最新出现的勒索软件 “ 坏兔子 ” 在从 10 月 24 日在全球范围开始蔓延,这是继今年 5 月份的 WannaCry 和 6 月份的 Petya 爆发后,出现的第三次的勒索软件爆发,这也从侧面印证了勒索软件的威胁已经进入了常态化趋势。本篇介绍的内容是,如何通过 AMP 高级恶意代码防护技术,实现从网络到终端的有效安全防护。
架构式防御方法实现有效安全
让我们再来看一下,在构建架构式防御的 “攻击链条” 的中,从攻击前、攻击中和攻击后三个阶段入手,并将其进行细化成 6 个步骤,深入分析每个步骤的入侵特征,从而提出对应的防御手段。
思科高级恶意软件保护(Advanced Malware Protection 简称 AMP)技术,能够利用业界领先威胁情报分析和沙盒分析技术,检测可疑文件中是否存在恶意代码,并对其进行告警或者拦截。思科 AMP 技术采用了深度集成和持续分析的方法,实现了对入侵威胁过程的持续检测、分析确认、跟踪回溯的功能。
AMP 基于终端的恶意软件防护
下面我们以 “坏兔子”(BadRabbit)勒索软件为例,看看思科 AMP 终端保护是如何实现对勒索软件检测和拦截过程的。
1、威胁情报与沙盒分析
在恶意软件 BadRabbit 爆发的第一时间,思科 Talos 就捕获样本并进行了完整的分析,获取到恶意文件的 HASH 特征,分析显示 BadRabbit 是利用假冒 Flash 的升级程序,通过这个更新程序进行扩散和感染电脑终端。
事实上,思科 Talos 团队每天分析数百万个恶意软件样本和数万亿字节数据,并将最新的威胁情报更新到 AMP 终端。其中最核心的技术,借助了思科 ThreatGrid 高级沙盒技术,对文件自动执行静态和动态分析,从而发现隐蔽的恶意代码威胁。
2、AMP 实时阻止恶意软件
思科 AMP 终端保护工具,借助于云端沙盒分析技术,利用了包括大数据分析、机器学习、模糊匹配指纹、内置防病毒引擎、Rootkit 扫描等多种技术,自动检测和拦截各种恶意代码威胁(如下图)。
当终端 PC 下载或运行带有恶意代码的文件时,AMP 将实时检测,并根据预先设定的策略进行告警或隔离,并呈现出结果(如下图)。
通过上图可以看到,文件 dispci.exe 已经被Cisco AMP 终端保护检测并确定为 BadRabbit 勒索软件。
3、持续监控和轨迹跟踪
思科 AMP 在控制台详细记录了恶意代码入侵的事件,包括恶意代码类型、文件名称及位置、HASH 等内容(如下图)。
此外,AMP 能够对进入终端的文件进行续观察、分析和记录文件活动,包括该恶意软件来自何处、到过何处,以及执行什么活动。最后,AMP 将在所有受影响的终端上自动隔离相关文件(见下图)。
AMP 灵活的部署方式
思科具备业界最完整的 AMP 产品体系,涵盖了从网络边界、终端防护到内容检测,并且提供了灵活的部署方式(见下图)。
思科 AMP 技术与其他思科安全产品深度集成,提供了丰富的部署方式,满足了不同应用环境的需求。在各种 AMP 部署方式中,彼此之间支持信息的共享和联动,发送威胁数据到运维团队,实现自动化的响应,最终实现了勒索软件的有效防御。
AMP 优势总结
思科 AMP 解决方案的与众不同之处在于,能够将网络边界的 AMP 高级恶意代码保护,与部署在终端的 AMP 整合在一起,实现信息的共享,记录恶意代码的轨迹,最终能够实现持续性的威胁检测与防护。
- AMP 网络:在网络边界 Firepower 安全平台上集成 AMP 高级恶意代码保护。
- AMP 终端:在终端主机上利用 AMP 实现恶意文件的监控、分析和拦截。
- AMP 内容:在 Web 和 Email 安全设备集成 AMP 高级恶意代码保护。
作者:吴清伟,思科安全高级顾问
