勒索软件全球范围爆发
从昨天(2017 年 5 月 12 日)在全球范围内出现了大规模的勒索软件感染事件,此次勒索软件的影响范围非常大,据报道已经有 70 多个国家受到了影响。
这次勒索软件爆发的一个明显特征是,针对企业用户进行勒索软件的传播,国外发现受到影响的用户包括医疗行业、快递行业等,在国内也发现了金融、教育等大量企业用户收到了影响。
思科 Talos 安全团队已经在第一时间,发文针对这次爆发的勒索软件进行了深入的分析和研究,详细信息请参考今天我们同步推送的文章 “WannaCry系列之一:思科 Talos 安全团队对 "WannaCry" 勒索软件的全面深度解析!
下面是思科 Talos 研究报告的几个关键点:
此次大范围传播的勒索软件名为 WannaCry,通过扫描 TCP 445 端口,采用蠕虫病毒的传播方式,感染主机并且加密文件,这是此次大规模爆发的一个原因。
勒索软件 WannaCry 利用了在 Windows 系统上被称为 DOUBLEPULSAR 的后门,在入侵的系统上安装和激活恶意代码。
不存在 DOUBLEPULSAR 后门的系统,WannaCry 尝试扫描和探测是否存在 SMB 的另一个漏洞 ETERNALBLUE,尝试入侵,并以蠕虫病毒传播的方式进行传播。
思科 Talos 建议在网络边界防火墙上关闭对 SMB 端口(139,445)的访问。
对思科用户的紧急应对建议
我们建议用户,应该立刻检查现有系统存在的漏洞,关闭无用的端口和服务,尽快安装厂商提供的各种安全补丁。
对于已经部署思科安全产品和解决方案的用户,针对此次的勒索软件事件,我们给出紧急的应对与建议:
部署 Firepower NGFW 下一代防火墙和 IPS 入侵检测的用户
检测是否开启了 TCP 端口(139 和 445),建议关闭对该端口的访问。
检查是否启用入侵规则库,并且更新到最新版本。
检查是否开启了 Security Intelligence 功能。
检查是否开启了 AMP 恶意代码防护和更新。
部署 ESA 邮件安全网关的用户
检测是否启用 Senderbase 信誉过滤。
检查是否启用 Anti-Spam 和 Anti-Virus 功能,并且更新到最新版本。
检查是否启用 Virus Outbreak Filter 功能,并且更新到最新版本。
检查是否启用 AMP 恶意代码防护功能。
部署 WSA 上网行为管理的用户
检测是否启用了 Web 网站信誉过滤技术。
检查是否启用 AMP 防护功能。
检查 URL 访问控制是否发现访问钓鱼网站的记录。
检查终端设备是否有大量异常访问被拦截的记录。
部署 Stealthwatch 平台的用户
检查是否发现异常行为和异常事件。
检查重要服务器系统是否有异常流量和异常端口访问行为。
检查是否发现 C&C 异常连接事件。
部署 AMP 防恶意代码的用户
部署 AMP 网络防护的用户,检查网络安全设备包括 NGFW,NGIPS和ESA、WSA 等是否开启 AMP 防护功能
部署 AMP 终端防护的用户,检查 AMP Connector 是否处于连接状态。
勒索软件传播途径分析
通过对大量感染案例和样本的分析,我们发现加密勒索软件的传播手段,主要包括以下几个方面:
带有恶意文件附件或者钓鱼网站链接的邮件
网站的恶意代码下载
绑定在某些恶意软件上传播
借助可移动存储介质传播
当含有加密勒索软件代码在用户电脑上运行时,会主动连接僵尸网络 C&C 主机,下载加密程序或者获取加密密钥,然后遍历文件系统并对文件进行加密。
由于加密勒索的运行和加密的操作都是在后台完成,使用者没有感知,常常是使用者在文件无法访问时才发现加密行为,这时从终端进行防范为时已晚。因此,我们在这里来探讨一下如何从勒索软件的传播途径入手,在勒索软件到达电脑之前就实现对其的阻断,以这种在攻击前的主动式预防保护和降低电脑终端被感染的风险。
上图描述了勒索软件的典型传播过程,邮件通常为勒索软件的最常见的载体,其传播途径和感染过程如下:
1、攻击者通过电子邮件,将包含有恶意文件或钓鱼链接的邮件发送到用户的邮箱;
2、用户打开了邮件的恶意文件附件并在电脑上运行,或者点击链接下载了含有恶意代码的文件,这些程序会自动向 C&C 主机发起链接;
3、当恶意程序链接到 C&C 主机后,可能会下载加密程序,同时获取随机加密密钥;
4、勒索软件遍历用户电脑的文件,并对文件和应用进行加密处理,完成加密后删除密钥;
5、攻击者发出勒索信息,通知用户支付赎金进行解密。
当使用者发现电脑的文件或应用无法访问时,会收到各种形式的勒索金钱的提示,包括以邮件或替换电脑桌面背景等方式,提示受害者如何将赎金以比特币的形式交付给攻击者。
通过对多种案例和勒索软件的传播路径的分析,如果能够切断传播路径,将会大大减少用户收到勒索软件感染和入侵的机会。思科建议采用主动的威胁防御模式,从加密勒索软件的传播路径入手,借助于思科Talos安全智能情报中心和丰富的安全解决方案,着重分析传播路径的 1、2 和 3,根据这几个阶段的不同特点,给出有效和可行的解决方案。
思科 Talos 安全智能服务
思科 Talos 安全智能情报中心,通过全球访问的流量侦测和海量样本收集,能够在勒索软件传播的第一时间,分析其内在特征和传播特点,并将这些信息以各种形式更新到思科多种安全设备和服务中,通过采用全方位的安全防护手段,实现动态的主动式防护。
思科 Talos 能够提供最新的安全情报信息包括:
实时更新针对最新漏洞的攻击特征
实时更新最新的 Email 和 URL 信誉
实时更新最新的恶意软件样本
实时更新最新的 C&C 地址
方案之一:邮件安全防护切断传播途径
通过各种案例分析,加密勒索软件的传播途径尤其以电子邮件的比例最大,因此首先从邮件防御作为首要的防护手段进行分析和解决。
思科邮件安全网关,以云安全防御中心 Talos 为核心,借助于全球最大的 IP 地址信誉库,采用智能威胁分析技术,能够实现对带有勒索软件的邮件进行快速发现、分析和响应,有效地切断传播途径。
垃圾邮件的深度防护
思科邮件安全网关设备,采用了业界领先的 SensorBase 信誉过滤技术,能够将来自信誉度评级差的邮件直接进行拦截处理,包括带有勒索软件附件的很多垃圾邮件直接拦截处理。
思科同时结合基于 URL 与情景感知的分析技术,能够对入站的防垃圾邮件进行深度分析和防护,采用包括 DKIM 和 SPF 等技术,能够实现业界领先的 99% 的垃圾邮件识别率,并且低于百万分之一的误判率。
零日威胁爆发过滤
思科邮件安全网关集成了 AMP 高级恶意代码防护和 Outbreak Filter 零日病毒爆发过滤技术。AMP 通过基于云服务的模式,能够针对邮件的附件信息进行信誉度判定,并根据其判定结果,确定放行或者拦截操作。Outbreak Filter 零日病毒爆发过滤技术,通过全球范围内的邮件流量侦测和采样分析,对新爆发的垃圾邮件或病毒邮件能够在第一时间发现其特征,并通知所有的邮件安全设备,在防病毒引擎还没有更新的情况下,实现了零日威胁防护。
根据实际用户的反馈,思科邮件安全网关通过垃圾邮件的深度防护和零日爆发过滤技术,实现了对带有勒索软件邮件的识别、分析和拦截,有效的切断了传播途径,大大降低了用户被感染加密勒索的风险。
方案之二:NGFW 与 NGIPS 拦截针对内部主机的攻击
思科 ASA NGFW 下一代防火墙和 Firepower NGIPS 产品,以出色的的自适应能力,采用威胁防御为核心的设计架构,能够在攻击发生的整个过程,提供威胁保护。思科 ASA NGFW 下一代防火墙支持细粒度的应用可视性和控制(AVC),基于信誉度和内容分类的URL过滤,基于大数据的高级恶意软件防护(AMP)和领先的下一代入侵防御(NGIPS),为客户提供对已知和未知威胁的全面防护。
思科 ASA NGFW 和 Firepower NGIPS 针对勒索软件的传播途径,能够有效的进行防御:
检测并且拦截针对内部主机的攻击,减少勒索软件被植入的可能性
整合 AMP 高级恶意软件防护功能
检测内网中的 C&C 连接,切断已有勒索软件更新密钥的通路
方案之三:AMP 阻挡勒索软件的传播
思科 AMP 高级恶意软件防护技术,提供基于网络和终端的恶意软件防护技术,超越了单纯时间点检测方法,可在攻击的整个过程(攻击前、攻击中和攻击后),对文件和流量进行持续分析,能够回溯并跟踪文件的传播活动和通信,有助于实现追溯性安全,帮助用户了解感染或威胁的完整范围,确定根本原因并进行防御。
思科能够提供专用的 AMP 网络设备和 AMP 终端安全工具,同时也可以提供与其他安全产品进行集成,包括 ASA NGFW、Firepower NGIPS、ESA、WSA 和 Threatgrid 等。
思科 AMP 针对勒索软件的传播途径,能够有效的实现:
在网络的任何位置,对文件实施检测,找到恶意软件/勒索软件,进行阻挡和清除。
在网络/终端/云/网关等多个位置进行防护。
思科 ThreatGrid 通过智能分析以及沙盒技术,对未知可疑的软件进行进一步分析,基于行为,找出未知的勒索软件。
方案之四:Stealthwatch 检测终端 C&C 连接行为
思科 Stealthwatch 能够实现网络可视化与异常行为分析的能力,通过与现有的网络基础设施配合,利用交换机、路由器和防火墙等安全设备的 Netflow 信息,对用户终端设备和网络流量进行分析和检测各种异常行为,包括零日恶意软件、分布式拒绝服务 (DDoS) 攻击、内部威胁和高级持久性威胁 (APT),甚至用户终端与 C&C 主机的通信行为。
思科 Stealtwatch 系统通过 SMC 的统一管理界面,能够直观的显示网络中的南北流量和东西流量,结合安全模板和大数据分析技术,生成完整的信息情报和威胁告警,可以全面增强用户行为的可视性、安全预警和早期威胁检测与防御。
上图描述了 Stealthwatch 系统对终端设备与 C&C 主机的连接行为进行分析和检测的过程,能够有效的实现:
基于网络流量和用户行为,检测内部主机之间的异常行为攻击,减少内部传播勒索软件的可能性。
检测内网终端设备到 C&C 连接和通讯,切断勒索软件更新密钥的通路。
针对已经发现的连接到 C&C 的终端设备,通过ISE能够将其进行隔离操作并进行恶意代码的清除。
方案之五:OpenDNS 服务切断恶意域名解析
思科 OpenDNS 服务通过为用户和企业提供 DNS 解析服务,能够实现更安全、更快捷和更智能的域名解析,同时通过多项专利技术收集恶意网站列表,当用户访问某些恶意网站或钓鱼网站时,OpenDNS 的解析服务能够帮助判断这些网站是否为恶意网站,甚至封锁这些恶意网站。OpenDNS 提供了反钓鱼数据库,实现了恶意网站和钓鱼网站的收集、整理和信息发布的服务。
下图描述了当用户被安装了勒索软件,并向 C&C 主机发起连接获取密钥时,思科 OpenDNS 拦截了对 C&C 主机的域名解析过程:
思科 OpenDNS 带给用户的价值包括:
阻断对恶意网站 URL 的连接。
阻断对 C&C 网络的回连行为。
检测内网中的 C&C 连接,切断已有勒索软件更新密钥的通路。
方案之六:Web 安全网关拦截钓鱼网站的访问
思科 Web 安全网关(简称 WSA)是业界唯一的将传统的 URL 网站过滤、网站信誉过滤和恶意软件过滤功能集中到单一平台,来进行威胁防御的Web安全设备。借助于思科Talos安全情报中心的安全服务和 AMP 高级恶意代码保护技术,思科 WSA 能够帮助用户在用户上网行为、数据泄露预防和恶意代码防护方面进行全面的防护。思科 WSA 同时具有灵活的部署选项,支持物理设备和虚拟设备的部署,也能够与现有的安全基础设施集成,因此能够帮助用户快速的检测和实现安全防护。
思科 WSA 针对勒索软件的传播途径,能够有效的实现:
通过 URL 网站分类库,实现用户上网行为的法规遵从性管理,限制访问与工作无关的网站。
借助于网站信誉过滤技术,拦截用户访问各类钓鱼或恶意网站。
集成 AMP 高级恶意代码防护技术,能够对用户的上传和下载文件进行恶意代码检测并进行拦截。
总结要解决加密勒索软件带来的威胁,必须采用双管齐下的解决方式,既要部署有效的安全防护手段,同时也需要提高用户的安全意识。
通过对加密勒索软件这种威胁的分析和研究,不难发现,从源头控制威胁的传播是最有效和最直接的手段,为此思科提出了 “主动切断传播途径 防御勒索软件威胁” 的安全解决方案(如下图所示):
在整个勒索软件的传播途径中,在不同的阶段思科都提供了对应的安全产品和解决方案:
最后,从加强用户安全意识和防患于未然的方面,思科给出以下最佳实践和建议:
健壮的补丁管理
Non-native document rendering PDF + Office
使用非管理权限用户登录
禁用 RDP 服务
在终端启用防火墙功能
分段、安全的备份
本地文件和备份文件的加密
Talos 简介
Talos 团队由业界领先的网络安全专家组成,他们分析评估黑客活动,入侵企图,恶意软件以及漏洞的最新趋势。包括 ClamAV 团队和一些标准的安全工具书的作者中最知名的安全专家,都是Talos的成员。这个团队同时得到了 Snort、ClamAV、Senderbase.org 和 Spamcop.net 社区的庞大资源支持,使得它成为网络安全行业最大的安全研究团队。也为思科的安全研究和安全产品服务提供了强大的后盾支持。
本文转自微信公众号:思科联天下
从昨天(2017 年 5 月 12 日)在全球范围内出现了大规模的勒索软件感染事件,此次勒索软件的影响范围非常大,据报道已经有 70 多个国家受到了影响。
这次勒索软件爆发的一个明显特征是,针对企业用户进行勒索软件的传播,国外发现受到影响的用户包括医疗行业、快递行业等,在国内也发现了金融、教育等大量企业用户收到了影响。
思科 Talos 安全团队已经在第一时间,发文针对这次爆发的勒索软件进行了深入的分析和研究,详细信息请参考今天我们同步推送的文章 “WannaCry系列之一:思科 Talos 安全团队对 "WannaCry" 勒索软件的全面深度解析!
下面是思科 Talos 研究报告的几个关键点:
此次大范围传播的勒索软件名为 WannaCry,通过扫描 TCP 445 端口,采用蠕虫病毒的传播方式,感染主机并且加密文件,这是此次大规模爆发的一个原因。
勒索软件 WannaCry 利用了在 Windows 系统上被称为 DOUBLEPULSAR 的后门,在入侵的系统上安装和激活恶意代码。
不存在 DOUBLEPULSAR 后门的系统,WannaCry 尝试扫描和探测是否存在 SMB 的另一个漏洞 ETERNALBLUE,尝试入侵,并以蠕虫病毒传播的方式进行传播。
思科 Talos 建议在网络边界防火墙上关闭对 SMB 端口(139,445)的访问。
对思科用户的紧急应对建议
我们建议用户,应该立刻检查现有系统存在的漏洞,关闭无用的端口和服务,尽快安装厂商提供的各种安全补丁。
对于已经部署思科安全产品和解决方案的用户,针对此次的勒索软件事件,我们给出紧急的应对与建议:
部署 Firepower NGFW 下一代防火墙和 IPS 入侵检测的用户
检测是否开启了 TCP 端口(139 和 445),建议关闭对该端口的访问。
检查是否启用入侵规则库,并且更新到最新版本。
检查是否开启了 Security Intelligence 功能。
检查是否开启了 AMP 恶意代码防护和更新。
部署 ESA 邮件安全网关的用户
检测是否启用 Senderbase 信誉过滤。
检查是否启用 Anti-Spam 和 Anti-Virus 功能,并且更新到最新版本。
检查是否启用 Virus Outbreak Filter 功能,并且更新到最新版本。
检查是否启用 AMP 恶意代码防护功能。
部署 WSA 上网行为管理的用户
检测是否启用了 Web 网站信誉过滤技术。
检查是否启用 AMP 防护功能。
检查 URL 访问控制是否发现访问钓鱼网站的记录。
检查终端设备是否有大量异常访问被拦截的记录。
部署 Stealthwatch 平台的用户
检查是否发现异常行为和异常事件。
检查重要服务器系统是否有异常流量和异常端口访问行为。
检查是否发现 C&C 异常连接事件。
部署 AMP 防恶意代码的用户
部署 AMP 网络防护的用户,检查网络安全设备包括 NGFW,NGIPS和ESA、WSA 等是否开启 AMP 防护功能
部署 AMP 终端防护的用户,检查 AMP Connector 是否处于连接状态。
勒索软件传播途径分析
通过对大量感染案例和样本的分析,我们发现加密勒索软件的传播手段,主要包括以下几个方面:
带有恶意文件附件或者钓鱼网站链接的邮件
网站的恶意代码下载
绑定在某些恶意软件上传播
借助可移动存储介质传播
当含有加密勒索软件代码在用户电脑上运行时,会主动连接僵尸网络 C&C 主机,下载加密程序或者获取加密密钥,然后遍历文件系统并对文件进行加密。
由于加密勒索的运行和加密的操作都是在后台完成,使用者没有感知,常常是使用者在文件无法访问时才发现加密行为,这时从终端进行防范为时已晚。因此,我们在这里来探讨一下如何从勒索软件的传播途径入手,在勒索软件到达电脑之前就实现对其的阻断,以这种在攻击前的主动式预防保护和降低电脑终端被感染的风险。
上图描述了勒索软件的典型传播过程,邮件通常为勒索软件的最常见的载体,其传播途径和感染过程如下:
1、攻击者通过电子邮件,将包含有恶意文件或钓鱼链接的邮件发送到用户的邮箱;
2、用户打开了邮件的恶意文件附件并在电脑上运行,或者点击链接下载了含有恶意代码的文件,这些程序会自动向 C&C 主机发起链接;
3、当恶意程序链接到 C&C 主机后,可能会下载加密程序,同时获取随机加密密钥;
4、勒索软件遍历用户电脑的文件,并对文件和应用进行加密处理,完成加密后删除密钥;
5、攻击者发出勒索信息,通知用户支付赎金进行解密。
当使用者发现电脑的文件或应用无法访问时,会收到各种形式的勒索金钱的提示,包括以邮件或替换电脑桌面背景等方式,提示受害者如何将赎金以比特币的形式交付给攻击者。
通过对多种案例和勒索软件的传播路径的分析,如果能够切断传播路径,将会大大减少用户收到勒索软件感染和入侵的机会。思科建议采用主动的威胁防御模式,从加密勒索软件的传播路径入手,借助于思科Talos安全智能情报中心和丰富的安全解决方案,着重分析传播路径的 1、2 和 3,根据这几个阶段的不同特点,给出有效和可行的解决方案。
思科 Talos 安全智能服务
思科 Talos 安全智能情报中心,通过全球访问的流量侦测和海量样本收集,能够在勒索软件传播的第一时间,分析其内在特征和传播特点,并将这些信息以各种形式更新到思科多种安全设备和服务中,通过采用全方位的安全防护手段,实现动态的主动式防护。
思科 Talos 能够提供最新的安全情报信息包括:
实时更新针对最新漏洞的攻击特征
实时更新最新的 Email 和 URL 信誉
实时更新最新的恶意软件样本
实时更新最新的 C&C 地址
方案之一:邮件安全防护切断传播途径
通过各种案例分析,加密勒索软件的传播途径尤其以电子邮件的比例最大,因此首先从邮件防御作为首要的防护手段进行分析和解决。
思科邮件安全网关,以云安全防御中心 Talos 为核心,借助于全球最大的 IP 地址信誉库,采用智能威胁分析技术,能够实现对带有勒索软件的邮件进行快速发现、分析和响应,有效地切断传播途径。
垃圾邮件的深度防护
思科邮件安全网关设备,采用了业界领先的 SensorBase 信誉过滤技术,能够将来自信誉度评级差的邮件直接进行拦截处理,包括带有勒索软件附件的很多垃圾邮件直接拦截处理。
思科同时结合基于 URL 与情景感知的分析技术,能够对入站的防垃圾邮件进行深度分析和防护,采用包括 DKIM 和 SPF 等技术,能够实现业界领先的 99% 的垃圾邮件识别率,并且低于百万分之一的误判率。
零日威胁爆发过滤
思科邮件安全网关集成了 AMP 高级恶意代码防护和 Outbreak Filter 零日病毒爆发过滤技术。AMP 通过基于云服务的模式,能够针对邮件的附件信息进行信誉度判定,并根据其判定结果,确定放行或者拦截操作。Outbreak Filter 零日病毒爆发过滤技术,通过全球范围内的邮件流量侦测和采样分析,对新爆发的垃圾邮件或病毒邮件能够在第一时间发现其特征,并通知所有的邮件安全设备,在防病毒引擎还没有更新的情况下,实现了零日威胁防护。
根据实际用户的反馈,思科邮件安全网关通过垃圾邮件的深度防护和零日爆发过滤技术,实现了对带有勒索软件邮件的识别、分析和拦截,有效的切断了传播途径,大大降低了用户被感染加密勒索的风险。
方案之二:NGFW 与 NGIPS 拦截针对内部主机的攻击
思科 ASA NGFW 下一代防火墙和 Firepower NGIPS 产品,以出色的的自适应能力,采用威胁防御为核心的设计架构,能够在攻击发生的整个过程,提供威胁保护。思科 ASA NGFW 下一代防火墙支持细粒度的应用可视性和控制(AVC),基于信誉度和内容分类的URL过滤,基于大数据的高级恶意软件防护(AMP)和领先的下一代入侵防御(NGIPS),为客户提供对已知和未知威胁的全面防护。
思科 ASA NGFW 和 Firepower NGIPS 针对勒索软件的传播途径,能够有效的进行防御:
检测并且拦截针对内部主机的攻击,减少勒索软件被植入的可能性
整合 AMP 高级恶意软件防护功能
检测内网中的 C&C 连接,切断已有勒索软件更新密钥的通路
方案之三:AMP 阻挡勒索软件的传播
思科 AMP 高级恶意软件防护技术,提供基于网络和终端的恶意软件防护技术,超越了单纯时间点检测方法,可在攻击的整个过程(攻击前、攻击中和攻击后),对文件和流量进行持续分析,能够回溯并跟踪文件的传播活动和通信,有助于实现追溯性安全,帮助用户了解感染或威胁的完整范围,确定根本原因并进行防御。
思科能够提供专用的 AMP 网络设备和 AMP 终端安全工具,同时也可以提供与其他安全产品进行集成,包括 ASA NGFW、Firepower NGIPS、ESA、WSA 和 Threatgrid 等。
思科 AMP 针对勒索软件的传播途径,能够有效的实现:
在网络的任何位置,对文件实施检测,找到恶意软件/勒索软件,进行阻挡和清除。
在网络/终端/云/网关等多个位置进行防护。
思科 ThreatGrid 通过智能分析以及沙盒技术,对未知可疑的软件进行进一步分析,基于行为,找出未知的勒索软件。
方案之四:Stealthwatch 检测终端 C&C 连接行为
思科 Stealthwatch 能够实现网络可视化与异常行为分析的能力,通过与现有的网络基础设施配合,利用交换机、路由器和防火墙等安全设备的 Netflow 信息,对用户终端设备和网络流量进行分析和检测各种异常行为,包括零日恶意软件、分布式拒绝服务 (DDoS) 攻击、内部威胁和高级持久性威胁 (APT),甚至用户终端与 C&C 主机的通信行为。
思科 Stealtwatch 系统通过 SMC 的统一管理界面,能够直观的显示网络中的南北流量和东西流量,结合安全模板和大数据分析技术,生成完整的信息情报和威胁告警,可以全面增强用户行为的可视性、安全预警和早期威胁检测与防御。
上图描述了 Stealthwatch 系统对终端设备与 C&C 主机的连接行为进行分析和检测的过程,能够有效的实现:
基于网络流量和用户行为,检测内部主机之间的异常行为攻击,减少内部传播勒索软件的可能性。
检测内网终端设备到 C&C 连接和通讯,切断勒索软件更新密钥的通路。
针对已经发现的连接到 C&C 的终端设备,通过ISE能够将其进行隔离操作并进行恶意代码的清除。
方案之五:OpenDNS 服务切断恶意域名解析
思科 OpenDNS 服务通过为用户和企业提供 DNS 解析服务,能够实现更安全、更快捷和更智能的域名解析,同时通过多项专利技术收集恶意网站列表,当用户访问某些恶意网站或钓鱼网站时,OpenDNS 的解析服务能够帮助判断这些网站是否为恶意网站,甚至封锁这些恶意网站。OpenDNS 提供了反钓鱼数据库,实现了恶意网站和钓鱼网站的收集、整理和信息发布的服务。
下图描述了当用户被安装了勒索软件,并向 C&C 主机发起连接获取密钥时,思科 OpenDNS 拦截了对 C&C 主机的域名解析过程:
思科 OpenDNS 带给用户的价值包括:
阻断对恶意网站 URL 的连接。
阻断对 C&C 网络的回连行为。
检测内网中的 C&C 连接,切断已有勒索软件更新密钥的通路。
方案之六:Web 安全网关拦截钓鱼网站的访问
思科 Web 安全网关(简称 WSA)是业界唯一的将传统的 URL 网站过滤、网站信誉过滤和恶意软件过滤功能集中到单一平台,来进行威胁防御的Web安全设备。借助于思科Talos安全情报中心的安全服务和 AMP 高级恶意代码保护技术,思科 WSA 能够帮助用户在用户上网行为、数据泄露预防和恶意代码防护方面进行全面的防护。思科 WSA 同时具有灵活的部署选项,支持物理设备和虚拟设备的部署,也能够与现有的安全基础设施集成,因此能够帮助用户快速的检测和实现安全防护。
思科 WSA 针对勒索软件的传播途径,能够有效的实现:
通过 URL 网站分类库,实现用户上网行为的法规遵从性管理,限制访问与工作无关的网站。
借助于网站信誉过滤技术,拦截用户访问各类钓鱼或恶意网站。
集成 AMP 高级恶意代码防护技术,能够对用户的上传和下载文件进行恶意代码检测并进行拦截。
总结
通过对加密勒索软件这种威胁的分析和研究,不难发现,从源头控制威胁的传播是最有效和最直接的手段,为此思科提出了 “主动切断传播途径 防御勒索软件威胁” 的安全解决方案(如下图所示):
在整个勒索软件的传播途径中,在不同的阶段思科都提供了对应的安全产品和解决方案:
最后,从加强用户安全意识和防患于未然的方面,思科给出以下最佳实践和建议:
健壮的补丁管理
Non-native document rendering PDF + Office
使用非管理权限用户登录
禁用 RDP 服务
在终端启用防火墙功能
分段、安全的备份
本地文件和备份文件的加密
Talos 简介
Talos 团队由业界领先的网络安全专家组成,他们分析评估黑客活动,入侵企图,恶意软件以及漏洞的最新趋势。包括 ClamAV 团队和一些标准的安全工具书的作者中最知名的安全专家,都是Talos的成员。这个团队同时得到了 Snort、ClamAV、Senderbase.org 和 Spamcop.net 社区的庞大资源支持,使得它成为网络安全行业最大的安全研究团队。也为思科的安全研究和安全产品服务提供了强大的后盾支持。
本文转自微信公众号:思科联天下
