江民发布紧急预案:应对全球最大规模勒索病毒袭击

勒索病毒全球爆发

    2017年5 月12 日,全球爆发大规模蠕虫勒索软件感染事件,近百个国家数十万台电脑被感染,这次攻击范围广泛,造成损失和影响巨大。
    对此,江民科技为应对此次病毒攻击紧急成立应急处理小组,对江民产品全线进行了紧急升级,并提供了免疫工具及详细解决方案。
技术铸就品牌 安全回报社会

综合处理工具 漏洞检测 补丁 专杀
      江民病毒威胁预警系统是针对近年来恶意代码威胁快速演变而设计的一款革新的网关级过滤设备,可全面高效防范恶意代码威胁的传播、动态式攻击、异常通讯。江民病毒威胁预警系统,采用自主研发的嵌入式反病毒引擎,融合多项网关性能优化技术,可驱动千万级的病毒特征库及规则库,实现在线实时威胁处理。
      勒索病毒,则是江民病毒威胁预警系统近年来重点防御的威胁类型之一,针对此次Wannacrypt勒索病毒,江民病毒威胁预警系统快速响应,提供了针对性的解决方案,实现了针对Wannacrypt勒索病毒网关级的静态、动态双重防御,实现威胁源的精确定位、有效阻断及全网内的预警。
      Wannacrypt勒索病毒,传播途径主要是利用了网络共享协议及端口,通过网络共享对未更新补丁的主机,实现远程溢出攻击及勒索病毒代码植入,致使主机感染并加密磁盘文件,成为传播源及攻击源。因此,对于Wannacrypt勒索病毒的网络层防御手段:须支持网络共享协议防护,以阻截利用网络共享协议进行的漏洞攻击;须支持Wannacrypt病毒体的SMB协议过滤,以实时拦截病毒文件的网内传播;须支持病毒动态通讯防御,以有效防御Wanncrypt病毒的远程通讯及变种更新。

● Wannacrypt病毒文件体过滤
      
      江民病毒威胁预警系统,支持网络共享协议SMB病毒过滤,可深度检测及保障通过网络共享协议传输的文件安全,确保文件不被恶意代码感染。用户可灵活设定过滤策略,选择过滤模式,保护内网主机及业务系统免遭病毒文件的侵入。
      此外,江民病毒威胁预警系统,还支持http、ftp、smtp、pop3、imap协议过滤,实现对病毒传播途径的全面狙击。


协议层病毒过滤,支持SMB网络共享协议,支持SMBv1、v2版本。



SMB协议过滤,可实现对病毒多种处理策略,支持SMB协议双向数据传输过滤。


● Wannacrypt病毒网络通讯阻断
       Wannacrypt勒索病毒具有网络通讯、探测扫描等网络行为。在内网环境下,尤其是涉及终端数量较多,管理员无法全面了解终端防病毒、系统补丁是否及时安装更新的情况下,通过网络层实现全网威胁阻断和快速定位变得尤为重要。
      江民病毒威胁预警系统,支持针对“僵、木、蠕”或Wannacrypt勒索病毒的通讯识别及阻断,实现网络层的动态威胁防御。当恶意攻击者通过互联网边界进入内网之时或内部主机感染病毒与外部建立连接之时,部署在网络边界处的江民病毒威胁预警系统,将会对其进行阻断,防止威胁侵入与扩散,保障内部网络的安全性,避免成为攻击源和传播源。


一般威胁,包含了对活动的恶意代码通讯进行识别并阻断;

口令探测及认证连接,可对未知病毒所发起的探测扫描及远程操控,得到有效管控;

SMTP病毒,可有效阻断通过邮件方式发起的勒索病毒攻击;


当前被阻IP,可呈现外部所发起攻击的恶意IP地址。


当前服务器,则显示内部正在遭受攻击的主机及受攻击端口


针对Wannacrypt勒索病毒,发起的漏洞攻击,网关可进行实时阻断,并告知用户此漏洞所利用漏洞编号为MS17-010


● 变种病毒异常行为防御(异常阻断)
      Wannacrypt勒索病毒为混合型病毒,具有多种恶意代码特征,且不排除新型变种及攻击演变等未知行为,为避免“先有病毒,后有库“的传统病毒防护弊端,江民病毒威胁预警系统,可实现对恶意代码异常行为的监测或阻断。恶意代码在攻击前期阶段,会利用探测扫描、暴力破解等行为确认主机是否存在漏洞及脆弱点,为进一步侵入提供关键信息。江民病毒威胁预警系统,支持对恶意代码行为的网络异常监测,如针对操作系统、网络共享协议、应用系统发起的口令探测、暴力破解、认证连接、远程操控等异常行为,管理员可通过此类异常行为实现威胁的尽早感知,为未知病毒的传播与攻击提供定位。

黑名单,将会对持续发起攻击、探测行为的恶意IP进行黑名单处置


      

江民病毒威胁预警系统防护步骤


1. 请将系统固件版本升级至最新版本

2. 请将恶意代码库更新至最新病毒库版本

3. 开启“监控过滤“策略,实现协议层病毒过滤;

4. 开启“日志分析-木马“防御策略,实现威胁动态通讯阻断;

如对以上操作步骤不清楚,可及时联系江民工程师。       

江民病毒威胁预警系统部署方式


      江民病毒威胁预警系统支持多种灵活的部署方式,不同的部署位置及部署模式,可实现不同的防御效果,管理员可依据实际环境及防护要求,进行部署模式的选择。
应用场景一 . 保护内部网络:

● 条件:要求企业关键网段在同一个物理区域内(例如:DMZ区)

● 部署: 串行阻断防御--江民病毒威胁预警系统串联到关键网段前面。

● 目标:保护企业核心业务区域,提升数据安全性,防御恶意代码、Wannacrypt勒索病毒动态式攻击,阻止威胁跨区域传播,免遭服务器成为肉鸡或跳板,遵守合规性、等级保护要求。

应用场景二 . 保护关键网段:

● 条件:要求企业关键网段在同一个物理区域内(例如:DMZ区)

● 部署:串行阻断防御--江民病毒威胁预警系统串联到关键网段前面。

● 目标:保护企业核心业务区域,提升数据安全性,防御恶意代码、Wannacrypt勒索病毒动态式攻击,阻止威胁跨区域传播,免遭服务器成为肉鸡或跳板,遵守合规性、等级保护要求。

应用场景三 . 全网威胁监测:

● 条件: 需以镜像方式提供全网核心处数据(支持Tap盒数据分流)

● 部署:并行监测部署--江民病毒威胁预警系统并行在网络核心处

● 目标:实现对全网交互数据的威胁监测,可精确识别Wannacrypt勒索病毒在局域网内的传播行为,全面提升恶意代码威胁监测纵深能力,亦可作为安全性检查工具进行定期安全评估。江民病毒威胁预警系统,支持单台设备的多路监听模式,无接口限制。

应用场景四.混合部署:

●条件:有统一出口和可提供数据的镜像。

●部署:单台设备在串行防御之时,可同时监听多个网络区域数据交互,实现串并混合综合防御、监测部署。

●目标:实现对网络边界数据的双向防御阻断,同时,对全网威胁数据进行监测预警。

总 结

      通过Wannacrypt勒索病毒事件,我们得知此病毒不仅具有漏洞利用及快速传播特性,而且还在不断地变种,影响范围还在扩大和持续中。由此,我们也见证了恶意代码威胁在整个网络安全趋势下的影响力之广、破坏力之大、传播速度之快。在信息网络安全的诸多威胁中,恶意代码的危害无疑最大,众多数据交互途径都可能引入恶意代码,给组织带来安全风险,恶意代码威胁治理不仅是网络安全防御工作的重中之中,也将是持续优化及走向体系化的过程。
      江民科技将持续跟进Wannacrypt勒索病毒的相关动态,为快速响应新型变种提供相关解决方案。