加入RUN!PC粉絲團
最近新增的精選文章
 
最多人點閱的精選文章
 
 
精選文章 - 網管資安
分享到Plurk
分享到FaceBook
 
勒索軟體威脅再次爆發 思科安全為用戶保駕護航
文‧圖/Cisco 2017/5/22 下午 01:21:27

勒索軟體全球範圍爆發
全球出現大規模的勒索軟體感染事件,據報導已經有70多個國家受到了影響。 這次勒索軟體爆發的一個明顯特徵是,針對企業使用者進行勒索軟體的傳播,國外發現受到影響的用戶包括醫療行業、快遞行業等,在國內也發現了金融、教育等大量企業用戶收到了影響。
思科Talos安全團隊已經在第一時間,發針對這次爆發的勒索軟體進行了深入的分析和研究,詳細資訊請訪問:
http://blog.talosintelligence.com/2017/05/wannacry.html
下面是思科Talos研究報告的幾個關鍵點:
1、此次大範圍傳播的勒索軟體名為WannaCry,通過掃描TCP 445埠,採用蠕蟲病毒的傳播方式,感染主機並且加密檔,這是此次大規模爆發的一個原因。
2、勒索軟體WannaCry利用了在Windows系統上被稱為DOUBLEPULSAR的後門,在入侵的系統上安裝和啟動惡意程式碼。
3、不存在DOUBLEPULSAR後門的系統,WannaCry嘗試掃描和探測是否存在SMB的另一個漏洞ETERNALBLUE,嘗試入侵,並進行蠕蟲病毒傳播的方式進行傳播。
4、思科Talos建議在網路邊界防火牆上關閉對SMB埠(139,445)的訪問。

對思科用戶的緊急應對建議
我們建議使用者,應該立刻檢查現有系統存在的漏洞,關閉無用的埠和服務,儘快安裝廠商提供的各種安全補丁。
對於已經部署思科安全產品和解決方案的使用者,針對此次的勒索軟體事件,我們給出緊急的應對與建議:
1、部署Firepower NGFW下一代防火牆和IPS入侵偵測的用戶
. 檢測是否開啟了TCP埠(139和445),建議關閉對該埠的訪問。
. 檢查是否啟用入侵規則庫,並且更新到最新版本。
. 檢查是否開啟了Security Intelligence功能。
. 檢查是否開啟了AMP惡意程式碼防護和更新。

2、部署ESA郵件安全閘道的用戶
. 檢測是否啟用Senderbase信譽過濾。
. 檢查是否啟用Anti-Spam和Anti-Virus功能,並且更新到最新版本。
. 檢查是否啟用Virus Outbreak Filter功能,並且更新到最新版本。
. 檢查是否啟用AMP惡意程式碼防護功能。

3、部署WSA上網行為管理的用戶
. 檢測是否啟用了Web網站信譽過濾技術。
. 檢查是否啟用AMP防護功能。
. 檢查URL存取控制是否發現訪問釣魚網站的記錄。
. 檢查終端設備是否有大量異常訪問被攔截的記錄。

4、部署Stealthwatch平臺的用戶
. 檢查是否發現異常行為和異常事件。
. 檢查重要伺服器系統是否有異常流量和異常埠訪問行為。
. 檢查是否發現C&C異常連接事件。

5、部署AMP防惡意程式碼的用戶
. 部署AMP網路防護的使用者,檢查網路安全設備包括NGFW,NGIPS和ESA、WSA等是否開啟AMP防護功能
. 部署AMP終端防護的使用者,檢查AMP Connector是否處於連接狀態。

勒索軟體傳播途徑分析
通過對大量感染案例和樣本的分析,我們發現加密勒索軟體的傳播手段,主要包括以下幾個方面:
1. 帶有惡意檔附件或者釣魚網站連結的郵件
2. 網站的惡意程式碼下載
3. 綁定在某些惡意軟體上傳播
4. 借助卸除式存放裝置介質傳播

當含有加密勒索軟體代碼在使用者電腦上運行時,會主動連接僵屍網路C&C主機,下載加密程式或者獲取加密金鑰,然後遍歷檔案系統並對檔進行加密。

由於加密勒索的運行和加密的操作都是在後臺完成,使用者沒有感知,常常是使用者在檔無法訪問時才發現加密行為,這時從終端進行防範為時已晚。因此,我們在這裡來探討一下如何從勒索軟體的傳播途徑入手,在勒索軟體到達電腦之前就實現對其的阻斷,以這種在攻擊前的主動式預防保護和降低電腦終端被感染的風險。


上圖描述了勒索軟體的典型傳播過程,郵件通常為勒索軟體的最常見的載體,其傳播途徑和感染過程如下:
1. 攻擊者通過電子郵件,將包含有惡意檔或釣魚連結的郵件發送到使用者的郵箱;
2. 使用者打開了郵件的惡意檔附件並在電腦上運行,或者點選連結下載了含有惡意程式碼的檔,這些程式會自動向C&C主機發起連結;
3. 當惡意程式連結到C&C主機後,可能會下載加密程式,同時獲取隨機加密金鑰;
4. 勒索軟體遍歷使用者電腦的檔,並對檔和應用進行加密處理,完成加密後刪除金鑰;
5. 攻擊者發出勒索資訊,通知使用者支付贖金進行解密。

當使用者發現電腦的檔或應用無法訪問時,會收到各種形式的勒索金錢的提示,包括以郵件或替換電腦桌面背景等方式,提示受害者如何將贖金以比特幣的形式交付給攻擊者。

通過對多種案例和勒索軟體的傳播路徑的分析,如果能夠切斷傳播路徑,將會大大減少使用者收到勒索軟體感染和入侵的機會。思科建議採用主動的威脅防禦模式,從加密勒索軟體的傳播路徑入手,借助於思科Talos安全智慧情報中心和豐富的安全解決方案,著重分析傳播路徑的1、2和3,根據這幾個階段的不同特點,給出有效和可行的解決方案。

思科Talos安全智慧服務
思科Talos安全智慧情報中心,通過全球訪問的流量偵測和海量樣本收集,能夠在勒索軟體傳播的第一時間,分析其內在特徵和傳播特點,並將這些資訊以各種形式更新到思科多種安全設備和服務中,通過採用全方位的安全防護手段,實現動態的主動式防護。


思科Talos能夠提供最新的安全情報資訊包括:
· 即時更新針對最新漏洞的攻擊特徵
· 即時更新最新的Email和URL信譽
· 即時更新最新的惡意軟體樣本
· 即時更新最新的C&C位址

方案之一:郵件安全防護切斷傳播途徑
通過各種案例分析,加密勒索軟體的傳播途徑尤其以電子郵件的比例最大,因此首先從郵件防禦作為首要的防護手段進行分析和解決。
思科郵件安全閘道,以雲安全防禦中心Talos為核心,借助於全球最大的IP位址信譽庫,採用智慧威脅分析技術,能夠實現對帶有勒索軟體的郵件進行快速發現、分析和回應,有效地切斷傳播途徑。
· 垃圾郵件的深度防護


思科郵件安全閘道設備,採用了業界領先的SensorBase信譽過濾技術,能夠直接將來信譽度評級差的郵件直接進行攔截處理,包括帶有勒索軟體附件的很多垃圾郵件直接被攔截處理。
思科同時結合基於URL與情景感知的分析技術,能夠對入站的防垃圾郵件進行深度分析和防護,採用包括DKIM和SPF等技術,能夠實現業界領先的99%的垃圾郵件識別率,並且低於百萬分之一的誤判率。

· 零日威脅爆發過濾


思科郵件安全閘道集成了AMP高級惡意程式碼防護和Outbreak Filter零日病毒爆發過濾技術。AMP通過基於雲服務的模式,能夠針對郵件的附件資訊進行信譽度判定,並根據其判定結果,確定放行或者攔截操作。Outbreak Filter零日病毒爆發過濾技術,通過全球範文內的郵件流量偵測和採樣分析,對新爆發的垃圾郵件或病毒郵件能夠在第一時間發現其特徵,並通知所有的郵件安全設備,在防病毒引擎還沒有更新的情況下,實現了零日威脅防護。
根據實際使用者的回饋,思科郵件安全閘道通過垃圾郵件的深度防護和零日爆發過濾技術,實現了對帶有勒索軟體郵件的識別、分析和攔截,有效的切斷了傳播途徑,大大降低了用戶被感染加密勒索的風險。

方案之二:NGFW與NGIPS攔截針對內部主機的攻擊
思科ASA NGFW下一代防火牆和Firepower NGIPS產品,以出色的的自我調整能力,採用威脅防禦為核心的設計架構,能夠在攻擊發生的整個過程,提供威脅保護。思科ASA NGFW下一代防火牆支援細細微性的應用可視性和控制(AVC),基於信譽度和內容分類的URL過濾,基於大資料的高級惡意軟體防護(AMP)和領先的下一代入侵防禦(NGIPS),為客戶提供對已知和未知威脅的全面防護。


思科ASA NGFW和Firepower NGIPS針對勒索軟體的傳播途徑,能夠有效的進行防禦:
· 檢測並且攔截針對內部主機的攻擊,減少勒索軟體被植入的可能性
· 整合AMP高級惡意軟體防護功能
· 檢測內網中的C&C連接,切斷已有勒索軟體更新金鑰的通路

方案之三:AMP阻擋勒索軟體的傳播
思科AMP高級惡意軟體防護技術,提供基於網路和終端的惡意軟體防護技術,超越了單純時間點檢測方法,可在攻擊的整個過程(攻擊前、攻擊中和攻擊後),對檔和流量進行持續分析,能夠回溯並跟蹤檔的傳播活動和通信,有助於實現追溯性安全,幫助用戶瞭解感染或威脅的完整範圍,確定根本原因並進行防禦。
思科能夠提供專用的AMP網路設備和AMP終端安全工具,同時也可以提供與其他安全產品進行集成,包括ASA NGFW、Firepower NGIPS、ESA、WSA和Threatgrid等。


思科AMP針對勒索軟體的傳播途徑,能夠有效的實現:
· 在網路的任何位置,對檔實施檢測,找到惡意軟體/勒索軟體,進行阻擋和清除。
· 在網路/終端/雲/閘道等多個位置進行防護。
· 思科ThreatGrid通過智慧分析以及沙箱技術,對未知可疑的軟體進行進一步分析,基於行為,找出未知的勒索軟體。

方案之四:Stealthwatch檢測終端C&C連接行為
思科Stealthwatch能夠實現網路視覺化與異常行為分析的能力,通過與現有的網路基礎設施配合,利用交換機、路由器和防火牆等安全設備的Netflow資訊,對使用者終端設備和網路流量進行分析和檢測各種異常行為,包括零日惡意軟體、分散式拒絕服務 (DDoS) 攻擊、內部威脅和高級持久性威脅 (APT),甚至使用者終端與C&C主機的通信行為。

思科Stealtwatch系統通過SMC的統一管理介面,能夠直觀的顯示網路中的南北流量和東西流量,結合安全範本和大資料分析技術,生成完整的資訊情報和威脅告警,可以全面增強用戶行為的可視性、安全預先和早期威脅檢測與防禦。


上圖描述了Stealthwatch系統對終端設備與C&C主機的連接行為進行分析和檢測的過程,能夠有效的實現:
· 基於網路流量和使用者行為,檢測內部主機之間的異常行為攻擊,減少內部傳播勒索軟體的可能性。
· 檢測內網終端設備到C&C連接和同學,切斷勒索軟體更新金鑰的通路。
· 針對已經發現的連接到C&C的終端設備,通過ISE能夠將其進行隔離操作並進行惡意程式碼的清除。

方案之五:OpenDNS服務切斷惡意功能變數名稱解析
思科OpenDNS服務通過為使用者和企業提供DNS解析服務,能夠實現更安全、更快捷和更智慧的功能變數名稱解析,同時通過多項專利技術收集惡意網站列表,當用戶訪問某些惡意網站或釣魚網站時,OpenDNS的解析服務能夠説明判斷這些網站是否為惡意網站,甚至封鎖這些惡意網站。OpenDNS提供了反釣魚資料庫,實現了惡意網站和釣魚網站的收集、整理和資訊發佈的服務。


下圖描述了當使用者被安裝了勒索軟體,並向C&C主機發起連接獲取金鑰時,思科OpenDNS攔截了對C&C主機的功能變數名稱解析過程:


思科OpenDNS帶給用戶的價值包括:
· 阻斷對惡意網站URL的連接。
· 阻斷對C&C網路的回連行為。
· 檢測內網中的C&C連接,切斷已有勒索軟體更新金鑰的通路。

方案之六:Web安全閘道攔截釣魚網站的訪問
思科Web安全閘道(簡稱WSA)是業界唯一的將傳統的URL網站過濾、網站信譽過濾和惡意軟體過濾功能集中到單一平臺,來進威脅防禦的Web安全設備。借助于思科Talos安全情報中心的安全服務和AMP高級惡意程式碼保護技術,思科WSA能夠幫助用戶在使用者上網行為、資料洩露預防和惡意程式碼防護方面進行全面的防護。思科 WSA同時具有靈活的部署選項,支援物理設備和虛擬裝置的部署,也能夠現有的安全基礎設施集成,因此能夠幫助用戶快速的不是和實現安全防護。


思科WSA針對勒索軟體的傳播途徑,能夠有效的實現:
· 通過URL網站分類庫,實現用戶上網行為的法規遵從性管理,限制訪問與工作無關的網站。
· 借助於網站信譽過濾技術,攔截用戶訪問各類釣魚或惡意網站。
· 集成AMP高級惡意程式碼防護技術,能夠對用戶的上傳和下載檔案進行惡意程式碼檢測並進行攔截。

總結:
要解決加密勒索軟體帶來的威脅,必須採用雙管齊下的解決方式,既要部署有效的安全防護手段,同時也需要提高使用者的安全意識。
通過對加密勒索軟體這種威脅的分析和研究,不難發現,從源頭控制威脅的傳播是最有效和最直接的手段,為此思科提出了“主動切斷傳播途徑 防禦勒索軟體威脅”的安全解決方案(如下圖所示):


最後,從加強用戶安全意識和防患於未然的方面,思科給出以下最佳實踐和建議:
· 健壯的補丁管理
· Non-native document rendering PDF + Office
· 使用非管理許可權用戶登錄
· 禁用RDP服務
· 在終端啟用防火牆功能
· 分段、安全的備份
· 本地檔和備份檔案的加密