addition to the mitigations listed above, Talos strongly encourages organizations take the following industry-standard recommended best practices to prevent attacks and campaigns like this and similar ones. 
  • Ensure your organization is running an actively supported operating system that receives security updates.
  • Have effective patch management that deploys security updates to endpoints and other critical parts of your infrastructure in a timely manner.
  • Run anti-malware software on your system and ensure you regularly receive malware signature updates.
  • Implement a disaster recovery plan that includes backing up and restoring data from devices that are kept offline. Adversaries frequently target backup mechanisms to limit the possibilities a user may be able to restore their files without paying the ransom.

التخفيف والوقاية

ينبغي للمنظمات التي تسعى إلى التخفيف من خطر التعرض للانتهاك أن تتبع التوصيات التالية
التأكد من أن جميع الأنظمة المستندة إلى ويندوز مصححة بعمل الترقية لكل الباتش بالكامل. في الحد الأدنى، تأكد من تطبيق نشرة ميكروسوفت التي ساعدت في الانتهاك
​
وفقا لأفضل الممارسات المعروفة، يجب على أي منظمة لديها اس ام بي متاحة للجمهور عبر الإنترنت من خلال المنفذ 139 و 445 منع حركة المرور الواردة على المنظمه على الفور
وبالإضافة إلى ذلك، ينبغي أن تنظر المنظمات بقوة في منع الاتصالات مع عقد تور نودزوحركة المرور الخاصه في تور على الشبكة. بالنسبه الى التور المعروفة التي تخرج من العقد يتم وضعها ضمن تغذية استخبارات الامن الخاصه باجهزة اي اس اي فايرباوير. سيؤدي ادراج التور المعروف ضمن القائمة السوداء إلى منع الاتصالات الصادرة لشبكات تور
بالإضافة إلى الحلول المذكورة أعلاه، تشجع تالوس بقوة المنظمات على اتباع أفضل الممارسات الموصى بها لمنع الهجمات والحملات مثل وانا كراي وما شابه ذلك والمتمثله في
تأكد من أن مؤسستك تقوم بتشغيل نظام تشغيل مدعوم و يتلقى تحديثات أمنية باستمرار
وجود إدارة التصحيح باتش مانجمينت فعالة تقوم بنشر التحديثات الأمنية لنقاط النهاية والأجزاء الهامة الأخرى من البنية التحتية الخاصة بك في الوقت المناسب
قم بتشغيل برامج مكافحة البرامج الخبيثه والضاره على النظام الخاص بك وضمان تلقي تحديثات توقيع البرمجيات الخبيثة بشكل مستمر
تنفيذ خطة التعافي  من الكوارث والتي تشمل اخذ النسخ الاحتياطيه واستعادة البيانات من خلال اجهزه معزوله عن الشبكه. كثيرا ما يستهدف الخصوم آليات النسخ الاحتياطي للحد من إمكانيه المستخدم استعادة ملفاتهم دون دفع الفدية

​COVERAGE

​Snort Rule: 42329-42332, 42340, 41978

Open Source Snort Subscriber Rule Set customers can stay up to date by downloading the latest rule pack available for purchase on Snort.org.

Additional ways our customers can detect and block this threat are listed below.

تغطية

​قواعد: 42329-42332، 42340، 41978

العملاء المشتركين في مجموعه قواعد المصدر المفتوح لسنورت يمكن لهم البقاء على اطلاع باخر التحديثات عن طريق تحميل أحدث حزمة قواعد متاحة للشراء من خلال موقع سنورت

​طرق إضافية أخرى يمكن لعملائنا كشف ومنع هذا التهديد مدرجة أدناه
Picture

Advanced Malware Protection (AMP)

Is ideally suited to prevent the execution of the malware used by these threat actors
​الحماية المتقدمة من البرامج الضارة يعتبر مثاليا لمنع تنفيذ البرامج الخبيثة من قبل جهات التهديد

CWS or WSA ​

Web scanning prevents access to malicious websites and detects malware used in these attacks
مسح لشبكة الإنترنت لمنع الوصول إلى المواقع الخبيثة والكشف عن البرامج الضارة المستخدمة في هذه الهجمات 

Network Security appliances such as NGFW, NGIPS, and Meraki MX

​have up-to-date signatures to detect malicious network activity by threat actors.
​​تحتوي على اخر التوقيعات للكشف عن البرمج الخبيثة او المشتبهة في الشبكة 

​AMP Threat Grid

helps identify malicious binaries and build protection into all Cisco Security products
يساعد في تحديد الثنائيات و البرامج الخبيثة وبناء حماية في جميع منتجات الانظمة الأمنية من سيسكو​

Umbrella

​prevents DNS resolution of the domains associated with malicious activity.
تمنع حل نظام أسماء النطاقات دي ان اس المرتبطة بالنشاطات الضاره

Stealthwatch

​detects network scanning activity, network propagation, and connections to CnC infrastructures, correlating this activity to alert administrators.
يستطيع الكشف عن أي نشاط يقوم بالمسح الضوئي للشبكة، وانتشار الشبكة، والاتصال مع البنى التحتية الخاصه بالقيادة والسيطرة، والربط بين هذا النشاط لتنبيه المسؤولين

​for more information, or to read the original article please visit:
​لمزيد من المعلومات او لقراءة المقال الاصلي نرجو زيارة الموقع التالي
http://blog.talosintelligence.com/2017/05/wannacry.html
ترجمة زياد العمري، الجماز لحلول امن المعلومات
0 Comments



Leave a Reply.

    AlJammaz Distribution
    Knowledge Center

    Archives

    March 2023
    February 2023
    January 2023
    December 2022
    November 2022
    August 2022
    April 2022
    March 2022
    February 2022
    January 2022
    December 2021
    November 2021
    September 2021
    October 2020
    August 2020
    July 2020
    June 2020
    January 2020
    May 2019
    February 2019
    January 2019
    October 2018
    September 2018
    July 2018
    March 2018
    May 2017
    February 2017
    September 2016
    July 2016
    May 2016
    April 2016
    March 2016
    February 2016

    Categories

    All
    Collaboration & IP Telephony
    Consumer
    Data Centers & Cloud
    Enterprise
    Home Networking
    Security
    SMBs
    Software As A Service
    Software-as-a-Service
    Wireless LAN

    RSS Feed

Channels


System Integrators & VAR
​Cloud Resellers
Retailers
Service Providers
End User

Services


Supports
Downloads
Professional Services
Events & Workshops
Events Gallery


Company


About us
News
Contact us
Join us
Escalation Procedure

Compliance & Ethics

Direct Number:  920 000 230

Copyright © AlJammaz Technologies. All rights reserved
Privacy Policy
member of AlJammaz Group of companies