1、勒索病毒大部分情况下不是直接将病毒投放到主机,而是诱导主机去指定链接下载病毒文件; 2、AF的僵尸网络防御可以在主机去下载病毒文件的过程中进行检查和拦截;
3、当下载到主机的病毒文件跟黑客服务器通信获取加密密钥等信息时,AF可以及时检测和阻断连接;
4、AF的僵尸网络识别功能除了超60w条的规则库之外还可以连接云脑,利用云端沙箱、AI算法更快的发现威胁。
###勒索病毒传播方式###
勒索病毒的入侵方式,大概可以归为这几种:
1、钓鱼邮件,发了一封包含恶意链接的邮件诱导客户点击链接,为了更隐蔽,链接一般会做成js植入到附件中,一旦打开附件,就自动触发js脚本,向指定地址去下载病毒文件
2、打包到破解软件中,与钓鱼邮件类似,植入到破解软件里的一般都不会是病毒本身,而是一段简单的js代码,这样可以绕过各种病毒检测,当用户下载运行后,自动触发js脚本,向指定地址下载病毒文件
3、利用服务器漏洞入侵,与钓鱼诱导方式不同的是,这种攻击主要针对非某公司,利用对外提供的服务器存在的漏洞进行病毒入侵,如利用weblogic的反序列化漏洞,控制服务器下载公网上植入了恶意代码的图片文件并执行。利用漏洞入侵的方式多种多样,有些甚至能够获取服务器的shell权限,直接进行病毒投放。
4、利用口令爆破方式入侵,直接通过对开放到互联网的主机管理端口进行口令暴力破解,获取控制权限,直接投放病毒。由于管理端口很多情况下不会开放到互联网,因此该方式更多用于内网横向传播。
AF的僵尸网络功能,在勒索病毒的防御中,除直接爆破获取管理权限或漏洞入侵后获取控制器权限投放病毒之外,均可以有效防御勒索病毒的入侵。
###入侵检测阶段###
该阶段主要解决的问题是:在病毒传播的阶段,将病毒识别出来。例如在点击了钓鱼邮件、运行了破解软件后,js脚本执行访问恶意站点的时候进行检测和拦截。
检测方法:
1、恶意链接库
2、从未知分类站点下载可执行文件
3、下载的文件类型跟实际类型不匹配。
基本原理:
1、恶意链接: 首先匹配AF上的恶意链接库,如果没有匹配到库,则将URl上报到云端,云端将分析该URL是否有危害,并返回结果给AF端。如果是下载文件的链接,云端会自动下载文件,然后对文件进行杀毒,如果是病毒,将病毒加入到沙盒环境,进行行为分析。
2、从未知分类站点下载可执行文件:很多病毒都是通过一些未知站点或者黑客
搭建的服务器进行传播。AF设备上有一个庞大的URL、域名分类库,如果客户访问的URL没有在分类库里面,并且这个URL是下载的可执行文件,将记录日志。
3、下载的文件类型跟实际类型不匹配:很多病毒都会伪装成jpg gif的格式。AF
设备会检测下载的文件格式,跟真实的格式是否匹配,如果不匹配将记录日志。
检测目的:通过http下载恶意文件,是病毒传播的一个主要手段。比如之前在客户处抓到的勒索病毒样本,就是首先从网站上下载一个js的下载器,一执行这个下载器,就会从黑客的服务器上下载病毒。恶意链接、从未知站点下载可执行文件、下载文件类型不匹配等,这些检测手段,可以有效的阻止病毒通过http传播的过程。减小客户中病毒的概率。
###C&C通信检测阶段###
该阶段主要解决的问题是:当病毒在和C&C服务器通信的过程中,能够将中病毒的服务器识别出来。如部分勒索病毒被植入主机后,会与病毒控制端进行连接,执行获取加密密钥等操作,AF可以在这个阶段识别并拦截。
检测方法:
1、URL库
2、域名库
3、IP库
4、随机域名识别算法
5、DGA算法
6、动态域名
7、近期注册域名
8、异常UA库
9、异常流量检测
10、木马行为检测
11、直接浏览IP域检测
12、HFS流量检测
13、比特币挖矿检测
14、IRC通信检测
15、病毒规则检测
基本原理:
1、规则库检测手段,云端通过分析大量病毒,提取病毒连接的C&C服务器地址加入到各个内置库。AF大数据平台每天从互联网采集大量的数据,通过对数据做关联分析,将分析结果第一时间加入到各个内置库。
2、DGA算法,随机域名算法,通过分析大量的样本,并对样本进行归类分析,发现某些种类的病毒的网络行为有共性特征。通过算法识别这类特征。
3、动态域名:国内注册域名比较麻烦,因此很多黑客都会选择使用动态域名作
为控制肉鸡的C&C服务器,动态域名会首先上报云端进行分析,AF通过跟云端的联动,做到快速识别最新的C&C动态域名。
4、近期域名:黑客在开始入侵之前,都会选择新注册一些用来做C&C的域名,
因此识别出近期注册的恶意域名能够提前识别出黑客的攻击。云端每天能够得到10w的近期注册域名。
5、HFS通信检测:大部分黑客为了是攻击过程更简单,通常都会搭建HFS服务
器,来下载病毒。我们去年在国内抓到大量使用HFS服务器下载病毒的情况。
6、IRC通信检测:IRC是一个及时通信的聊天软件,黑客主要用来做C&C通信。
7、异常流量检测、木马行为检测主要是通过分析病毒的行为,提取病毒的行为特征达到识别病毒的目的。
8、病毒规则检测:主要是通过分析最新、最流行病毒的网络流量特征,提取规则,达到识别病毒的目的。
检测目的:动态域名、近期域名、HFS、IRC通信是黑客最常用的攻击手段。黑客为了攻击过程简单化,使用动态域名,代替国内域名注册的繁琐过程。使用HFS快速搭建病毒传播的服务器。我们通过分析黑客的这些行为特征,能够快速识别到黑客的攻击过程。
异常流量、病毒规则是通过对病毒样本做分析,提取病毒流量的特征,从而达到从病毒对外C&C通信的流量中间检测到病毒。
规则库是识别病毒通信的一个快速准确的手段,通过在云端对数据进行详细的分析,将真正的C&C服务器地址放入到内置库中,快速识别到黑客的攻击。
DGA算法、随机域名算法,黑客为了避免C&C服务器被封掉,一般都会注册很多域名,病毒每天会解析很多有一定特征的域名。通过对内网PC或者服务器解析异常域名过程的识别,可以快速识别到PC是否中病毒。
###云端的检测能力###
AF云端集成沙盒分析平台、大数据分析平台、日志运营平台。
沙盒分析平台能够实时的对采集的最新病毒样本进行行为分析。
大数据分析平台融合了google 安全浏览库、virustotal最新数据,采用机器学习算法、图算法,对采集的数据进行分析,可以实时的发现僵尸网络的服务器地址。
日志运营平台每天对AF设备的日志进行归类分析,运营人员可以通过日志运营平台快速的发现国内流行的攻击趋势,遭受攻击严重的地区、AF的实时拦截情况等信息。
|