看得見才能防的住！永恆之藍後企業安全檢測能力建設

2017年5月12日起爆發的WannaCry（永恆之藍）勒索蠕蟲全球攻擊事件，對國內政企機構的影響是巨大的，同時也暴露出眾多機構內網中存在的安全問題，面對新型勒索蠕蟲的攻擊，傳統的安全防護措施已經力不從心，政企機構需要選擇新的防護手段、提升整體的防護能力，要保證安全威脅來臨的時候做到事前可預警、事中可定位、事後可追溯。

從WannaCry事件反思現有安全檢測能力的不足

回顧此次安全事件，絕大多數的“中招”機構都已經構建了安全防禦體系，但仍然沒能及時發現或阻止威脅，將損失降到最低。這也映射出現有的網絡安全防禦體系在應對未知威脅的過程中存在的不足，通過WannaCry勒索蠕蟲的內網活動分析，我們發現傳統的檢測技術主要存在以下幾點問題：

• 檢測技術單一：傳統的網絡安全檢測或防禦產品多數採用基於簽名的檢測技術，只能檢測已知的漏洞利用攻擊及惡意軟件，無法檢測未知威脅並無法定位失陷主機；
• 缺乏持續性檢測機制：傳統的網絡安全檢測產品只能實現階段性檢測，無法覆蓋威脅的全生命週期，不能及時預警響應；
• 缺少完整回溯攻擊事件的能力：現有各安全檢測產品獨立工作，攻擊告警信息割裂，完整還原攻擊事件實現難度較大；

基於大數據的新一代威脅檢測方案彌補傳統手段的不足

360天眼新一代威脅感知系統（以下簡稱天眼），針對WanaCry勒索蠕蟲、APT等高級威脅的全生命週期各階段進行全面、持續的檢測，採用多種檢測技術相結合的方式，幫助用戶及時發現威脅並定位失陷主機，將影響降到最低。同時利用本地的大數據平臺對各階段的檢測結果進行存儲與分析，為完整回溯安全事件提供數據基礎。

高級威脅檢測方案部署示意圖

360天眼可以幫助用戶及時有效的發現高級威脅，提升管理人員對勒索蠕蟲類高級威脅的發現速度和效率，最大限度的降低用戶受攻擊後的損失，可以記錄內網的任何一次網絡行為，為回溯提供強大的支撐。在此方案中，對用戶網絡中的流量進行全量檢測和記錄，所有網絡行為都將以標準化的格式保存於天眼的數據平臺，雲端威脅情報和本地文件威脅鑑定器分析結果與本地分析平臺進行對接，為用戶提供基於情報和文件檢測的威脅發現與溯源的能力。

可以為用戶解決以下安全威脅問題：

• 檢測發現傳統防護手段漏過的未知威脅；
• 針對攻擊鏈提供持續的檢測能力；
• 結合雲端威脅情報發現失陷主機；
• 對企業內的海量數據進行安全分析；
• 對企業內已發現的問題進行攻擊回溯；

覆蓋高級威脅全生命週期的檢測能力是防禦的基礎

覆蓋高級威脅全生命週期的檢測能力

• 針對進入網絡與漏洞利用階段，該勒索蠕蟲利用SMBv1漏洞（MS17-010）進行傳播，天眼的流量傳感器高併發流式處理引擎可實現對多種協議進行深度解碼，對SMB協議實現完整支持，並及時加入MS17-010漏洞的檢測特徵，可實現精準告警。

發現漏洞利用攻擊

• 針對惡意軟件投放階段，天眼文件威脅鑑定器利用虛擬執行檢測技術能夠識別惡意樣本；與傳統的採用基於惡意代碼特徵匹配的檢測方法不同，虛擬執行檢測技術所採用的規模化動態沙箱的方法可以對未知的惡意代碼進行有效檢測，這種利用對惡意代碼行為進行動態分析的方法，可以避免因為無法提前獲得蠕蟲代碼特徵而漏檢的問題，亦即在無需提前預知蠕蟲樣本的情況下仍然可以對蠕蟲進行有效的檢測，天眼文件威脅鑑定器可實現對本次勒索蠕蟲的若干變種進行檢測。

現有的傳統安全防護措施大多數使用基於簽名的機制對已知威脅進行檢測和防護，天眼所利用的檢測技術是針對傳統基於簽名的侷限性提出的解決方案，以檢測和發現主流客戶端應用程序（IE/Office/AdobeReader）的可疑威脅為目標，能對客戶端應用中已知漏洞和未知0day漏洞的攻擊利用進行檢測。

已檢測到的惡意樣本

• 針對遠程通信階段，天眼通過基於流量日誌以及針對勒索蠕蟲的威脅情報IOC進行關聯分析，從而發現失陷主機。威脅情報主要來自雲端威脅情報中心的分析成果，可對APT攻擊、新型木馬、特種免殺木馬進行規則化描述，通過人工智能結合大數據知識以及攻擊者的多個維度特徵還原出攻擊者的全貌，包括程序形態、不同編碼風格和不同攻擊原理的同源木馬程序、惡意服務器（C&C）等，持續的發現勒索蠕蟲威脅，最終確保發現的未知威脅的準確性。通過威脅情報形式打通攻擊定位、溯源與阻斷多個工作環節，提升了對攻擊回溯的能力。

已檢測到的威脅事件

威脅事件詳情

• 針對橫向滲透/洩密階段，天眼流量傳感器利用攻擊模型檢測技術，可檢測勒索蠕蟲所利用的SMB網絡協議中的攻擊行為並發現內網橫向滲透攻擊行為。天眼傳感器通過對網絡流量進行解碼還原出真實流量，提取網絡層、傳輸層和應用層的頭部信息，甚至是重要負載信息。傳感器中應用的自主知識產權的協議分析模塊，可以在IPv4/IPv6網絡環境下，支持 HTTP （網頁）、SMTP/POP3（郵件）、SMB等主流協議的高性能分析。同時，天眼傳感器自主研發的攻擊檢測引擎可以實現流式匹配，達到高性能處理，預置了上千條網絡攻擊規則，覆蓋了針對常見漏洞的攻擊檢測。針對網頁漏洞的利用檢測能精準檢測成功的攻擊，涵蓋了主流了WEB應用漏洞，包括：SQL注入、跨站、後門行為、命令執行、代碼執行、弱口令等。

檢測內網橫向滲透行為

小結

通過對WanaCry勒索蠕蟲內網活動全過程的檢測，可以清晰的還原威脅事件全貌，同時也反映出對於勒索蠕蟲、APT等高級威脅，需要結合多種檢測技術，持續的檢測才能做到儘早發現、及時響應。利用大數據分析技術，挖掘攻擊線索，打通攻擊檢測、定位、回溯多個環節，最終提升對威脅“看見”的能力。

提升安全事件的檢測與響應能力成為政企機構下一個安全建設階段的重點工作。大數據分析及威脅情報技術能夠有效地彌補現有安全檢測手段的不足，這也會成為衡量新一代安全檢測產品能力的重要指標。

作者：360產品與解決方案中心 董旭/李闖