为了你们的服务器不被黑去挖矿,今年的RSA我们带来了它

去年的RSA大会上,微步在线发布了威胁检测平台Threat Detection Platform,而今年的RSA大会上,我们则获得了CDM评选的全球威胁情报最具创新能力奖(Most Innovative Awards),同时,我们发布了威胁检测平台的服务器版,TDP-S。

“S” is for server. 这一次,我们想保护的是你们的服务器。

匹夫无罪,怀璧其罪,在网络攻击中,服务器的遭遇往往比较凄惨:本来今天吃着火锅唱着歌,高高兴兴地跑业务,突然从漏洞里钻出个黑客就把自己绑架了,不仅被拖库,还会被强迫着打黑工、挖虚拟货币,甚至还可能会成为绑架者的帮凶……而在大型的网络环境中,找到被黑的服务器其实并不容易,所以,这一次的TDP-S,我们根据生产网环境的特点,推出了这样的功能:

01

服务器失陷检测

基于高质量出站威胁情报,发现外连C2(命令与控制)端行为,定位内部失陷服务器。支持接入微步在线全量高质量C2类型情报分钟级更新。除微步在线自带情报外附带多个开源情报源供选择订阅。

02

黑客木马特征检测

微步在线跟踪主流木马及攻击手法,根据通信协议等行为特征定位内部被控服务器。微步黑客狩猎系统追踪全球100余个黑客团伙,测试提取3000余条木马通信协议特征并将规则特征用于检测。

03

DGA域名访问检测

基于深度学习模型DGA(Domain Generate Algorithm)域名访问发现,基于卷积神经网训练的DGA检测模型。可准确发现对DGA域名的访问,准确度可达99%。

04

黑客后门、DDoS木马检测

利用可疑URL检测发现攻击过程的下载木马和恶意软件的行为。对白名单外可疑URL进行云端检测。及时检测发现服务器环境内的恶意行为如挖黑客后门、DDoS木马等。

05

挖矿、反向代理、发送垃圾邮件

基于模型和规则发现数据窃取及流量异常,发现利用隐蔽信道进行数据窃取,发现服务器失陷后被利用于黑客获取利益的行为如挖矿、反向代理、发送垃圾邮件、扫描嗅探等。

理解起来是不是很抽象?我们来看WebLogic的例子,当黑客利用WebLogic漏洞操纵服务器来挖矿时,会有很多代表性的攻击行为:

首先,黑客通过漏洞攻陷服务器,会访问恶意的IP下载挖矿的工具,访问行为和下载行为就会被TDP-S检测;

其次,服务器被用来挖矿以后,会去对外连接矿池,这种典型的行为也会被TDP-S检测到;

最后,以上所有的行为被TDP-S记录后,就能够完整地还原攻击链,让安全人员摸清攻击手法,而攻击者熟练使用一种攻击手法需要较高的成本,因此,这样不仅能让企业安全人员就能对威胁看得更深、更远,快速了解黑产最新的进攻模式,还能够增加攻击者的成本,从而更有效地进行防范。

我们的TDP-S能够在已知威胁发生的时候,快速检测识别,保证客户生产网业务的连续性和数据的安全,而在未知的威胁来袭时,又可以忠实地记录攻击者的整个攻击过程,让安全人员对事件溯源更精准、迅速。

从客户需求的角度看,服务器失陷的严重性已经被广泛认知,被黑掉去挖矿、发送垃圾邮件,甚至成为攻击者的跳板,哪一种都会让安全人员为之头疼。而根据FireEye最新发布的数据,2017年亚太地区的MTTD从172天猛增到498天,令人咋舌的增幅,其实意味着埋藏在企业深处的病灶开始得到确诊,隐匿得更深更久的威胁开始浮出水面。

曾经你以为万无一失的地方,

说不定正徘徊着名为黑产的幽灵。

现在驱散幽灵的工具已经出现

那么,此时此刻,你的服务器安全吗?

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180420B0ZBPH00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券