專家個人簡介

? ? ?在前兩期文章“華為勒索攻擊防御的四層防護網之邊界入侵防線”、“華為3大利器助你防護勒索病毒文件”中，我們分別從網絡邊界及勒索病毒文件檢測的角度，對勒索攻擊各個攻擊階段使用的各種攻擊技術的縱深檢測方案進行了介紹。可以看到，勒索攻擊從初始入侵到加密勒索整個過程中，從網絡和主機中可以觀測到諸如攻擊IP、惡意攻擊負載、命令控制服務器C&C地址、惡意樣本、異常主機行為等可觀測數據，這構成威脅檢測的基礎。本期重點從威脅信息（Threat Intelligence）在華為勒索攻擊縱深防御全流程使能的角度，介紹威脅信息如何增強勒索軟件的防御。 以一個中小型企業場景為例，如下圖所示，威脅信息技術對華為勒索軟件檢測使能重點體現在幾個方面：1事前預警在資產評估服務中，基于漏掃及威脅信息中的漏洞現網實際利用情況對資產風險進行排序，使企業將漏洞防護工作聚焦于已經產生或者實際可產生重大危害的漏洞上。2事中防御針對勒索軟件傳播的關鍵階段，提供多重的情報使能。其中入侵階段，在邊界防護和響應服務中，基于威脅信息中的IP類威脅信息使能自動化響應，直接將勒索攻擊阻斷在入侵嘗試階段。在惡意軟件或勒索軟件傳播階段，在下一代防火墻/天關、以及EDR的文件檢測模塊中，基于威脅信息中的文件信譽對已知的勒索軟件快速檢測。惡意軟件及勒索軟件植入運行后，如果存在C&C外聯，則基于DNS過濾、本地惡意域名庫等情報能力進行C&C檢測，防止僵尸網絡等惡意軟件部署勒索軟件，或阻斷勒索軟件的外聯請求。3事后響應針對勒索攻擊事件中涉及的攻擊IP、域名、惡意文件等，可以通過威脅信息進一步調查，獲得更豐富的上下文信息。 ?下面重點就勒索攻擊事前和事中華為威脅信息提供的能力（即圖中的①②③④）進行重點說明。

一、 漏洞可利用信息

基于華為卓越的入侵防御能力、設備遙測能力及防火墻市場占有率，可以持續地感知到現網真實被用于入侵攻擊的漏洞、攻擊的時間、攻擊的次數等信息。根據該信息，企業可以根據其資產暴露位置、漏洞狀態、漏洞實際被利用情況，優先處理處于互聯網邊界、且已經被攻擊者利用的漏洞。 漏洞可利用信息的生產原理如下圖所示。 ?核心的能力包括： 1.日均億級的入侵攻擊感知，覆蓋云、邊流量，快速感知漏洞攻擊情況。 2.安全智能化中心全自動化威脅信息生產，準實時生產漏洞利用信息。

二、威脅IP信息

互聯網上充斥著各類攻擊，據統計39%的流量來自于惡意攻擊者。相應的，在安全設備上每天可以檢測到數以萬計、百萬計，甚至億級的攻擊日志，很容易造成安全人員的告警疲勞。另一方面，網絡入侵距離勒索或許僅僅一步之遙，其區別僅僅是漏洞利用后投遞的載荷鏈接是否為勒索軟件。因此，謹慎地對待每一次攻擊十分有必要。如果可以阻斷任何一次攻擊嘗試，那么就可以大幅度地提升攻擊的成本，降低勒索軟件的攻擊概率。 在華為乾坤邊界防護與響應服務中，基于規則、智能算法和威脅IP信息，華為實現了99%的告警自動化，對每一個確定為惡意的IP進行封堵，極大地提升攻擊成本。 威脅IP信息生產的核心原理如下圖所示。 ?核心的能力包括： 1.日均十億級的攻擊事件感知，覆蓋蜜罐攻擊、入侵攻擊、僵木蠕攻擊、DDoS攻擊、WEB攻擊等各類事件。 2.安全智能中心全自動化威脅信息生產，累計千萬級威脅IP信息，42億IP基礎信息。 3.威脅事件中攻擊IP覆蓋90%以上，暴力破解覆蓋95%以上，可有效輔助攔截基于RDP爆破的勒索攻擊。 4.支持威脅分級、詳細的標簽分類，支持攻擊IP歷史行為分析。

三、 文件信譽

一旦入侵成功執行，惡意軟件通過網絡傳輸到目標設備，在流量或者主機這兩個檢測點均可以利用威脅信息的已知檢測能力，快速地基于文件HASH進行勒索軟件的檢測。 華為文件信譽的關鍵能力包括：

1.累計PB級惡意文件數據積累，支撐對各類惡意文件檢測能力研究和開發，如基于人工智能的檢測、基于行為的檢測等。

2.累計十億級惡意文件威脅信息數據，支撐設備快速識別勒索軟件。

四、 失陷檢測指標IoC

部分勒索軟件通過釣魚或者botnet傳播，或者從另外角度，即使有些釣魚或者具備命令與控制能力的惡意軟件沒有傳播勒索軟件，企業也必須切斷C&C控制通道，否則，攻擊者通過具備命令與控制的惡意軟件可以在任何時候安裝勒索軟件，它使得企業始終處于可能被勒索攻擊的風險之下。華為提供的IoC類威脅信息中不僅包含了遠控類惡意軟件的C&C地址，還包括了釣魚、挖礦、勒索攻擊相關的IoC。它們集成到天關或者華為乾坤中的惡意域名檢測能力中，幫助企業快速發現失陷主機。

失陷檢測指標IoC生產的核心原理如下圖所示。

核心能力包括：

1.千萬級IoC，包括DGA、挖礦、惡意下載站地址、釣魚、C&C等。

2.日均千億級DNS日志分析及智能計算，發現高可疑域名；累計百億級PDNS數據積累，可持續研究發現各類惡意地址。

3.基于沙箱的大規模惡意樣本分析及人工研判，及時發現新的C&C地址。

結束語

勒索攻擊技術在不斷的演進，威脅信息技術通過嵌入到縱深防御的各個階段，發揮“一點發現，全局使能”的重要作用，持續地提升防御的效率，增加攻擊的成本。不僅如此，在攻擊前，通過宏觀的攻擊洞察，威脅信息技術還指導防守者如何集中資源，解決重點的安全問題。攻擊后，通過其他的觀測指標還可以幫助進行攻擊響應，攻擊溯源等。

關注“數據通信視頻號”獲得更多干貨～往期精彩推薦