Splunk分享妙招应付 WannaCry
2018-06-11 来源:
作为网络安全方面的领先厂商,Splunk分享以下应对WannaCry的妙招:
预防检测是重中之重
• 如果企业尚未达到100%合规,必须修补MS17-010 漏洞的补丁必打无疑
• 养成实施并持续运行适度的行动计划的良好习惯
• 实施定期备份机制,并对工作站和服务器等资产进行数据恢复测试
• 确定薄弱环节,如可行,将网络划分为易受攻击但能够自我控制的各个分区,直到它们达到了100%补丁合规
• 如可行,应考虑实施内部网络块或同时禁用SMB 服务
• 企业可监视内部网段,以查找不正常的SMB v1 连接(TCP/139,TCP/445 )所进行的扫描活动等
• 早在2017 年4 月18 号,就可以使用IDS 规则来检测MS17-010 漏洞。企业可以将这些IDS 警报放入Splunk ,并将其与关键资产信息相关联。
• 大多数Windows 勒索软件尝试通过调用“ vssadmin”服务来删除自动备份。企业可通过Sysmon 和通用转发器功能来监视端点设备上vssadmin 服务的不正常举动,并可以手动或者通过自适应响应功能自动地应对此类行为。尽早捕捉此类行为能够防止进一步的损害。
• 勒索软件通常会放弃系统中异常的可执行文件。WannaCry 使用洋葱路由器(TOR )可执行文件实现匿名命令和控制的通信。企业可以使用Splunk 通用转发器功能来监视端点设备,以便发现异常的可执行文件进行异常的网络通信并作出反应。
• 勒索软件几乎总是有独特的文件扩展名,这可以用作早期检测的标志。企业可设置“金丝雀”笼,或者找到最有可能成为被攻击目标机器的子集,然后使用Splunk 通用转发器或者通过互联数据监视这些扩展名的生成。可利用Splunk 查找功能来获取自我生成的新扩展名的最新威胁情报。
• 对于关键资产(非Windows 10 ),企业可以考虑运行Microsoft 增强缓解体验工具包,并把来自EMET 的数据集成到Splunk 中。
检测勒索软件的关键是尽早找到它,并迅速遏制它。如果发现WannaCry 对C2 架构有异常的网络活动,那么理论上可以使用自适应响应功能或者手动进程来阻止这一通信活动,使勒索软件无法正确执行,从而不会带来破坏。
注意高阶作战
目前的WannaCry 变体包括在自传播和加密例程之前运行的“ kill switch ”进程。当WannaCry 在主机上第一次执行时,它会尝试建立与http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 的连接。不会下载辅助文件,恶意软件只是尝试连接,如果有的话,退出程序。
这意味着,如果域被阻止,连接失败,那么程序将执行勒索软件组件。(请注意,这个域名已经被注册锁住,这使得MalwareTech 能够监测并跟踪感染。)
企业可能想在本地实施同样的举措。通过为这一域建立响应策略区(RPZ,Response Policy Zone)并将其重定向到内部非生产Web 服务,可以在执行“ kill switch ”进程时欺骗恶意软件,从而消除威胁。通过Splunking 日志分析软件对这些网络服务器日志进行分析,客户将获得任何尝试进行感染的实时指示和警告,进行调查,分析根本原因,而且不会受到数据破坏性攻击的影响。
早期迹象表明,WannaCry 的框架在本质上可能是模块化的,这意味着WannaCry 作者或者模仿攻击者可以通过不同的有效载体实现自传播恶意软件的跟随传播,从而达到不同的攻击效果。与导弹(运输车辆)有些相似的是,它们携带的是可以互换的弹头。由于这种风险的流动特性,企业应能够敏捷的自动应对,一直保持高度警惕,这是非常重要的。
使用Splunk 防患未然
针对WannaCry 这类攻击,针对检测和预防以及取证分析的最佳实践方法展开教育显得比以往更为重要。Splunk是解决这类问题的专家,可提供专家指南和材料,专门帮助检测和阻止勒索软件。
标签: 安全 服务器 计划 漏洞 企业 通信 网络 网络安全 网络服务器 问题 域名
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。
下一篇:山石网科发布应用交付AX系列