前面文章對(duì)勒索軟件進(jìn)行了分析,并介紹了常見(jiàn)的勒索攻擊模式以及攻擊的過(guò)程。從攻擊的過(guò)程看,起點(diǎn)都是從入侵開(kāi)始,那么這一期我們就重點(diǎn)看下常見(jiàn)的入侵方式以及防御方法。
入侵防御是企業(yè)防護(hù)的第一道防線,盡可能的攔截更多的潛在威脅,為后端減輕壓力。
入侵方式
入侵前需要經(jīng)過(guò)偵察找到目標(biāo),然后經(jīng)過(guò)各種攻擊方法和技術(shù)進(jìn)行滲透,從而達(dá)到控制目標(biāo)系統(tǒng),投放勒索軟件的目的,這些方法和技術(shù)包括但不限于釣魚(yú)郵件、網(wǎng)頁(yè)掛馬、暴力破解、漏洞滲透、社工等等。
偵察偵察為所有攻擊的最開(kāi)始部分,就是想盡一切辦法和技術(shù)獲取攻擊目標(biāo)的信息,包括信息資產(chǎn)、組織結(jié)構(gòu)、技術(shù)架構(gòu)等,目的是搜集到足夠的信息用于下一步的入侵動(dòng)作。常見(jiàn)的偵察技術(shù)包括利用互聯(lián)網(wǎng)信息、調(diào)查研究、通過(guò)主動(dòng)掃描等;這里舉幾個(gè)常見(jiàn)的方式,比如:
利用互聯(lián)網(wǎng)信息:通過(guò)對(duì)目標(biāo)組織的域名進(jìn)行Whois信息查詢,獲取IP地址等信息資產(chǎn);通過(guò)對(duì)網(wǎng)站的網(wǎng)頁(yè)代碼進(jìn)行分析,包括采用的技術(shù),甚至在HTML源碼注釋中發(fā)現(xiàn)更有價(jià)值的信息;通過(guò)社交媒體等獲取目標(biāo)公司信息;通過(guò)搜索引擎獲取公開(kāi)的信息,并把這些所有信息片段組合成有價(jià)值的信息,為下一步動(dòng)作做準(zhǔn)備。
通過(guò)主動(dòng)掃描:知道了目標(biāo)組織的主機(jī)等暴露面信息,有太多公開(kāi)的方法和工具來(lái)進(jìn)一步探測(cè)開(kāi)啟的服務(wù)以及可利用的漏洞信息,比如Nessus、Acunetix、Nmap等商業(yè)或者免費(fèi)的工具。
除了上面常見(jiàn)的方法,還有很多可利用的技術(shù),比如被動(dòng)監(jiān)測(cè)獲取組織的網(wǎng)絡(luò)及應(yīng)用信息,通過(guò)社會(huì)工程學(xué)獲取有價(jià)值的信息,防不勝防。
釣魚(yú)郵件釣魚(yú)郵件是攻擊者最喜歡使用的一個(gè)社工方式了,釣魚(yú)郵件指利用偽裝的電郵,欺騙收件人將賬號(hào)、口令等信息回復(fù)給指定的接收者;或引導(dǎo)收件人鏈接到特制的網(wǎng)頁(yè),這些網(wǎng)頁(yè)通常會(huì)偽裝成和真實(shí)網(wǎng)站一樣,如銀行或理財(cái)?shù)木W(wǎng)頁(yè),令登錄者信以為真,輸入信用卡或銀行卡號(hào)碼、賬戶名稱及密碼等而被盜?。换蛘哒T導(dǎo)用戶打開(kāi)惡意附件或者點(diǎn)擊郵件中的惡意鏈接下載惡意軟件,進(jìn)而控制用戶的主機(jī),如果這些惡意軟件是勒索軟件,直接就被勒索了,短平快。
掛馬網(wǎng)頁(yè)掛馬網(wǎng)頁(yè)同釣魚(yú)郵件一樣,在用戶不知情的情況下,點(diǎn)擊訪問(wèn)了一個(gè)被掛馬的惡意網(wǎng)頁(yè),稍有不慎網(wǎng)頁(yè)就可通過(guò)瀏覽器把病毒植入用戶主機(jī),達(dá)到控制用戶主機(jī)的目的;掛馬網(wǎng)頁(yè)可以利用瀏覽器的漏洞來(lái)控制系統(tǒng),也可以誘導(dǎo)用戶直接下載惡意軟件來(lái)使用戶中招。
暴力破解暴力破解也是攻擊者優(yōu)先嘗試的一個(gè)攻擊手段之一,也是最經(jīng)濟(jì)有效的攻擊手段之一,顧名思義,暴力破解就是不斷用已經(jīng)準(zhǔn)備好的用戶名/密碼(業(yè)內(nèi)叫字典)來(lái)嘗試登錄遠(yuǎn)端系統(tǒng),包括遠(yuǎn)程桌面、Linux服務(wù)器的SSH管理口、數(shù)據(jù)庫(kù)等,并且可以通過(guò)自動(dòng)化工具(如Hydra)來(lái)進(jìn)行暴力破解,甚至通過(guò)僵尸網(wǎng)絡(luò)、代理服務(wù)器集群來(lái)進(jìn)行分布式的暴力破解,防不勝防。
漏洞滲透漏洞滲透就是利用系統(tǒng)、軟件等漏洞,構(gòu)造特殊的流量,達(dá)到靜悄悄滲透到目標(biāo)系統(tǒng),從而控制系統(tǒng)的目的。漏洞最常見(jiàn)的標(biāo)識(shí)就是CVE編號(hào),是由NIST維護(hù),在中國(guó)各個(gè)漏洞的統(tǒng)一編號(hào)是CNNVD,由中國(guó)信息安全測(cè)評(píng)中心運(yùn)營(yíng)維護(hù)。下圖為CVE漏洞數(shù)量趨勢(shì)圖,從圖上可以看出,近年漏洞數(shù)量呈快速增長(zhǎng)趨勢(shì)。雖然不是每個(gè)CVE都可被利用或者造成嚴(yán)重后果,如控制主機(jī)等,但即使有10%可以被利用,這數(shù)量也是很大的,更何況還有一些系統(tǒng)、軟件漏洞被沒(méi)有被收錄到CVE或者CNNVD,尤其是一些網(wǎng)站的邏輯漏洞,如SQL注入漏洞,詳細(xì)可參考OWASP TOP10項(xiàng)目。
說(shuō)到利用漏洞進(jìn)行滲透利用,各個(gè)攻擊者就各顯神通了,準(zhǔn)備攻擊工具的階段叫武器化,有各種自動(dòng)化工具,比如流行的Metasploit可使用;還有強(qiáng)大的如Equation Group組織的工具,掀起勒索病毒新浪潮的WannaCrypt病毒就是利用其發(fā)現(xiàn)的EternalBlue漏洞被利用的成果。
其他除了上述提到入侵手段,還有其他各種意想不到方法和技術(shù),比如通過(guò)U盤(pán)把木馬病毒傳遞進(jìn)去,通過(guò)泄露的賬號(hào)密碼進(jìn)入,通過(guò)替換供應(yīng)鏈進(jìn)入等等。
防御方案
針對(duì)上述五花八門(mén)的入侵方式,首先企業(yè)自身要進(jìn)行安全防護(hù)措施的加固,包括管理和技術(shù):
限制公開(kāi)的企業(yè)信息,包括網(wǎng)絡(luò)架構(gòu)、人員組織、技術(shù)等
關(guān)閉未使用的公開(kāi)端口、服務(wù)
隱藏返回的服務(wù)器錯(cuò)誤信息
及時(shí)對(duì)企業(yè)系統(tǒng)、軟件打補(bǔ)丁
部署防火墻、入侵防護(hù)設(shè)備
其中,防火墻、入侵防護(hù)(IPS)等網(wǎng)關(guān)設(shè)備作為抵擋攻擊的第一道防線,發(fā)揮著重要作用。
華為AI防火墻內(nèi)置了智能檢測(cè)引擎,提供IPS、反病毒和URL過(guò)濾等內(nèi)容安全相關(guān)的功能,有效保證內(nèi)網(wǎng)服務(wù)器和用戶免受威脅的侵害。
華為AI防火墻主要有如下功能:● 應(yīng)用識(shí)別阻斷惡意流量訪問(wèn)
從2008年開(kāi)始,華為就構(gòu)建基于內(nèi)容的應(yīng)用識(shí)別技術(shù),在企業(yè)網(wǎng)、運(yùn)營(yíng)商等各個(gè)產(chǎn)品上廣泛應(yīng)用。華為AI防火墻上的應(yīng)用識(shí)別不僅僅基于端口來(lái)識(shí)別應(yīng)用,還基于字符串、正則、運(yùn)算、哈希等各種特征,進(jìn)行特征識(shí)別、關(guān)聯(lián)識(shí)別、行為識(shí)別、多維度識(shí)別等,保證精確高效地識(shí)別出協(xié)議、應(yīng)用及各種細(xì)分應(yīng)用,如微信聊天、微信文件傳輸、微信直播等,支持的應(yīng)用識(shí)別數(shù)量達(dá)到6000+以上。企業(yè)可以根據(jù)識(shí)別的應(yīng)用,制定精細(xì)的安全訪問(wèn)策略,阻斷惡意應(yīng)用流量的訪問(wèn)。● URL分類過(guò)濾阻斷惡意URL訪問(wèn)
從2009年開(kāi)始,華為就基于智能的技術(shù)構(gòu)建了惡意網(wǎng)頁(yè)檢測(cè)分類技術(shù),后續(xù)擴(kuò)展到對(duì)URL進(jìn)行更多細(xì)分分類。當(dāng)前支持45個(gè)大類、137個(gè)子類的URL分類,并具備全語(yǔ)種識(shí)別能力,已經(jīng)在云端覆蓋2億+的URL分類列表。AI防火墻可基于URL分類,阻斷用戶對(duì)掛馬網(wǎng)頁(yè)、釣魚(yú)網(wǎng)頁(yè)等等惡意URL的訪問(wèn)?!?入侵檢測(cè)阻斷漏洞滲透入侵
攻擊者主要通過(guò)系統(tǒng)、軟件漏洞進(jìn)行入侵,進(jìn)而控制目標(biāo)系統(tǒng)。華為自研的入侵檢測(cè)引擎及語(yǔ)法,從2006年開(kāi)始已經(jīng)歷經(jīng)四代演進(jìn),強(qiáng)大靈活的檢測(cè)語(yǔ)法,做到簽名定義更精確和高效,同時(shí)借助廣泛部署的設(shè)備和安全云服務(wù),做到80%以上的默認(rèn)阻斷率,可有效地?cái)r截漏洞攻擊:
全方位防躲避技術(shù):支持對(duì)IP分片、TCP分段產(chǎn)生的亂序、逆序報(bào)文進(jìn)行重組,同時(shí)支持RPC協(xié)議的分片重組,支持對(duì)HTTP、FTP、NetBIOS、SMB等協(xié)議400+的躲避手段進(jìn)行檢測(cè)。
高精度的協(xié)議解碼: 高精度的檢測(cè)離不開(kāi)精細(xì)的流量分析,引擎支持對(duì)HTTP、SMTP、POP3、IMAP、DNS等幾十種協(xié)議的500+字段進(jìn)行精細(xì)化的解析,為簽名檢測(cè)提供強(qiáng)大的基礎(chǔ),同時(shí)也支持對(duì)協(xié)議異常進(jìn)行檢測(cè),及時(shí)阻斷惡意訪問(wèn)。
高性能加速引擎: IPS簽名中最重要的檢測(cè)語(yǔ)法就是字符串匹配,華為AI防火墻通過(guò)自研的硬件加速引擎,可以做到簽名全開(kāi)啟性能不下降的效果?!?依托CDE引擎實(shí)時(shí)檢出惡意文件
華為AI防火墻集成了完全自研的反病毒引擎CDE(Content Detection Engine)。CDE引擎通過(guò)深度分析惡意文件,對(duì)海量病毒進(jìn)行精準(zhǔn)分類,通過(guò)華為MDL(Malware Detection Language)專有病毒語(yǔ)言,使用少量資源精準(zhǔn)覆蓋海量變種,并集成神經(jīng)網(wǎng)絡(luò)算法,有效檢測(cè)億級(jí)數(shù)量的惡意文件。華為AI防火墻配合云端安全智能中心,持續(xù)對(duì)每日新增的百萬(wàn)惡意文件進(jìn)行分析檢測(cè),及時(shí)檢測(cè)最新流行病毒,當(dāng)前支持檢測(cè)包括勒索、挖礦、木馬、僵尸、后門(mén)、漏洞利用、蠕蟲(chóng)、病毒、黑客工具、灰色軟件、惡意廣告等各類惡意家族病毒?!?多方式惡意流量檢測(cè)阻斷C&C通信
主機(jī)一旦被網(wǎng)絡(luò)入侵攻擊者入侵進(jìn)去,被控制,變成僵尸主機(jī)(失陷),下一步就是僵尸主機(jī)和攻擊者控制的C&C(Command and Control)服務(wù)器進(jìn)行通信,獲取下一步的動(dòng)作,發(fā)送攻擊流量、竊取數(shù)據(jù)等,當(dāng)然也包括本揭秘勒索系列文章的主題——進(jìn)行勒索。
那么通過(guò)檢測(cè)這些和C&C通信的流量,及時(shí)進(jìn)行阻斷,也是一個(gè)重要的防護(hù)手段。華為AI防火墻上對(duì)這些流量有如下檢測(cè)手段:
IPS簽名:基于簽名特征的IPS檢測(cè),不僅可以對(duì)利用漏洞進(jìn)行入侵的行為進(jìn)行檢測(cè),而且可以對(duì)主機(jī)失陷后的僵尸、木馬、遠(yuǎn)控流量進(jìn)行檢測(cè),及時(shí)阻斷下一步的攻擊動(dòng)作。
威脅IoC信息:通過(guò)安全智能中心每天自動(dòng)化的數(shù)據(jù)分析,每天發(fā)現(xiàn)大量的C&C主機(jī)和惡意域名,華為AI防火墻可以基于這些威脅IoC信息直接進(jìn)行阻斷和告警。
智能算法:華為AI防火墻同樣可以利用深度學(xué)習(xí)和機(jī)器學(xué)習(xí)對(duì)C&C通信流量進(jìn)行訓(xùn)練,然后把模型在AI防火墻進(jìn)行加載推理。華為AI防火墻上的智能檢測(cè)算法最早是在大數(shù)據(jù)態(tài)勢(shì)感知產(chǎn)品HiSec Insight上研發(fā)的,使用了機(jī)器學(xué)習(xí)和深度學(xué)習(xí)構(gòu)建了30+檢測(cè)算法模型,然后逐步將檢測(cè)模型和算法遷移到了防火墻產(chǎn)品上;當(dāng)前首先精挑細(xì)選了5種成熟算法,包括DGA檢測(cè)、C&C通信檢測(cè)等。智能檢測(cè)算法是非常消耗資源的,華為在AI防火墻上做了很多工作才能達(dá)到嵌入式上的性能要求,比如Python庫(kù)全部修改為C/C++程序,對(duì)模型進(jìn)行壓縮等。
結(jié)束語(yǔ)
攻擊是不斷變化的,任何防御也都不是100%有效,尤其是如果發(fā)生管理上人為的疏忽,或者零日的攻擊被利用,攻擊者已經(jīng)進(jìn)入系統(tǒng),那就需要對(duì)攻擊入侵后的行為及時(shí)進(jìn)行檢測(cè)和感知。
-
華為
+關(guān)注
關(guān)注
215文章
34199瀏覽量
250628 -
服務(wù)器
+關(guān)注
關(guān)注
12文章
8859瀏覽量
84957 -
防火墻
+關(guān)注
關(guān)注
0文章
413瀏覽量
35562 -
AI
+關(guān)注
關(guān)注
87文章
29395瀏覽量
267689
原文標(biāo)題:揭秘勒索第5期丨華為勒索攻擊防御的四層防護(hù)網(wǎng)之邊界入侵防線
文章出處:【微信號(hào):Huawei_Fixed,微信公眾號(hào):華為數(shù)據(jù)通信】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論