CIO
|
PCDIY!
|
旗標圖書
|
旗景數位影像
|
讀者服務
首 頁
即時新聞
業界動態
最新活動
企業採購
精選文章
線上教學
品牌活動
程式碼下載
雲端運算智庫
最近新增的
精選文章
AP內建AI引擎 Mist Cloud平台分析能力強 Juniper Mist AI領先全球 改善WiFi穩定、效能首選
解決IT供應鏈攻擊
內部威脅的七個警訊
遠百以專案辦公室推動數位體驗
多廠牌與多重電信業者網路架構的挑戰與機會
德明科大啟用電貿暨AI實習基地 ViewSonic ViewBoard 智慧互動電子白板 扮要角
淺談計算誤差
秀傳醫療體系統 以Lenovo HyperConverged HX 超融合架構扎穩智慧醫療發展基礎
模組化設計 偵測率達99.99% 全面防杜惡意郵件入侵 首選Cellopoint Email UTM
滿足網路管理與檔案安全傳輸需求,Ipswitch的MOVEit及WhatsUp Gold一次完整提供
來自學界的資料分析利器 - Weka 與 R
北醫建置肺癌資料庫,透過深度標註訓練AI,協助醫師早期發現癌症
北榮AI門診上路!人工智慧判讀腦瘤,有效縮短醫師確診時間
台灣智慧機器人玩具聯盟攜手英閱音躍研創 推廣T. Robot程式教育,協助國中小學扎根培養運算思維
一場與時間賽跑的戰役 ,人工智慧加速心血管疾病診斷
最多人點閱的
精選文章
免費IT建置--Linux系統操作與管理
免費IT建置--網頁伺服器的完美組合LAMP(下)
初探Hadoop開放原始碼平台環境
Linux下的防火牆(基礎篇)
免費IT建置--檔案共享與檔案伺服器
Linux下的防火牆(進階篇)
N.Y.BAGELS CAFE善用SAP Business One
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ 影片播放器範例
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ 線上查詢匯率
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ 擲骰子遊戲
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ 音樂播放器範例
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ 來電黑名單
免費IT建置--網頁伺服器的完美組合LAMP(上)
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ 繪圖板範例
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ Matrix應用範例
精選文章 - 網管資安
分享到Plurk
分享到FaceBook
勒索軟體威脅再次爆發 思科安全為用戶保駕護航
文‧圖/Cisco
2017/5/22 下午 01:21:27
勒索軟體全球範圍爆發
全球出現大規模的勒索軟體感染事件,據報導已經有70多個國家受到了影響。 這次勒索軟體爆發的一個明顯特徵是,針對企業使用者進行勒索軟體的傳播,國外發現受到影響的用戶包括醫療行業、快遞行業等,在國內也發現了金融、教育等大量企業用戶收到了影響。
思科Talos安全團隊已經在第一時間,發針對這次爆發的勒索軟體進行了深入的分析和研究,詳細資訊請訪問:
http://blog.talosintelligence.com/2017/05/wannacry.html
下面是思科Talos研究報告的幾個關鍵點:
1、此次大範圍傳播的勒索軟體名為WannaCry,通過掃描TCP 445埠,採用蠕蟲病毒的傳播方式,感染主機並且加密檔,這是此次大規模爆發的一個原因。
2、勒索軟體WannaCry利用了在Windows系統上被稱為DOUBLEPULSAR的後門,在入侵的系統上安裝和啟動惡意程式碼。
3、不存在DOUBLEPULSAR後門的系統,WannaCry嘗試掃描和探測是否存在SMB的另一個漏洞ETERNALBLUE,嘗試入侵,並進行蠕蟲病毒傳播的方式進行傳播。
4、思科Talos建議在網路邊界防火牆上關閉對SMB埠(139,445)的訪問。
對思科用戶的緊急應對建議
我們建議使用者,應該立刻檢查現有系統存在的漏洞,關閉無用的埠和服務,儘快安裝廠商提供的各種安全補丁。
對於已經部署思科安全產品和解決方案的使用者,針對此次的勒索軟體事件,我們給出緊急的應對與建議:
1、部署Firepower NGFW下一代防火牆和IPS入侵偵測的用戶
. 檢測是否開啟了TCP埠(139和445),建議關閉對該埠的訪問。
. 檢查是否啟用入侵規則庫,並且更新到最新版本。
. 檢查是否開啟了Security Intelligence功能。
. 檢查是否開啟了AMP惡意程式碼防護和更新。
2、部署ESA郵件安全閘道的用戶
. 檢測是否啟用Senderbase信譽過濾。
. 檢查是否啟用Anti-Spam和Anti-Virus功能,並且更新到最新版本。
. 檢查是否啟用Virus Outbreak Filter功能,並且更新到最新版本。
. 檢查是否啟用AMP惡意程式碼防護功能。
3、部署WSA上網行為管理的用戶
. 檢測是否啟用了Web網站信譽過濾技術。
. 檢查是否啟用AMP防護功能。
. 檢查URL存取控制是否發現訪問釣魚網站的記錄。
. 檢查終端設備是否有大量異常訪問被攔截的記錄。
4、部署Stealthwatch平臺的用戶
. 檢查是否發現異常行為和異常事件。
. 檢查重要伺服器系統是否有異常流量和異常埠訪問行為。
. 檢查是否發現C&C異常連接事件。
5、部署AMP防惡意程式碼的用戶
. 部署AMP網路防護的使用者,檢查網路安全設備包括NGFW,NGIPS和ESA、WSA等是否開啟AMP防護功能
. 部署AMP終端防護的使用者,檢查AMP Connector是否處於連接狀態。
勒索軟體傳播途徑分析
通過對大量感染案例和樣本的分析,我們發現加密勒索軟體的傳播手段,主要包括以下幾個方面:
1. 帶有惡意檔附件或者釣魚網站連結的郵件
2. 網站的惡意程式碼下載
3. 綁定在某些惡意軟體上傳播
4. 借助卸除式存放裝置介質傳播
當含有加密勒索軟體代碼在使用者電腦上運行時,會主動連接僵屍網路C&C主機,下載加密程式或者獲取加密金鑰,然後遍歷檔案系統並對檔進行加密。
由於加密勒索的運行和加密的操作都是在後臺完成,使用者沒有感知,常常是使用者在檔無法訪問時才發現加密行為,這時從終端進行防範為時已晚。因此,我們在這裡來探討一下如何從勒索軟體的傳播途徑入手,在勒索軟體到達電腦之前就實現對其的阻斷,以這種在攻擊前的主動式預防保護和降低電腦終端被感染的風險。
上圖描述了勒索軟體的典型傳播過程,郵件通常為勒索軟體的最常見的載體,其傳播途徑和感染過程如下:
1. 攻擊者通過電子郵件,將包含有惡意檔或釣魚連結的郵件發送到使用者的郵箱;
2. 使用者打開了郵件的惡意檔附件並在電腦上運行,或者點選連結下載了含有惡意程式碼的檔,這些程式會自動向C&C主機發起連結;
3. 當惡意程式連結到C&C主機後,可能會下載加密程式,同時獲取隨機加密金鑰;
4. 勒索軟體遍歷使用者電腦的檔,並對檔和應用進行加密處理,完成加密後刪除金鑰;
5. 攻擊者發出勒索資訊,通知使用者支付贖金進行解密。
當使用者發現電腦的檔或應用無法訪問時,會收到各種形式的勒索金錢的提示,包括以郵件或替換電腦桌面背景等方式,提示受害者如何將贖金以比特幣的形式交付給攻擊者。
通過對多種案例和勒索軟體的傳播路徑的分析,如果能夠切斷傳播路徑,將會大大減少使用者收到勒索軟體感染和入侵的機會。思科建議採用主動的威脅防禦模式,從加密勒索軟體的傳播路徑入手,借助於思科Talos安全智慧情報中心和豐富的安全解決方案,著重分析傳播路徑的1、2和3,根據這幾個階段的不同特點,給出有效和可行的解決方案。
思科Talos安全智慧服務
思科Talos安全智慧情報中心,通過全球訪問的流量偵測和海量樣本收集,能夠在勒索軟體傳播的第一時間,分析其內在特徵和傳播特點,並將這些資訊以各種形式更新到思科多種安全設備和服務中,通過採用全方位的安全防護手段,實現動態的主動式防護。
思科Talos能夠提供最新的安全情報資訊包括:
· 即時更新針對最新漏洞的攻擊特徵
· 即時更新最新的Email和URL信譽
· 即時更新最新的惡意軟體樣本
· 即時更新最新的C&C位址
方案之一:郵件安全防護切斷傳播途徑
通過各種案例分析,加密勒索軟體的傳播途徑尤其以電子郵件的比例最大,因此首先從郵件防禦作為首要的防護手段進行分析和解決。
思科郵件安全閘道,以雲安全防禦中心Talos為核心,借助於全球最大的IP位址信譽庫,採用智慧威脅分析技術,能夠實現對帶有勒索軟體的郵件進行快速發現、分析和回應,有效地切斷傳播途徑。
·
垃圾郵件的深度防護
思科郵件安全閘道設備,採用了業界領先的SensorBase信譽過濾技術,能夠直接將來信譽度評級差的郵件直接進行攔截處理,包括帶有勒索軟體附件的很多垃圾郵件直接被攔截處理。
思科同時結合基於URL與情景感知的分析技術,能夠對入站的防垃圾郵件進行深度分析和防護,採用包括DKIM和SPF等技術,能夠實現業界領先的99%的垃圾郵件識別率,並且低於百萬分之一的誤判率。
·
零日威脅爆發過濾
思科郵件安全閘道集成了AMP高級惡意程式碼防護和Outbreak Filter零日病毒爆發過濾技術。AMP通過基於雲服務的模式,能夠針對郵件的附件資訊進行信譽度判定,並根據其判定結果,確定放行或者攔截操作。Outbreak Filter零日病毒爆發過濾技術,通過全球範文內的郵件流量偵測和採樣分析,對新爆發的垃圾郵件或病毒郵件能夠在第一時間發現其特徵,並通知所有的郵件安全設備,在防病毒引擎還沒有更新的情況下,實現了零日威脅防護。
根據實際使用者的回饋,思科郵件安全閘道通過垃圾郵件的深度防護和零日爆發過濾技術,實現了對帶有勒索軟體郵件的識別、分析和攔截,有效的切斷了傳播途徑,大大降低了用戶被感染加密勒索的風險。
方案之二:NGFW與NGIPS攔截針對內部主機的攻擊
思科ASA NGFW下一代防火牆和Firepower NGIPS產品,以出色的的自我調整能力,採用威脅防禦為核心的設計架構,能夠在攻擊發生的整個過程,提供威脅保護。思科ASA NGFW下一代防火牆支援細細微性的應用可視性和控制(AVC),基於信譽度和內容分類的URL過濾,基於大資料的高級惡意軟體防護(AMP)和領先的下一代入侵防禦(NGIPS),為客戶提供對已知和未知威脅的全面防護。
思科ASA NGFW和Firepower NGIPS針對勒索軟體的傳播途徑,能夠有效的進行防禦:
· 檢測並且攔截針對內部主機的攻擊,減少勒索軟體被植入的可能性
· 整合AMP高級惡意軟體防護功能
· 檢測內網中的C&C連接,切斷已有勒索軟體更新金鑰的通路
方案之三:AMP阻擋勒索軟體的傳播
思科AMP高級惡意軟體防護技術,提供基於網路和終端的惡意軟體防護技術,超越了單純時間點檢測方法,可在攻擊的整個過程(攻擊前、攻擊中和攻擊後),對檔和流量進行持續分析,能夠回溯並跟蹤檔的傳播活動和通信,有助於實現追溯性安全,幫助用戶瞭解感染或威脅的完整範圍,確定根本原因並進行防禦。
思科能夠提供專用的AMP網路設備和AMP終端安全工具,同時也可以提供與其他安全產品進行集成,包括ASA NGFW、Firepower NGIPS、ESA、WSA和Threatgrid等。
思科AMP針對勒索軟體的傳播途徑,能夠有效的實現:
· 在網路的任何位置,對檔實施檢測,找到惡意軟體/勒索軟體,進行阻擋和清除。
· 在網路/終端/雲/閘道等多個位置進行防護。
· 思科ThreatGrid通過智慧分析以及沙箱技術,對未知可疑的軟體進行進一步分析,基於行為,找出未知的勒索軟體。
方案之四:Stealthwatch檢測終端C&C連接行為
思科Stealthwatch能夠實現網路視覺化與異常行為分析的能力,通過與現有的網路基礎設施配合,利用交換機、路由器和防火牆等安全設備的Netflow資訊,對使用者終端設備和網路流量進行分析和檢測各種異常行為,包括零日惡意軟體、分散式拒絕服務 (DDoS) 攻擊、內部威脅和高級持久性威脅 (APT),甚至使用者終端與C&C主機的通信行為。
思科Stealtwatch系統通過SMC的統一管理介面,能夠直觀的顯示網路中的南北流量和東西流量,結合安全範本和大資料分析技術,生成完整的資訊情報和威脅告警,可以全面增強用戶行為的可視性、安全預先和早期威脅檢測與防禦。
上圖描述了Stealthwatch系統對終端設備與C&C主機的連接行為進行分析和檢測的過程,能夠有效的實現:
· 基於網路流量和使用者行為,檢測內部主機之間的異常行為攻擊,減少內部傳播勒索軟體的可能性。
· 檢測內網終端設備到C&C連接和同學,切斷勒索軟體更新金鑰的通路。
· 針對已經發現的連接到C&C的終端設備,通過ISE能夠將其進行隔離操作並進行惡意程式碼的清除。
方案之五:OpenDNS服務切斷惡意功能變數名稱解析
思科OpenDNS服務通過為使用者和企業提供DNS解析服務,能夠實現更安全、更快捷和更智慧的功能變數名稱解析,同時通過多項專利技術收集惡意網站列表,當用戶訪問某些惡意網站或釣魚網站時,OpenDNS的解析服務能夠説明判斷這些網站是否為惡意網站,甚至封鎖這些惡意網站。OpenDNS提供了反釣魚資料庫,實現了惡意網站和釣魚網站的收集、整理和資訊發佈的服務。
下圖描述了當使用者被安裝了勒索軟體,並向C&C主機發起連接獲取金鑰時,思科OpenDNS攔截了對C&C主機的功能變數名稱解析過程:
思科OpenDNS帶給用戶的價值包括:
· 阻斷對惡意網站URL的連接。
· 阻斷對C&C網路的回連行為。
· 檢測內網中的C&C連接,切斷已有勒索軟體更新金鑰的通路。
方案之六:Web安全閘道攔截釣魚網站的訪問
思科Web安全閘道(簡稱WSA)是業界唯一的將傳統的URL網站過濾、網站信譽過濾和惡意軟體過濾功能集中到單一平臺,來進威脅防禦的Web安全設備。借助于思科Talos安全情報中心的安全服務和AMP高級惡意程式碼保護技術,思科WSA能夠幫助用戶在使用者上網行為、資料洩露預防和惡意程式碼防護方面進行全面的防護。思科 WSA同時具有靈活的部署選項,支援物理設備和虛擬裝置的部署,也能夠現有的安全基礎設施集成,因此能夠幫助用戶快速的不是和實現安全防護。
思科WSA針對勒索軟體的傳播途徑,能夠有效的實現:
· 通過URL網站分類庫,實現用戶上網行為的法規遵從性管理,限制訪問與工作無關的網站。
· 借助於網站信譽過濾技術,攔截用戶訪問各類釣魚或惡意網站。
· 集成AMP高級惡意程式碼防護技術,能夠對用戶的上傳和下載檔案進行惡意程式碼檢測並進行攔截。
總結:
要解決加密勒索軟體帶來的威脅,必須採用雙管齊下的解決方式,既要部署有效的安全防護手段,同時也需要提高使用者的安全意識。
通過對加密勒索軟體這種威脅的分析和研究,不難發現,從源頭控制威脅的傳播是最有效和最直接的手段,為此思科提出了“主動切斷傳播途徑 防禦勒索軟體威脅”的安全解決方案(如下圖所示):
最後,從加強用戶安全意識和防患於未然的方面,思科給出以下最佳實踐和建議:
· 健壯的補丁管理
· Non-native document rendering PDF + Office
· 使用非管理許可權用戶登錄
· 禁用RDP服務
· 在終端啟用防火牆功能
· 分段、安全的備份
· 本地檔和備份檔案的加密
回首頁...
關於RUN!PC
|
廣告刊登
|
聯絡我們
|
讀者服務
|
雜誌訂閱
|
出刊&補寄時間
-- Copyright© FLAG INFORMATION CO., LTD. 旗訊科技(股)公司. All rights reserved. 本站圖文著作權所有 未經授權 不得任意轉載使用 --
-- 請使用1024*768螢幕解析度,IE 7.0或firefox 3.0以上瀏覽器,以達到最佳閱讀效果--