思科行業(yè)領(lǐng)先的Talos威脅情報團隊憑借一雙火眼金睛,從眾多威脅中發(fā)現了這一惡意軟件,并確認了其威脅性。WannaCry的初始版本通過(guò)一個(gè)惡意軟件載荷在被感染的計算機上安裝勒索軟件。它會(huì )掃描TCP 445端口,以利用部分未打補丁的Windows計算機上存在的漏洞。與蠕蟲(chóng)病毒類(lèi)似,WannaCry能夠在網(wǎng)絡(luò )中傳播,導致大規模感染。
本博客介紹了客戶(hù)可以如何利用思科安全解決方案來(lái)保護其網(wǎng)絡(luò )和計算機,以免受此惡意軟件及其在未來(lái)數天、數周乃至數月可能生成的新變種的攻擊。
感染檢測
WannaCry惡意軟件的初始版本利用Server Message Block(SMB)協(xié)議來(lái)感染網(wǎng)絡(luò )上運行Microsoft Windows操作系統的計算機,并進(jìn)行傳播。借助Cisco Stealthwatch,網(wǎng)絡(luò )操作員可以監控網(wǎng)絡(luò )內的SMB活動(dòng)。
Cisco Stealthwatch具有內建的報告功能,可以專(zhuān)門(mén)跟蹤和報告內部主機計算機與互聯(lián)網(wǎng)上主機之間的SMB流量,此類(lèi)流量是表明系統感染W(wǎng)annaCry的一個(gè)重要跡象。
WannaCry惡意軟件還使用SMB流量進(jìn)行內部傳播。Stealthwatch會(huì )檢測到相同子網(wǎng)內主機使用的SMB流量,并將其判定為可疑活動(dòng)。
Stealthwatch會(huì )針對可疑SMB活動(dòng)發(fā)出多個(gè)提醒。它尤其會(huì )關(guān)注針對大量不同主機發(fā)起的激增的SMB流量和SMB聯(lián)接。這一信息可幫助確定主機是否被WannaCry感染。
Stealthwatch還能夠檢測并報告到Tor網(wǎng)絡(luò )、Bogon IP地址和已知命令與控制主機的聯(lián)接。
借助持續更新的威脅情報源,Stealthwatch也能夠檢測到主機與Tor網(wǎng)絡(luò )和Bogon IP地址的通信。這使得安全人員能夠發(fā)現任意聯(lián)接到互聯(lián)網(wǎng)上可疑主機的內部IP。
傳播檢測
WannaCry惡意軟件的初始版本會(huì )在網(wǎng)絡(luò )內部橫向傳播(從主機到主機),以試圖感染盡可能多的主機。在惡意軟件觸發(fā)其勒索軟件載荷前,這一傳播機制就已經(jīng)開(kāi)始。Stealthwatch能夠檢測到橫向移動(dòng)事件,尤其是相同子網(wǎng)內系統間的此類(lèi)移動(dòng)。
任意偵察和掃描活動(dòng),尤其是相同子網(wǎng)內的系統間的此類(lèi)活動(dòng),都會(huì )被Stealthwatch跟蹤到。
Stealthwatch蠕蟲(chóng)傳播檢測報告功能可以跟蹤并關(guān)聯(lián)成功聯(lián)接到外部命令與控制主機的掃描活動(dòng)。WannaCry與其他蠕蟲(chóng)病毒均有著(zhù)類(lèi)似的一致活動(dòng)。
關(guān)聯(lián)
思科Stealthwatch將關(guān)聯(lián)在特定主機計算機上觀(guān)察到的不同活動(dòng),并根據每次觀(guān)察所得的數字評分將該IP判定為可疑。之后Stealthwatch會(huì )針對每個(gè)主機IP地址,基于一個(gè)指數累積這些評分,然后發(fā)出名為“威脅指數”(Concern Index)的提醒。威脅指數數值越高,表明主機參與惡意活動(dòng)的可能性越大。
確定范圍和規避威脅
通過(guò)使用思科Stealthwatch Management Center和儀表板,您可以輕松建立一份簡(jiǎn)單的報告,列出所有存在可疑活動(dòng)和可能被感染的系統。借助集成的思科身份服務(wù)引擎(ISE),之后您可以隔離可疑計算機,避免WannaCry進(jìn)一步傳播,直至威脅被修復。
阻止WannaCry傳播
WannaCry在互聯(lián)網(wǎng)上大肆擴散,我們預計在未來(lái)幾年還將會(huì )看到更多變種。利用Stealthwatch無(wú)處不在的滲透力和高級分析功能,您將可以盡早檢測到WannaCry活動(dòng),阻止其在您的環(huán)境中進(jìn)行傳播。
思科Stealthwatch介紹
思科Stealthwatch可提供行業(yè)領(lǐng)先的網(wǎng)絡(luò )可視性和安全情報,幫助提高威脅檢測、事件響應和調查分析的速度和精確度。該系統能夠利用 Netflow 和現有基礎設施中的其他態(tài)勢感知數據,以快捷高效的方式將整個(gè)網(wǎng)絡(luò )轉化為一個(gè)傳感器網(wǎng)。它通過(guò)基于行為的自動(dòng)化學(xué)習和關(guān)聯(lián)建模分析,能夠快速檢測各種異常流量和行為,包括零日惡意軟件、分布式拒絕服務(wù)(DDoS)攻擊、內部威脅和高級持久性威脅(APT)、以及網(wǎng)絡(luò )分段訪(fǎng)問(wèn)違規等。Stealthwatch的管理界面十分直觀(guān)、簡(jiǎn)潔,它通過(guò)單一視圖展示流量在網(wǎng)絡(luò )中的橫向移動(dòng),同時(shí)集成了思科Talos的全球信息安全情報,為用戶(hù)提供一個(gè)簡(jiǎn)單、精致且功能強大的平臺,全面增強企業(yè)可視化、安全分析、高級威脅感知和事件響應調查的能力。
