【360企业安全】基于内网流量的高级威胁检测.pdfVIP

基于内网流量的高级威胁检测 360企业安全 马江波 1 『永恒之蓝』的回顾和思考 5月12日发生什么 受害主机中招后，病毒就会在受 害主机中植入勒索程序，硬盘中 存储的文件将会被加密无法读取， 勒索蠕虫病毒将要求受害者支付 价值300/600美元的比特币才能 解锁，而且越往后可能要求的赎 金越多，不能按时支付赎金的系 统会被销毁数据 蠕虫不但破坏大量高价值数据， 而且导致很多公共服务 （教育、 公安、加油站） 全球感染波及范围 勒索软件已经攻击了99个国家 ， 中国、英国、美国、德国、日本、 土耳其、西班牙、意大利、葡萄 牙、俄罗斯和乌克兰等国家的数 千家企业及公共组织 至少1600家美国组织，11200 家俄罗斯组织受到了攻击 中国感染范围覆盖了几乎所有地 区 ，遍布高校、加油站、火车站、 自助终端、邮政、医院、政府办 事终端等各大领域 ， 中国境内感染情况统计 据360威胁情报中心监测，国内超30万台机器中招，至少有28388个机构被感染 『永恒之蓝』对企业安全的新挑战 隔离网络安全 • 隔离网防护能力薄弱 • 没有建立网络监控和高级威胁检测能力 威胁情报体系建设不足 • 缺乏应对重大网络安全事件的情报应急响应系统 • 大部分企业还没有起威胁情报中心 政策法规有待健全 • 缺乏对重点信息基础设施安全和用户隐私保护法规 • 政策和法规的实施有待加强 2 『永恒之蓝』的攻击检测 『永恒之蓝』的攻击分析 样本运行之后 ，首先访问 http://www.iuqerfsodp9ifjapo sdfjhgosurijfaewrwergwea.co m 这个地址，如果访问成功则放 弃之后的运行，否则进入蠕虫的 主流程： 样本运行之后会对内网，外网 445 端口进行扫描之后，通过 MS17-010 漏洞上传并执行 payload 进行传播，之后释放 ransom 样本，ransom 执行初 始化之后，再次释放对应的加密 模块 ransommodule 对文件进 行加密。 天眼如何对抗 『永恒之蓝』 云端威胁情报 实时流量采集还原 天眼 文件威胁鉴定器 高级威胁分析平台 天眼如何对抗 『永恒之蓝』 天眼如何对抗 『永恒之蓝』 3 高级威胁检测的参考模型 Gartner设计自适应安全构架 高级威胁检测技术发展历程 文件沙箱 行为分析和人工智能 2012年Fireeye提出全球第一款沙箱； 网络流量行为分析– NTA 从本地沙箱发展为云沙箱； 终端行为分析– EDR 用户行为分析– UEBA