思科行業(yè)領(lǐng)先的Talos威脅情報(bào)團(tuán)隊(duì)?wèi){借一雙火眼金睛,從眾多威脅中發(fā)現(xiàn)了這一惡意軟件,并確認(rèn)了其威脅性。WannaCry的初始版本通過(guò)一個(gè)惡意軟件載荷在被感染的計(jì)算機(jī)上安裝勒索軟件。它會(huì)掃描TCP 445端口,以利用部分未打補(bǔ)丁的Windows計(jì)算機(jī)上存在的漏洞。與蠕蟲病毒類似,WannaCry能夠在網(wǎng)絡(luò)中傳播,導(dǎo)致大規(guī)模感染。
本博客介紹了客戶可以如何利用思科安全解決方案來(lái)保護(hù)其網(wǎng)絡(luò)和計(jì)算機(jī),以免受此惡意軟件及其在未來(lái)數(shù)天、數(shù)周乃至數(shù)月可能生成的新變種的攻擊。
感染檢測(cè)
WannaCry惡意軟件的初始版本利用Server Message Block(SMB)協(xié)議來(lái)感染網(wǎng)絡(luò)上運(yùn)行Microsoft Windows操作系統(tǒng)的計(jì)算機(jī),并進(jìn)行傳播。借助Cisco Stealthwatch,網(wǎng)絡(luò)操作員可以監(jiān)控網(wǎng)絡(luò)內(nèi)的SMB活動(dòng)。
Cisco Stealthwatch具有內(nèi)建的報(bào)告功能,可以專門跟蹤和報(bào)告內(nèi)部主機(jī)計(jì)算機(jī)與互聯(lián)網(wǎng)上主機(jī)之間的SMB流量,此類流量是表明系統(tǒng)感染W(wǎng)annaCry的一個(gè)重要跡象。
WannaCry惡意軟件還使用SMB流量進(jìn)行內(nèi)部傳播。Stealthwatch會(huì)檢測(cè)到相同子網(wǎng)內(nèi)主機(jī)使用的SMB流量,并將其判定為可疑活動(dòng)。
Stealthwatch會(huì)針對(duì)可疑SMB活動(dòng)發(fā)出多個(gè)提醒。它尤其會(huì)關(guān)注針對(duì)大量不同主機(jī)發(fā)起的激增的SMB流量和SMB聯(lián)接。這一信息可幫助確定主機(jī)是否被WannaCry感染。
Stealthwatch還能夠檢測(cè)并報(bào)告到Tor網(wǎng)絡(luò)、Bogon IP地址和已知命令與控制主機(jī)的聯(lián)接。
借助持續(xù)更新的威脅情報(bào)源,Stealthwatch也能夠檢測(cè)到主機(jī)與Tor網(wǎng)絡(luò)和Bogon IP地址的通信。這使得安全人員能夠發(fā)現(xiàn)任意聯(lián)接到互聯(lián)網(wǎng)上可疑主機(jī)的內(nèi)部IP。
傳播檢測(cè)
WannaCry惡意軟件的初始版本會(huì)在網(wǎng)絡(luò)內(nèi)部橫向傳播(從主機(jī)到主機(jī)),以試圖感染盡可能多的主機(jī)。在惡意軟件觸發(fā)其勒索軟件載荷前,這一傳播機(jī)制就已經(jīng)開始。Stealthwatch能夠檢測(cè)到橫向移動(dòng)事件,尤其是相同子網(wǎng)內(nèi)系統(tǒng)間的此類移動(dòng)。
任意偵察和掃描活動(dòng),尤其是相同子網(wǎng)內(nèi)的系統(tǒng)間的此類活動(dòng),都會(huì)被Stealthwatch跟蹤到。
Stealthwatch蠕蟲傳播檢測(cè)報(bào)告功能可以跟蹤并關(guān)聯(lián)成功聯(lián)接到外部命令與控制主機(jī)的掃描活動(dòng)。WannaCry與其他蠕蟲病毒均有著類似的一致活動(dòng)。
關(guān)聯(lián)
思科Stealthwatch將關(guān)聯(lián)在特定主機(jī)計(jì)算機(jī)上觀察到的不同活動(dòng),并根據(jù)每次觀察所得的數(shù)字評(píng)分將該IP判定為可疑。之后Stealthwatch會(huì)針對(duì)每個(gè)主機(jī)IP地址,基于一個(gè)指數(shù)累積這些評(píng)分,然后發(fā)出名為“威脅指數(shù)”(Concern Index)的提醒。威脅指數(shù)數(shù)值越高,表明主機(jī)參與惡意活動(dòng)的可能性越大。
確定范圍和規(guī)避威脅
通過(guò)使用思科Stealthwatch Management Center和儀表板,您可以輕松建立一份簡(jiǎn)單的報(bào)告,列出所有存在可疑活動(dòng)和可能被感染的系統(tǒng)。借助集成的思科身份服務(wù)引擎(ISE),之后您可以隔離可疑計(jì)算機(jī),避免WannaCry進(jìn)一步傳播,直至威脅被修復(fù)。
阻止WannaCry傳播
WannaCry在互聯(lián)網(wǎng)上大肆擴(kuò)散,我們預(yù)計(jì)在未來(lái)幾年還將會(huì)看到更多變種。利用Stealthwatch無(wú)處不在的滲透力和高級(jí)分析功能,您將可以盡早檢測(cè)到WannaCry活動(dòng),阻止其在您的環(huán)境中進(jìn)行傳播。
思科Stealthwatch介紹
思科Stealthwatch可提供行業(yè)領(lǐng)先的網(wǎng)絡(luò)可視性和安全情報(bào),幫助提高威脅檢測(cè)、事件響應(yīng)和調(diào)查分析的速度和精確度。該系統(tǒng)能夠利用 Netflow 和現(xiàn)有基礎(chǔ)設(shè)施中的其他態(tài)勢(shì)感知數(shù)據(jù),以快捷高效的方式將整個(gè)網(wǎng)絡(luò)轉(zhuǎn)化為一個(gè)傳感器網(wǎng)。它通過(guò)基于行為的自動(dòng)化學(xué)習(xí)和關(guān)聯(lián)建模分析,能夠快速檢測(cè)各種異常流量和行為,包括零日惡意軟件、分布式拒絕服務(wù)(DDoS)攻擊、內(nèi)部威脅和高級(jí)持久性威脅(APT)、以及網(wǎng)絡(luò)分段訪問(wèn)違規(guī)等。Stealthwatch的管理界面十分直觀、簡(jiǎn)潔,它通過(guò)單一視圖展示流量在網(wǎng)絡(luò)中的橫向移動(dòng),同時(shí)集成了思科Talos的全球信息安全情報(bào),為用戶提供一個(gè)簡(jiǎn)單、精致且功能強(qiáng)大的平臺(tái),全面增強(qiáng)企業(yè)可視化、安全分析、高級(jí)威脅感知和事件響應(yīng)調(diào)查的能力。