您當(dāng)前的位置是:  首頁 > 新聞 > 國(guó)內(nèi) >
 首頁 > 新聞 > 國(guó)內(nèi) >

瞻博網(wǎng)絡(luò)助您應(yīng)對(duì)勒索軟件的攻擊

2017-05-16 09:22:05   作者:   來源:CTI論壇   評(píng)論:0  點(diǎn)擊:

 \
   微軟剛剛發(fā)布了關(guān)于Windows XP,Windows 8,和一些原來沒有包括在MS17-010 更新的服務(wù)器平臺(tái)的補(bǔ)丁。
  此外,我們還看到了一個(gè)新的WannaCry的變種,該變種并不利用原來的“killswitch”開關(guān)。研究人員現(xiàn)在懷疑這個(gè)機(jī)制其實(shí)是嘗試?yán)@開部分自動(dòng)對(duì)GET請(qǐng)求進(jìn)行應(yīng)答的動(dòng)態(tài)分析引擎,從而避免被探測(cè)到。
  原始說明:
  一個(gè)名為Wanna,WannaCry或Wcr的自我復(fù)制的勒索軟件正在對(duì)世界各地的計(jì)算機(jī)進(jìn)行破壞。最初的信息顯示:在大部分公司的最初擴(kuò)散是通過傳統(tǒng)方法,主要是Necurs僵尸網(wǎng)絡(luò)出來的郵件和PDF文件。WannaCry的特殊性在于它能夠從首例病患開始,在啟用了SMBv1的網(wǎng)絡(luò)里迅速地?cái)U(kuò)散。
  這個(gè)SMBv1的不須認(rèn)證的遠(yuǎn)程代碼執(zhí)行(Remote-Code-Execution)工具在2017年4月14日由“影子經(jīng)紀(jì)人”組織公開。它被非正式地稱為“永恒之藍(lán)”,并且微軟主動(dòng)地在3月14 日的安全公告MS17-010里面提到。
  看看下面這個(gè)公開的“永恒之藍(lán)”的例子,讓我們了解為何該勒索軟件可以高效傳播;它完全不需要攻擊者的任何操作,就可以在一個(gè)脆弱的公司里傳播。
\
  微軟主動(dòng)發(fā)布了對(duì)應(yīng)補(bǔ)。∕S17-010)后,許多用戶仍然沒有部署該補(bǔ)丁。
  盡管該勒索軟件很讓人擔(dān)心,采用了Juniper的安全解決方案的客戶可以相對(duì)更放心一些,他們的環(huán)境是受到保護(hù)的。下面,我們回顧一下WannaCry的特征,以及現(xiàn)有的可以防止它爆發(fā)的工具。
  首先,已經(jīng)部署了我們先進(jìn)的SkyATP的云端惡意軟件防護(hù)解決方案的客戶非常可能已經(jīng)在多個(gè)層次上得到了防護(hù):
  • 通過SkyATP的安全智能信息推送更新,用戶和Necurs僵尸網(wǎng)絡(luò)的通信自動(dòng)被截?cái)啵幌騼?nèi)部的訪問可以被Juniper的SRX防火墻丟棄;
  • 如果沒有用到上面的基于網(wǎng)的安全信息推送更新的防護(hù),SkyATP的防惡意軟件功能可以通過其強(qiáng)壯的多段檢測(cè)管道(包括基于特征庫(kù)的檢測(cè),機(jī)器學(xué)習(xí)的靜態(tài)分析,和基于沙盒的誘騙動(dòng)態(tài)分析機(jī)制)識(shí)別WannaCry。到現(xiàn)在(5月12日)為止,我們分析了24個(gè)獨(dú)立的案例,在30秒內(nèi)全部被識(shí)別和抓到;
  • 基于以上的實(shí)現(xiàn)機(jī)制,假設(shè)即使SkyATP沒有阻擋該文件的初次下載,SkyATP的機(jī)制是一旦識(shí)別到該文件是惡意的,就可以將此信息傳遞到各個(gè)企業(yè)的SRX設(shè)備,從而在網(wǎng)絡(luò)層面隔離該惡意軟件。
\
  SkyATP識(shí)別到的WannaCry勒索軟件(上圖)
\
  SkyATP里面對(duì)WannaCry的行為分析(上圖)
  部署了Juniper 安全分析解決方案(JSA)的客戶也可以更好地防護(hù)各種勒索軟件。在這個(gè)WannaCry的例子里面,SIEM會(huì)基于異常檢測(cè)技術(shù)(特別是點(diǎn)對(duì)點(diǎn)的SMB和文件生成行為)生成多個(gè)事件和受攻擊信息。
  下面以Windows 7的設(shè)備為例,說明如何識(shí)別勒索軟件攻擊里用到的異常的寫文件的動(dòng)作:
  當(dāng)一個(gè)設(shè)備開始寫大量的文件(對(duì)整個(gè)文件系統(tǒng)進(jìn)行加密)時(shí),對(duì)一個(gè)SIEM來說是比較容易識(shí)別的事件。Juniper的SIEM的特別之處在于:Juniper可以將該威脅信息發(fā)布到我們的軟件定義的安全網(wǎng)絡(luò)(SDSN)解決方案里面,從而在幾秒鐘內(nèi)隔離受到影響的主機(jī)。
  對(duì)于Juniper IDP入侵防御和防火墻SRX的客戶而言,MS17-010在多個(gè)CVE和對(duì)應(yīng)的特征庫(kù)得到了覆蓋。請(qǐng)確認(rèn)以下的IDP特征更新并且啟用:
 

 SMB:CVE-2017-0145-RCE

SMB: Microsoft Windows CVE-2017-0145 Remote  Code Execution

SMB:CVE-2017-0146-OOB

SMB: Microsoft Windows SMB Server  CVE-2017-0146 Out Of Bounds Write

SMB:CVE-2017-0147-ID

SMB: Microsoft Windows SMB Server  CVE-2017-0147 Information Disclosure

SMB:CVE-2017-0148-RCE

SMB: Microsoft Windows CVE-2017-0148 Remote  Code Execution

SMB:ERROR:MAL-MSG

SMB: Malformed Message

 
  Juniper的軟件定義的安全網(wǎng)絡(luò)(SDSN)的架構(gòu)如下,通過SDSN的部署,Juniper EX/QFX交換機(jī)和SRX防火墻都能成為策略的執(zhí)行者,云端識(shí)別和策略推送,可以很快地實(shí)施連接到交換機(jī)端口的主機(jī)訪問隔離控制和防火墻的安全策略,從而最快地隔離受影響的主機(jī),避免攻擊擴(kuò)散。
\
  WannaCry的詳細(xì)分析:
  雖然到不同目標(biāo)的傳遞機(jī)制有異,許多報(bào)文顯示包括了母文件(通常是PDF)嵌入了些可移植的執(zhí)行文件(PE)。在我們的例子里面,打開這些PE文件后,可以看到“WNcry@2o17”字樣的密碼,讓你可以打開一個(gè)嵌入的zip文件:
\
  如果你解壓這個(gè)zip文件,你就會(huì)看到一個(gè)多種文字的txt的勒索信息:
\
  zip文件里面的多種文字的勒索信息(上圖)
  內(nèi)嵌的tasksche.exe文件的功能是探測(cè)連在目標(biāo)機(jī)器上的所有的邏輯硬盤:
\
  反匯編的tasksche.exe文件(上圖)
  執(zhí)行了惡意文件后,該文件用“永恒之藍(lán)”通過SMBv1(TCP 445)對(duì)外連接,當(dāng)該軟件開始加密本地硬盤時(shí),用戶得到了以下界面,文件被加密,彈出勒索界面:
\

\

\
  除了對(duì)Windows系統(tǒng)打補(bǔ)丁這一必須的安全防護(hù)操作之外。還可以依據(jù)本病毒的傳播原理進(jìn)行一些網(wǎng)絡(luò)層面的防護(hù)。WannaCry通過兩類掃描尋找可以被感染的主機(jī):
  1. 隨機(jī)生成的Internet地址,一旦可以感染,將持續(xù)掃描該地址所屬的Type C網(wǎng)段
  2. 掃描本機(jī)所屬的局域網(wǎng)。
  對(duì)于類型1的掃描,邊界防護(hù)-邊界路由器、防火墻的ACL可以進(jìn)行阻擋。但實(shí)際上,由于網(wǎng)絡(luò)邊界通常都不開放445端口對(duì)內(nèi)網(wǎng)的映射,因此這類防護(hù)只可以保護(hù)直接暴露于Internet的主機(jī),比如通過BBE連接的個(gè)人用戶或DMZ中的主機(jī)。
  對(duì)于類型2的掃描,邊界防護(hù)的作用非常有限。還需要在內(nèi)網(wǎng)接口進(jìn)行進(jìn)一步的防護(hù)。
  基于Juniper的網(wǎng)絡(luò)和安全設(shè)備的防護(hù)方法建議如下:
  一、Juniper防火墻設(shè)備:
  1. 采用防火墻策略,阻止目的端口的445(135/137/138/139的類似)訪問;
  2. 更新IDP的入侵防御特征庫(kù)并部署特征匹配;
  3. 采用Sky ATP的防御機(jī)制;
  4. 結(jié)合軟件定義的安全網(wǎng)絡(luò)解決方案(SDSN)實(shí)施整體防護(hù)。
  二、Juniper路由設(shè)備:
  1、定義filter,阻止445端口(135/137/138/139的類似,在discard的term里面加入即可)
  set firewall family inet filterDENY_WANNACRY term deny_wannacry from destination-port 445
  ##set firewall family inet filterDENY_WANNACRY term deny_wannacry from destination-port 135-139)##
  set firewall family inet filterDENY_WANNACRY term deny_wannacry then discard
  set firewall family inet filterDENY_WANNACRY term default then accept
  2、在forwarding-options下應(yīng)用
  set forwarding-options family inet filter input DENY_WANNACRY
  三、Juniper交換設(shè)備:
  采用group方式在接口上批量應(yīng)用filter(有大量業(yè)務(wù)接口時(shí)使用這種方法可節(jié)省工作量)
  1、定義groupIFS_DENY_WANNACRY:所有g(shù)e接口的所有子接口入方向應(yīng)用filter DENY_WANNACRY
  set groups IFS_DENY_WANNACRY  interfaces <ge-*> unit <*> familyethernet-switching filter input DENY_WANNACRY
  (注:有使用到其他接口類型,使用上述配置方法增加)
  2、定義filterDENY_WANNACRY, 阻止445端口(135/137/138/139的類似)
  set firewall family ethernet-switchingfilter DENY_WANNACRY term deny_wannacry from destination-port 445
  ##setfirewall family ethernet-switching filter DENY_WANNACRY term deny_wannacry fromdestination-port 135-139##
  set firewall family ethernet-switchingfilter DENY_WANNACRY term deny_wannacry then discard
  set firewall family ethernet-switchingfilter DENY_WANNACRY term default then accept
  3、應(yīng)用group配置
  set apply-groups IFS_DENY_WANNACRY
  注意事項(xiàng):
  1) 如果接口下已有filter配置,這個(gè)接口下的group配置不會(huì)生效,要在接口已有filter配置下修改;
  2) filter最后一個(gè)term要放行其他所有流量,否則會(huì)影響業(yè)務(wù)。
  特別感謝Asher Langton, Peter Gael, Laurence Pitt, 和 Lee Fisher對(duì)這篇快速響應(yīng)文檔的幫助:

專題