智能防火墻防護勒索病毒方案

山石網(wǎng)科智能下一代防火墻防御勒索病毒方案概述Cisco在2016年年中網(wǎng)絡(luò)安全報告中指出的，截止到2016年，勒索軟件已經(jīng)成為世上最賺錢的病毒類型。“Ransomwarehasbecomethemostprofitablemalwaretypeinhistory.”勒索病毒軟件的專業(yè)門檻比較低，在互聯(lián)網(wǎng)中有很多開源代碼。雖然一般勒索贖金的數(shù)額不太大，但是卻對感染勒索病毒的商業(yè)機構(gòu)、大型企業(yè)的業(yè)務(wù)運轉(zhuǎn)產(chǎn)生實時的影響，甚至是中斷。一般情況下，被感染者都會請專業(yè)的安全分析人員來解決，但是解決勒索病毒問題不僅耗時，服務(wù)費用也往往會高于勒索贖金，因此在商業(yè)活動直接受到影響的情況下，受害企業(yè)常常采取直接支付贖金的辦法來快速解決問題。

最近，舊金山公共交通鐵路(MUNI)的售票系統(tǒng)遭受到了勒索病毒攻擊，攻擊者加密了和售票機系統(tǒng)相關(guān)的所有服務(wù)器系統(tǒng)，索要$75000美金的解密贖金，同時威脅要銷毀近30GB的關(guān)鍵性數(shù)據(jù)。這次勒索攻擊造成了售票機系統(tǒng)癱瘓，為了不影響工作日高峰期的道路交通，在交付贖金解決問題的兩天時間里，被迫讓所有乘客免費乘車。日益增多的勒索病毒攻擊使得這些企業(yè)機構(gòu)對于能夠?qū)崟r、精準、有效的檢測勒索軟件攻擊，防止其對于重要的核心數(shù)據(jù)加密提出了更高的要求。勒索軟件攻擊過程攻擊者通過社交網(wǎng)絡(luò)等途徑向受害者發(fā)送帶有惡意附件的郵件。受害者點擊執(zhí)行郵件附件后，附件內(nèi)的惡意代碼便會在主機上執(zhí)行，控制主機會主動連接指定的服務(wù)器，下載Locky惡意軟件到受害主機上并執(zhí)行。Locky惡意軟件安裝運行后，會主動連接C&C服務(wù)器并下載加密Key。Locky惡意軟件會進行內(nèi)網(wǎng)掃描，遍歷并鎖定重要的文件資源并對其進行加密鎖定。加密完成后生成勒索提示文件，要求受害方交納贖金取得解密公鑰。山石智能下一代防火墻對于勒索病毒的全方位檢測和防范山石的智能下一代防火墻（iNGFW）集成了NGFW的IPS/AV基于靜態(tài)簽名的檢測引擎，基于已知病毒攻擊行為學(xué)習(xí)及分析的未知威脅檢測引擎等其他檢測引擎。利用這些檢測引擎能夠?qū)τ贚ocky病毒及其變種，在其開始傳播到最后執(zhí)行階段的攻擊流量特征和異常網(wǎng)絡(luò)行為，進行全方位的檢測和阻斷。除此之外，山石的云端生態(tài)系統(tǒng)能夠?qū)崟r與第三方信譽網(wǎng)站進行Locky及變種勒索病毒威脅情報的同步，結(jié)合威脅情報、黑白名單及其他信譽特征庫，實時推送給iNGFW設(shè)備進行本地特征庫的更新，以確保iNGFW設(shè)備能夠為客戶防護最新的勒索病毒及其變種。部署山石網(wǎng)科iNGFW設(shè)備檢測勒索病毒攻擊的案例在病毒傳播階段，iNGFW的AV掃描引擎對于郵件中各種類型的附件進行掃描，根據(jù)最新的特征庫進行匹配檢測已知的勒索病毒。在實際客戶部署的iNGFW設(shè)備中發(fā)現(xiàn)，在Locky最初傳播的附件中檢測到Trojan/Generic.ASMalwRG.70的木馬病毒，并對其進行了攔截過濾。除此之外，iNGFW的AV引擎還可以利用URL的信譽庫來檢測到已知的惡意病毒。對于Locky病毒軟件運行時，iNGFW的域名黑名單可以針對外部的固定域名連接進行及時的檢測和阻斷。在實際客戶部署的iNGFW設(shè)備中發(fā)現(xiàn)，Locky攻擊執(zhí)行后，第一時間連接了域名，而這個域名已經(jīng)包含在了iNGFW的域名黑名單中，因此該訪問連接被立刻檢測到并加以阻斷。iNGFW還有基于海量已知病毒樣本所建立的機器學(xué)習(xí)模型檢測引擎，可以對于已知Locky病毒及其變種進行攻擊行為相似性的分類和類聚。上述基于已知病毒特征庫的檢測手段對于已知Locky病毒的檢測雖然有效，但是由于特征庫的更新有時效性，所以對于最新的近乎0-day的勒索病毒攻擊卻往往無效。這就需要通過病毒被植入后的種種網(wǎng)絡(luò)行為來進行檢測。如上文圖中描述的勒索病毒攻擊過程，Locky惡意軟件成功的被下載到受害主機后會反鏈黑客的C&C服務(wù)器，獲取進一步的指令和加密公鑰，而C&C的域名常常是通過DGA算法生成或者之前用過的注冊域名等。iNGFW的DGA檢測引擎可以準確、有效地檢測到DGA的域名活動，升級主機的風(fēng)險級別，管理員也可以決定是否針對此類風(fēng)險等級的風(fēng)險主機進行不同程度的控制。下圖展示了主機遭受Locky病毒攻擊后，進行DGA域名的服務(wù)器反鏈，iNGFW檢測到的就是一個很典型的DGA域名。iNGFW的行為分析引擎還可以通過關(guān)聯(lián)各種檢測維度來檢測Locky病毒攻擊過程中的異常行為。例如檢測用戶在進行郵件附件下載或HTTP腳本文件下載后，立即向外部未知地址的服務(wù)器發(fā)起請求（依賴于已知域名或IP地址的黑白名單），從而可以提升風(fēng)險主機的風(fēng)險等級，再由用戶決定是否針對此類風(fēng)險等級的風(fēng)險主機進行控制。此外，iNGFW利用云智能生態(tài)系統(tǒng)，在云端對于最新的病毒特征庫，黑白域名，及其他的各種信譽庫進行持續(xù)的同步更新，并及時推送各種最新的特征庫到設(shè)備端。如下圖所示，這個站點有及時的勒索病毒下載域名的更新，可以通過持續(xù)監(jiān)控來及時更新相應(yīng)的域名黑名單。總結(jié)山石網(wǎng)科的iNGFW應(yīng)對Locky病毒攻擊具