瞻博网络助您应对勒索软件的攻击是嘛

瞻博络助您应对勒索软件的攻击

微软刚刚发布了关于Windows XP，Windows 8，和一些原来没有包括在MS 更新的服务器平台的补丁。

此外，我们还看到了一个新的WannaCry的变种，该变种并不利用原来的 killswitch 开关。研究人员现在怀疑这个机制其实是尝试绕开部分自动对GET请求进行应答的动态分析引擎，从而避免被探测到。

原始说明：

一个名为Wanna，WannaCry或Wcr的自我复制的勒索软件正在对世界各地的计算机进行破坏。最初的信息显示：在大部分公司的最初扩散是通过传统方法，主要是Necurs僵尸络出来的邮件和PDF文件。WannaCry的特殊性在于它能够从首例病患开始，在启用了SMBv1的络里迅速地扩散。

这个SMBv1的不须认证的远程代码执行（Remote-Code-Execution）工具在2017年4月14日由 影子经纪人 组织公开。它被非正式地称为 永恒之蓝 ，并且微软主动地在3月14 日的安全公告MS里面提到。

看看下面这个公开的 永恒之蓝 的例子，让我们了解为何该勒索软件可以高效传播；它完全不需要攻击者的任何操作，就可以在一个脆弱的公司里传播。

微软主动发布了对应补丁（MS）后，许多用户仍然没有部署该补丁。

尽管该勒索软件很让人担心，采用了Juniper的安全解决方案的客户可以相对更放心一些，他们的环境是受到保护的。下面，我们回顾一下WannaCry的特征，以及现有的可以或2.76MPa;防止它爆发的工具。

首先，已经部署了我们先进的SkyATP的云端恶意软件防护解决方案的客户非常可能已经在多个层次上得到了防护：

通过SkyATP的安全智能信息推送更新，用户和Necurs僵尸络的通信自动被截断；向内部的访问可以被Juniper的SRX防火墙丢弃；

如果没有用到上面的基于的安全信息推送更新的防护，SkyATP的防恶意软件功能可以通过其强壮的多段检测管道（包括基于特征库的检测，机器学习的静态分析，和基于沙盒的诱骗动态分析机制）识别WannaCry。到现在（5月12日）为止，我们分析了24个独立的案例，在30秒内全部被识别和抓到；

基于以上的实现机制，假设即使SkyATP没有阻挡该文件的初次下载，SkyATP的机制是一旦识别到该文件是恶意的，就可以将此信息传递到各个企业的SRX设备，从而在络层面隔离该恶意软件。

SkyATP识别到的WannaCry勒索软件（上图）

SkyATP里面对WannaCry的行为分析（上图）

部署了Juniper 安全分析解决方案（JSA）的客户也可以更好地防护各种勒索软件。在这个WannaCry的例子里面，SIEM会基于异常检测技术（特别是点对点的SMB和文件生成行为）生成多个事件和受攻击信息。

下面以Windows 7的设备为例，说明如何识别勒索软件攻击里用到的异常的写文件的动作：

当一个设备开始写大量的文件（对整个文件系统进行加密）时，对一个SIEM来说是比较容易识别的事件。Juniper的SIEM的特别之处在于：Juniper可以将该威胁信息发布到我们的软件定义的安全络（SDSN）解决方案里面，从而在几秒钟内隔离受到影响的主机。

对于Juniper IDP入侵防御和防火墙SRX的客户而言，MS在多个CVE和对应的特征库得到了覆盖。请确认以下的IDP特征更新并且启用：

Juniper的软件定义的安全络（SDSN）的架构如下，通过SDSN的部署，Juniper EX／QFX交换机和SRX防火墙都能成为策略的执行者，云端识别和策略推送，可以很快地实施连接到交换机端口的主机访问隔离控制和防火墙的安全策略，从而最快地隔离受影响的主机，避免攻击扩散。

WannaCry的详细分析：

虽然到不同目标的传递机制有异，许多报文显示包括了母文件（通常是PDF）嵌入了些可移植的执行文件（PE）。在我们的例子里面，打开这些PE文件后，可以看到 WNcry@2o17 字样的密码，让你可以打开一个嵌入的zip文件：

如果你解压这个zip文件，你就会看到一个多种文字的txt的勒索信息：

zip文件里面的多种文字的勒索信息（上图）

内嵌的e文件的功能是探测连在目标机器上的所有的逻辑硬盘：

反汇编的e文件（上图）

执行了恶意文件后，该文件用 永恒之蓝 通过SMBv1（TCP 445）对外连接，当该软件开始加密本地硬盘时，用户得到了以下界面，文件被加密，弹出勒索界面：

除了对Windows系统打补丁这一必须的安全防护操作之外。还可以依据本病毒的传播原理进行一些络层面的防护。WannaCry通过两类扫描寻找可以被感染的主机：

随机生成的Internet地址，一旦可以感染，将持续扫描该地址所属的Type C段

扫描本机所属的局域。

对于类型1的扫描，边界防护-边界路由器、防火墙的ACL可以进行阻挡。但实际上，由于络边界通常都不开放445端口对内的映射，因此这类防护只可以保护直接暴露于Internet的主机，比如或需要高技术对板卡进行维修通过BBE连接的个人用户或DMZ中的主机。

对于类型2的扫描，边界防护的作用非常有限。还需要在内接口进行进一步的防护。

基于Juniper的络和安全设备的防护方法建议如下：

一、Juniper防火墙设备：

采用防火墙策略，阻止目的端口的445（135/137/138/139的类似）访问；

更新IDP的入侵防御特征库并部署特征匹配；

采用Sky ATP的防御机制；

结合软件定义的安全络解决方案（SDSN）实施整体防护。

二、Juniper路由设备：

1、定义filter,阻止445端口（135/137/138/139的类似，在discard的term里面加入即可）

set firewall family inet filterDENY_WANNACRY term deny_wannacr断开电源线y from destination-port 445

##set firewall family inet filterDENY_WANNACRY term deny_wannacry from destination-port ）##

set firewall family inet filterDENY_WANNACRY term deny_wannacry then discard

set firewall family inet filterDENY_WANNACRY term default then accept

2、在forwarding-options下应用

set forwarding-options family inet filter input DENY_WANNACRY

三、Juniper交换设备：

采用group方式在接口上批量应用filter（有大量业务接口时使用这种方法可节省工作量）

1、定义groupIFS_DENY_WANNACRY:所有ge接口的所有子接口入方向应用filter DENY_WANNACRY

set groups IFS_DENY_WANNACRY interfaces ge-* unit * familyethernet-switching filter input DENY_WANNACRY

（注：有使用到其他接口类型，使用上述配置方法增加）

2、定义filterDENY_WANNACRY, 阻止445端口（135/137/138/139的类似）

set firewall family ethernet-switchingfilter DENY_WANNACRY term deny_wannacry from destination-port 445

##setfirewall family ethernet-switching filter DENY_WANNACRY term deny_wannacry fromdestination-从国际上报导的资料来看port ##

set firewall family ethernet-switchingfilter DENY_WANNACRY term deny_wannacry then discard

set firewall family ethernet-switchingfilter DENY_WANNACRY term default then accept

3、应用group配置

set apply-groups IFS_DENY_WANNACRY

注意事项：

1） 如果接口下已有filter配置，这个接口下的group配置不会生效，要在接口已有filter配置下修改；

2） filter最后一个term要放行其他所有流量，否则会影响业务。

特别感谢Asher Langton, Peter Gael, Laurence Pitt, 和 Lee Fisher对这篇快速响应文档的帮助：