APT预警平台——让勒索病毒处置不再慌乱

安恒信息

网络安全前沿资讯、 应急响应解决方案、技术热点深度解读

关注

被勒索病毒攻击了!

那么多主机,一台一台上机杀毒?

消灭了这个,又冒出了新的?

看起来好像都杀毒了

可是

真的没有勒索病毒了吗?

APT预警平台让勒索病毒处置不再慌乱!

事件起始

9月22日,某大型互联网金融企业爆发勒索病毒,受害单位立即组织人手安装某友商的终端防护产品,然而查杀效果并不好,杀毒之后勒索病毒仍存在,勒索信息依旧此起彼伏。

9月23日,安恒将APT预警平台部署在了客户核心交换机上,立即发现了大量基于威胁情报发现的勒索病毒回连信息及SMB远程溢出攻击(ms17-010)。

检测原理

很多勒索病毒会将某个固定的域名作为自己的“开关”,在感染之后访问这个域名,如果访问成功,则停止运行,访问失败,则继续运行。基于这个行为,安恒APT内置的威胁情报能支持我们发现感染了勒索病毒的主机。

在勒索病毒的传播中,利用“永恒之蓝”漏洞利用程序持续攻击感染内网其他主机是勒索病毒具备如此大杀伤力的根本原因。“永恒之蓝”漏洞利用程序正是利用了编号为ms17-010的漏洞发起SMB远程溢出攻击。简单说来,就是每一台主机在中了勒索病毒后会将自己变成一个勒索病毒的传播源,横向攻击感染内网其他主机,一传十,十传百,勒索病毒就这样吞噬整个内网。

事件处置

安恒工程师在此次勒索病毒应急事件中,根据APT预警平台告警数据,将处置顺序划分为三个等级,第一优先等级是当前正在向内网其他主机发起SMB远程溢出攻击的主机,也就是内网中的勒索病毒传播源头,准确定位传播源才能斩断源头,阻止事态扩大,第二、三优先等级是发生了请求与威胁情报中勒索病毒域名回连的主机和被SMB远程溢出攻击成功的主机,也就是新感染了勒索病毒的主机。受害单位在APT预警平台的配合下,合理安排处置次序,快速有效地遏制了勒索病毒的爆发,并持续关注内网中是否还有未被清除的勒索病毒,直到APT预警平台不再有相关告警,客户才真正放下心来。

事件处置过程——梳理传播源

事件后续

在勒索病毒处置的同时,APT预警平台还发现受害单位网络中有大量被感染了挖矿病毒的主机,以及服务器存在弱口令隐患和被暴力破解的安全事件。

对于感染了挖矿病毒的主机,APT预警平台一方面可以依靠威胁情报来发现与矿池回连的主机,一方面可以依靠行为分析,发现与矿池通讯的主机,同时对于挖矿软件本身APT预警平台也能发现。

发现大量失陷主机与矿池回连

发现大量失陷主机存在与矿池通讯的行为

发现服务器弱口令风险

发现大量针对服务器发起的RDP暴力破解行为

本次事件,APT预警平台为客户有序处置勒索病毒提供了有力支持,一切传播行为尽收眼底,使勒索病毒应急处置不再慌乱无章,同时还帮助客户发现了更多隐患和威胁,为客户提升整体网络安全防护措施提供了依据,受到了客户的高度认可,是一次非常成功的应急案例

明御APT攻击(网络战)预警平台(简称DAS-APT)是安恒信息自主研发的针对网络流量进行深度分析的一款软硬件一体化产品。该平台基于丰富的特征库、全面的检测策略、智能的机器学习、高效的沙箱动态分析、海量的威胁情报,能实时发现网络攻击行为,特别是新型网络攻击行为,帮助用户发现网络中发生的各种已知威胁和未知威胁,检测能力完整覆盖整个APT攻击链,有效发现APT攻击、未知威胁及用户关心的网络安全事件!

1.支持全流量分析,网络威胁一网打尽;

2.全面的检测策略,应对各种场景的攻击行为,集静态检测技术和动态分析技术于一身;

3.网络流量实时监控,建立紧急事件报警机制,迅速反应,及时发现攻击;

4.云端大数据分析,基于机器学习和深度挖掘等技术,实时共享最新安全威胁情报,快速预警新型恶意威胁。

“APT(Advanced Persistent Threat)——高级持续性威胁,利用先进的攻击手段对特定目标进行长期持续性的网络攻击的攻击形式。APT攻击通常由具备国家背景或组织背景的黑客团体发起,他们组织严密、目标明确、手段高超、危害巨大,每一次APT攻击事件的损失是巨大的,影响是深远的。”

  • 发表于:
  • 原文链接:https://kuaibao.qq.com/s/20181101A1K5GQ00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券