5月12日起,爆發了史上最大規模勒索軟件感染事件,超過150個國家的數十萬臺電腦受到感染,在全球范圍造成了巨大的影響與損失。針對此次WannaCry事件,江民科技為緊急成立應急小組,對病毒樣本進行了緊急分析,并第一時間在官網發布了免疫工具、開機指南、防護解決方案及WannaCry事件全面分析報告。江民科技在此次事件中,在業界首先采用了終端與網關整體防病毒解決方案,成功協助用戶快速鎖定病毒傳播源頭和被感染主機,阻止病毒大規模擴散,將病毒影響降到最低。
江民科技提出“御病毒于網絡之外”的理念,針對企業級用戶推出網關級防勒索者病毒解決方案——江民病毒威脅預警系統(010-82511818),將勒索者病毒“狙”之網外,最大程度降低了用戶網絡與數據可能遭受的損失風險。
江民科技推出網關級防勒索者病毒解決方案
江民病毒威脅預警系統是針對近年來惡意代碼威脅快速演變而設計的一款網關級過濾設備,可全面高效防范惡意代碼威脅的傳播、動態式攻擊、異常通訊。江民病毒威脅預警系統,采用自主研發的嵌入式反病毒引擎,融合多項網關性能優化技術,可驅動千萬級的病毒特征庫及規則庫,實現在線實時威脅處理,是一款高效的網關級防病毒處理系統 。勒索者病毒,是江民病毒威脅預警系統近年來重點防御的威脅類型之一,針對此次Wannacrypt勒索者病毒,江民病毒威脅預警系統快速響應,提供了針對性的解決方案,實現了針對Wannacrypt勒索者病毒網關級的靜態、動態雙重防御,實現威脅源的精確定位、有效阻斷及全網病毒預警。
Wannacrypt勒索者病毒,傳播途徑主要是利用了網絡共享協議及端口,通過網絡共享對未更新補丁的主機,實現遠程溢出攻擊及勒索病毒代碼植入,致使主機感染并加密磁盤文件,成為傳播源及攻擊源。因此,對于Wannacrypt勒索病毒的網絡層防御手段:須支持網絡共享協議防護,以阻截利用網絡共享協議進行的漏洞攻擊;須支持Wannacrypt病毒體的SMB協議過濾,以實時攔截病毒文件的網內傳播;須支持病毒動態通訊防御,以有效防御Wanncrypt病毒的遠程通訊及變種更新。
l Wannacrypt病毒文件體過濾
江民病毒威脅預警系統(010-82511818),支持網絡共享協議SMB病毒過濾,可深度檢測及保障通過網絡共享協議傳輸的文件安全,確保文件不被惡意代碼感染。用戶可靈活設定過濾策略,選擇過濾模式,保護內網主機及業務系統免遭病毒文件的侵入。
此外,江民病毒威脅預警系統,還支持http、ftp、smtp、pop3、imap協議過濾,實現對病毒傳播途徑的全面狙擊。
協議層病毒過濾,支持SMB網絡共享協議,支持SMBv1、v2版本。
SMB協議過濾,可實現對病毒多種處理策略,支持SMB協議雙向數據傳輸過濾。
當前被阻IP,可呈現外部所發起攻擊的惡意IP地址。
l Wannacrypt病毒網絡通訊阻斷
Wannacrypt勒索者病毒具有網絡通訊、探測掃描等網絡行為。在內網環境下,尤其是涉及終端數量較多,管理員無法全面了解終端防病毒、系統補丁是否及時安裝更新的情況下,通過網絡層實現全網威脅阻斷和快速定位變得尤為重要。
江民病毒威脅預警系統,支持針對“僵、木、蠕”或Wannacrypt勒索病毒的通訊識別及阻斷,實現網絡層的動態威脅防御。當惡意攻擊者通過互聯網邊界進入內網之時或內部主機感染病毒與外部建立連接之時,部署在網絡邊界處的江民病毒威脅預警系統,將會對其進行阻斷,防止威脅侵入與擴散,保障內部網絡的安全性,避免成為攻擊源和傳播源。
一般威脅,包含了對活動的惡意代碼通訊進行識別并阻斷;
口令探測及認證連接,可對未知病毒所發起的探測掃描及遠程操控,得到有效管控;
SMTP病毒,可有效阻斷通過郵件方式發起的勒索病毒攻擊;
針對Wannacrypt勒索病毒,發起的漏洞攻擊,網關可進行實時阻斷,并告知用戶此漏洞所利用漏洞編號為MS17-010。
l 變種病毒異常行為防御(異常阻斷)
Wannacrypt勒索者病毒為混合型病毒,具有多種惡意代碼特征,且不排除新型變種及攻擊演變等未知行為,為避免“先有病毒,后有庫“的傳統病毒防護弊端,江民病毒威脅預警系統可實現對惡意代碼異常行為的監測或阻斷。惡意代碼在攻擊前期階段,會利用探測掃描、暴力破解等行為確認主機是否存在漏洞及脆弱點,為進一步侵入提供關鍵信息。江民病毒威脅預警系統支持對惡意代碼行為的網絡異常監測,如針對操作系統、網絡共享協議、應用系統發起的口令探測、暴力破解、認證連接、遠程操控等異常行為,管理員可通過此類異常行為實現威脅的盡早感知,為未知病毒的傳播與攻擊提供定位。
江民病毒威脅預警系統防護步驟
1. 請將系統固件版本升級至最新版本
2. 請將惡意代碼庫更新至最新病毒庫版本
3. 開啟“監控過濾“策略,實現協議層病毒過濾;
4. 開啟“日志分析-木馬“防御策略,實現威脅動態通訊阻斷;
如對以上操作步驟不清楚,可及時聯系江民工程師(4008119088)。
江民病毒威脅預警系統部署方式
江民病毒威脅預警系統支持多種靈活的部署方式,不同的部署位置及部署模式,可實現不同的防御效果,管理員可依據實際環境及防護要求,進行部署模式的選擇。
l 應用場景一 . 保護內部網絡:
條件:要求企業網絡有統一的出口。
部署:串行阻斷防御-將江民病毒威脅預警系統串聯到內部網絡邊界。
目標:保護企業內部網絡,全面過濾文件體病毒、Wannacry病毒的傳輸、郵件病毒、抵御惡意代碼、Wannacrypt勒索病毒動態式攻擊、快速定位惡意代碼、Wannacrypt勒索病毒攻擊源和內部感染主機,實現惡意代碼威脅雙向防御。
l 應用場景二 . 保護關鍵網段:
條件:要求企業關鍵網段在同一個物理區域內(例如:DMZ區)。
部署:串行阻斷防御--江民病毒威脅預警系統串聯到關鍵網段前面。
目標:保護企業核心業務區域,提升數據安全性,防御惡意代碼、Wannacrypt勒索者病毒動態式攻擊,阻止威脅跨區域傳播,免遭服務器成為肉雞或跳板,遵守合規性、等級保護要求。
l 應用場景三 . 全網威脅監測:
條件: 需以鏡像方式提供全網核心處數據(支持Tap盒數據分流)。
部署:并行監測部署--江民病毒威脅預警系統并行在網絡核心處。
目標:實現對全網交互數據的威脅監測,可精確識別Wannacrypt勒索者病毒在局域網內的傳播行為,全面提升惡意代碼威脅監測縱深能力,亦可作為安全性檢查工具進行定期安全評估。江民病毒威脅預警系統,支持單臺設備的多路監聽模式,無接口限制。
l 應用場景四. 混合部署:
條件:有統一出口和可提供數據的鏡像。
部署:單臺設備在串行防御之時,可同時監聽多個網絡區域數據交互,實現串并混合綜合防御、監測部署,
目標:實現對網絡邊界數據的雙向防御阻斷,同時,對全網威脅數據進行監測預警。
總 結
通過Wannacrypt勒索者病毒事件,我們得知此病毒不僅具有漏洞利用及快速傳播特性,而且還在不斷地變種,影響范圍還在擴大和持續中。由此,我們也見證了惡意代碼威脅在整個網絡安全趨勢下的影響力之廣、破壞力之大、傳播速度之快。在信息網絡安全的諸多威脅中,惡意代碼的危害無疑最大,眾多數據交互途徑都可能引入惡意代碼,給組織帶來安全風險,惡意代碼威脅治理不僅是網絡安全防御工作的重中之中,也將是持續優化及走向體系化的過程。
江民科技將持續跟進Wannacrypt勒索者病毒的相關動態,為快速響應新型變種提供相關解決方案。
(新聞稿 2017-05-23)