真實(shí)案例:利用大數(shù)據(jù)分析平臺(tái)迅速發(fā)現(xiàn)WannaCry勒索蠕蟲(chóng)攻擊
WannaCry勒索蠕蟲(chóng)大規(guī)模爆發(fā),折射出企業(yè)內(nèi)網(wǎng)依然缺乏高效的安全防護(hù)、分析與響應(yīng)能力--如何在第一時(shí)間發(fā)現(xiàn)企業(yè)內(nèi)部大量的終端、服務(wù)器是否面臨安全威脅?本文以真實(shí)客戶案例為基礎(chǔ),還原如何通過(guò)瀚思大數(shù)據(jù)分析平臺(tái)迅速發(fā)現(xiàn)此次WannaCry勒索蠕蟲(chóng)異常行為并響應(yīng)處置。
?? 
01.WannaCry勒索蠕蟲(chóng)攻擊
自5月12日起,全球爆發(fā)大規(guī)模勒索軟件感染事件,至少100多個(gè)國(guó)家和地區(qū)電腦設(shè)備遭受攻擊,尤其是國(guó)內(nèi)多個(gè)行業(yè)內(nèi)網(wǎng)環(huán)境受到嚴(yán)重感染,損失嚴(yán)重。
WannaCry勒索蠕蟲(chóng)是傳統(tǒng)的勒索軟件與蠕蟲(chóng)病毒的結(jié)合體,同時(shí)擁有蠕蟲(chóng)的擴(kuò)散傳播和勒索軟件的加密文件功能,通過(guò)微軟MS17-010漏洞(該漏洞的利用程序由方程式組織于4月泄露),針對(duì)windows系統(tǒng)終端的445端口進(jìn)行遠(yuǎn)程漏洞攻擊,攻擊成功后攜帶勒索軟件功能的蠕蟲(chóng)病毒會(huì)對(duì)主機(jī)文件進(jìn)行加密,并掃描網(wǎng)絡(luò)內(nèi)其他主機(jī)進(jìn)行傳播。
由于該蠕蟲(chóng)利用了近期爆發(fā)的Nday遠(yuǎn)程溢出漏洞,多數(shù)內(nèi)網(wǎng)機(jī)器并未及時(shí)更新微軟于3月發(fā)布的漏洞補(bǔ)丁,導(dǎo)致一旦一臺(tái)主機(jī)被感染,會(huì)在內(nèi)網(wǎng)中大規(guī)模擴(kuò)散,傳播速度極快,截止目前已造成多個(gè)行業(yè)的嚴(yán)重?fù)p失,其中包括教育、醫(yī)療、公安、能源等重要行業(yè)機(jī)構(gòu),不但危害重要文件和數(shù)據(jù)信息,還可能導(dǎo)致嚴(yán)重的公共安全事件,危及醫(yī)療設(shè)備、能源系統(tǒng)等。
02.爭(zhēng)分奪秒!第一時(shí)間定位勒索攻擊
某集團(tuán)客戶部署了瀚思企業(yè)版(HanSight Enterprise 3.0),從5月13日上午10點(diǎn)開(kāi)始,HanSight Enterprise 突然發(fā)生大量『 自動(dòng)告警 』,告警名稱(chēng)是“外網(wǎng)主機(jī)發(fā)起特定端口掃描”,告警級(jí)別是『 中危 』。
?? 
運(yùn)維人員立刻進(jìn)行響應(yīng),發(fā)現(xiàn)來(lái)自于外網(wǎng)的約500個(gè)IP地址在對(duì)客戶網(wǎng)絡(luò)的端口445進(jìn)行掃描。所以運(yùn)維人員立刻在防火墻上配置規(guī)則,禁止外網(wǎng)對(duì)內(nèi)網(wǎng)445端口的訪問(wèn)。
但是10分鐘后,HanSight Enterprise再次發(fā)生『 自動(dòng)告警 』,告警名稱(chēng)是“內(nèi)網(wǎng)主機(jī)在遭受端口掃描后發(fā)起對(duì)相同端口的掃描”,告警級(jí)別是『 高危 』。
?? 
運(yùn)維人員經(jīng)過(guò)簡(jiǎn)單分析后,認(rèn)為在剛才短短的5分鐘內(nèi),內(nèi)網(wǎng)已經(jīng)有電腦被成功攻擊并且感染未知病毒,也開(kāi)始掃描445端口進(jìn)行傳播,所以迫切需要定位到已經(jīng)感染病毒的機(jī)器并且將其斷網(wǎng)。利用HanSightEnterprise的云圖功能,運(yùn)維人員快速地定位到5臺(tái)已經(jīng)感染病毒的主機(jī),然后對(duì)這5臺(tái)主機(jī)立刻關(guān)機(jī)和斷網(wǎng)。
?? 
通過(guò)設(shè)置HanSight Enterprise的儀表盤(pán),監(jiān)測(cè)內(nèi)網(wǎng)主機(jī)向445端口發(fā)送數(shù)據(jù)包的統(tǒng)計(jì)和趨勢(shì),以驗(yàn)證處置效果,和確認(rèn)是否有未知感染病毒的機(jī)器。在對(duì)這5臺(tái)主機(jī)斷網(wǎng)后,客戶環(huán)境內(nèi)的445端口訪問(wèn)回歸正常。
HanSightEnterprise采集日志和流量,實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)異常,利用規(guī)則與算法發(fā)現(xiàn)可疑威脅,并且進(jìn)行自動(dòng)告警,發(fā)起響應(yīng)措施;利用數(shù)據(jù)模型幫助客戶迅速定位發(fā)生威脅的機(jī)器,以及驗(yàn)證處置效果。在此次針對(duì)WannaCry勒索蠕蟲(chóng)攻擊的處理中發(fā)揮了重要的作用。
03.緊急預(yù)防和處置方案
由于該病毒對(duì)網(wǎng)絡(luò)環(huán)境的攻擊有其獨(dú)特性:
1. 與外網(wǎng)物理隔離的系統(tǒng)并不能免受攻擊,惡意程序進(jìn)入內(nèi)網(wǎng)的途徑有很多,一旦某臺(tái)內(nèi)網(wǎng)機(jī)器中招將導(dǎo)致整個(gè)網(wǎng)絡(luò)中的機(jī)器遭受?chē)?yán)重?fù)p失!
2. 邊界防火墻阻斷了445端口的流量并不能確保內(nèi)網(wǎng)安全,只要內(nèi)部機(jī)器未打補(bǔ)丁且未關(guān)閉445端口都有可能成為被攻擊對(duì)象。
3. 雖然部分安全廠商已針對(duì)該漏洞對(duì)安全設(shè)備特征庫(kù)進(jìn)行了更新,但鑒于大部分企事業(yè)單位所部署的安全設(shè)備都處于疏于配置管理和更新的狀態(tài),因此部署了安全設(shè)備并無(wú)法有效阻止攻擊!
所以建議進(jìn)行如下預(yù)防與處置:
1. 利用HanSight Enterprise查找所有開(kāi)放445 SMB服務(wù)端口的終端和服務(wù)器。
2. 目前微軟已發(fā)布補(bǔ)丁MS17-010修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞,請(qǐng)盡快為電腦安裝此補(bǔ)丁,網(wǎng)址為https://technet.microsoft.com/zh-cn/library/security/MS17-010;對(duì)于微軟已停止維護(hù)的Windows XP和Windows 2003系統(tǒng)已于5月13日更新漏洞補(bǔ)丁,對(duì)應(yīng)版本的下載地址:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
3. 一旦發(fā)現(xiàn)中毒機(jī)器,立即斷網(wǎng)。
4. 啟用并打開(kāi)“Windows防火墻”,進(jìn)入“高級(jí)設(shè)置”,在入站規(guī)則里禁用“文件和打印機(jī)共享”相關(guān)規(guī)則。關(guān)閉UDP135、445、137、138、139端口,關(guān)閉網(wǎng)絡(luò)文件共享。
5. 嚴(yán)格禁止使用U盤(pán)、移動(dòng)硬盤(pán)等可執(zhí)行擺渡攻擊的設(shè)備。
6. 盡快備份自己電腦中的重要文件資料到存儲(chǔ)設(shè)備上。
7. 及時(shí)更新操作系統(tǒng)和應(yīng)用程序到最新的版本。
8. 加強(qiáng)電子郵件安全,有效的阻攔掉釣魚(yú)郵件,可以消除很多隱患。
9. 安裝正版操作系統(tǒng)、軟件等。
【本文為51CTO專(zhuān)欄作者“瀚思 ”的原創(chuàng)稿件,轉(zhuǎn)載請(qǐng)通過(guò)作者獲取授權(quán)】
