智能防火墙防护勒索病毒方案

山石网科智能下一代防火墙防御勒索病毒方案

1概述

Cisco在2016年年中网络安全报告中指出的，截止到2016 年，勒索软件已经成为世上最赚钱的病毒类型。“Ransomware has become the most profitable malware type in history.”

勒索病毒软件的专业门槛比较低，在互联网中有很多开源代码。虽然一般勒索赎金的数额不太大，但是却对感染勒索病毒的商业机构、大型企业的业务运转产生实时的影响，甚至是中断。

一般情况下，被感染者都会请专业的安全分析人员来解决，但是解决勒索病毒问题不仅耗时，服务费用也往往会高于勒索赎金，因此在商业活动直接受到影响的情况下，受害企业常常采取直接支付赎金的办法来快速解决问题。

最近，旧金山公共交通铁路(MUNI)的售票系统遭受到了勒索病毒攻击，攻击者加密了和售票机系统相关的所有服务器系统，索要$75000美金的解密赎金，同时威胁要销毁近30GB的关键性数据。这次勒索攻击造成了售票机系统瘫痪，为了不影响工作日高峰期的道路交通，在交付赎金解决问题的两天时间里，被迫让所有乘客免费乘车。日益增多的勒索病毒攻击使得这些企业机构对于能够实时、精准、有效的检测勒索软件攻击，防止其对于重要的核心数据加密提出了更高的要求。

2勒索软件攻击过程

●攻击者通过社交网络等途径向受害者发送带有恶意附件的邮件。

●受害者点击执行邮件附件后，附件内的恶意代码便会在主机上执

行，控制主机会主动连接指定的服务器，下载Locky恶意软件到受害主机上并执行。

●Locky恶意软件安装运行后，会主动连接C&C服务器并下载加密

Key。

●Locky恶意软件会进行内网扫描，遍历并锁定重要的文件资源并

对其进行加密锁定。

●加密完成后生成勒索提示文件，要求受害方交纳赎金取得解密公

钥。

3山石智能下一代防火墙对于勒索病毒的全方位检测和防范

山石的智能下一代防火墙（iNGFW）集成了NGFW的IPS/AV基于静态签名的检测引擎，基于已知病毒攻击行为学习及分析的未知威胁检测引擎等其他检测引擎。利用这些检测引擎能够对于Locky病毒及其变种，在其开始传播到最后执行阶段的攻击流量特征和异常网络行为，进行全方位的检测和阻断。

除此之外，山石的云端生态系统能够实时与第三方信誉网站进行Locky及变种勒索病毒威胁情报的同步，结合威胁情报、黑白名单及

其他信誉特征库，实时推送给iNGFW设备进行本地特征库的更新，以确保iNGFW设备能够为客户防护最新的勒索病毒及其变种。

3.1部署山石网科iNGFW设备检测勒索病毒攻击的案例

•在病毒传播阶段，iNGFW的AV扫描引擎对于邮件中各种类型的附件进行扫描，根据最新的特征库进行匹配检测已知的勒索病毒。在实际客户部署的iNGFW设备中发现，在Locky最初传播的附件中检测到Trojan/Generic.ASMalwRG.70的木马病毒，并对其进行了拦截过滤。

除此之外，iNGFW 的AV引擎还可以利用URL的信誉库来检测到已知的恶意病毒。

•对于Locky病毒软件运行时，iNGFW的域名黑名单可以针对外部的固定域名连接进行及时的检测和阻断。在实际客户部署的iNGFW设备中发现，Locky攻击执行后，第一时间连接了域名，而这

个域名已经包含在了iNGFW的域名黑名单中，因此该访问连接被立刻检测到并加以阻断。

•iNGFW还有基于海量已知病毒样本所建立的机器学习模型检测引擎，可以对于已知Locky病毒及其变种进行攻击行为相似性的分类和类聚。

•上述基于已知病毒特征库的检测手段对于已知Locky病毒的检测虽然有效，但是由于特征库的更新有时效性，所以对于最新的近乎0-day 的勒索病毒攻击却往往无效。这就需要通过病毒被植入后的种种网络行为来进行检测。

•如上文图中描述的勒索病毒攻击过程，Locky恶意软件成功的被下载到受害主机后会反链黑客的C&C服务器，获取进一步的指令和加密公钥，而C&C的域名常常是通过DGA算法生成或者之前用过的注册域名等。 iNGFW 的DGA检测引擎可以准确、有效地检测到DGA的域名活动，升级主机的风险级别，管理员也可以决定是否针对此类风险等级的风险主机进行不同程度的控制。下图展示了主机遭受Locky病毒攻

击后，进行DGA域名的服务器反链，iNGFW检测到的 就是一个很典型的DGA域名。

•iNGFW的行为分析引擎还可以通过关联各种检测维度来检测Locky病毒攻击过程中的异常行为。例如检测用户在进行邮件附件下载或HTTP 脚本文件下载后，立即向外部未知地址的服务器发起请求（依赖于已知域名或IP地址的黑白名单），从而可以提升风险主机的风险等级，再由用户决定是否针对此类风险等级的风险主机进行控制。

•此外，iNGFW利用云智能生态系统，在云端对于最新的病毒特征库，黑白域名，及其他的各种信誉库进行持续的同步更新，并及时推送各种最新的特征库到设备端。如下图所示，这个站点有及时的勒索病毒下载域名的更新，可以通过持续监控来及时更新相应的域名黑名单。

4总结

山石网科的iNGFW 应对Locky病毒攻击具有多道防线，利用其多种检测引擎，在攻击的不同阶段，从静态的特征分析到动态的行为分析，同时结合山石云智能生态系统中的云端信誉库和特征库的监控和更新，在应对Locky勒索软件攻击方面，形成了全方位的、有效的检测防御体系。