科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全思科Stealthwatch让WannaCry无计可施

思科Stealthwatch让WannaCry无计可施

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

5月12日星期五,互联网上爆发了一个极度危险的全新恶意软件威胁,让全球众多的计算机用户为其胆战心惊。穷其源头,这一名为“WannaCry”的恶意软件原本是掌握在政府机构手中的一个秘密武器,后于一年前被未知攻击者窃取并泄露。

来源:至顶网安全频道 2017年5月19日

关键字:恶意软件 WannaCry Stealthwatch 思科

5月12日星期五,互联网上爆发了一个极度危险的全新恶意软件威胁,让全球众多的计算机用户为其胆战心惊。穷其源头,这一名为“WannaCry”的恶意软件原本是掌握在政府机构手中的一个秘密武器,后于一年前被未知攻击者窃取并泄露。

思科行业领先的Talos威胁情报团队凭借一双火眼金睛,从众多威胁中发现了这一恶意软件,并确认了其威胁性。WannaCry的初始版本通过一个恶意软件载荷在被感染的计算机上安装勒索软件。它会扫描TCP 445端口,以利用部分未打补丁的Windows计算机上存在的漏洞。与蠕虫病毒类似,WannaCry能够在网络中传播,导致大规模感染。

本博客介绍了客户可以如何利用思科安全解决方案来保护其网络和计算机,以免受此恶意软件及其在未来数天、数周乃至数月可能生成的新变种的攻击。

思科Stealthwatch让WannaCry无计可施

感染检测

WannaCry恶意软件的初始版本利用Server Message Block(SMB)协议来感染网络上运行Microsoft Windows操作系统的计算机,并进行传播。借助Cisco Stealthwatch,网络操作员可以监控网络内的SMB活动。

Cisco Stealthwatch具有内建的报告功能,可以专门跟踪和报告内部主机计算机与互联网上主机之间的SMB流量,此类流量是表明系统感染WannaCry的一个重要迹象。

WannaCry恶意软件还使用SMB流量进行内部传播。Stealthwatch会检测到相同子网内主机使用的SMB流量,并将其判定为可疑活动。

Stealthwatch会针对可疑SMB活动发出多个提醒。它尤其会关注针对大量不同主机发起的激增的SMB流量和SMB联接。这一信息可帮助确定主机是否被WannaCry感染。

Stealthwatch还能够检测并报告到Tor网络、Bogon IP地址和已知命令与控制主机的联接。

ü 借助持续更新的威胁情报源,Stealthwatch也能够检测到主机与Tor网络和Bogon IP地址的通信。这使得安全人员能够发现任意联接到互联网上可疑主机的内部IP。

传播检测

WannaCry恶意软件的初始版本会在网络内部横向传播(从主机到主机),以试图感染尽可能多的主机。在恶意软件触发其勒索软件载荷前,这一传播机制就已经开始。Stealthwatch能够检测到横向移动事件,尤其是相同子网内系统间的此类移动。

任意侦察和扫描活动,尤其是相同子网内的系统间的此类活动,都会被Stealthwatch跟踪到。

Stealthwatch蠕虫传播检测报告功能可以跟踪并关联成功联接到外部命令与控制主机的扫描活动。WannaCry与其他蠕虫病毒均有着类似的一致活动。

关联

思科Stealthwatch将关联在特定主机计算机上观察到的不同活动,并根据每次观察所得的数字评分将该IP判定为可疑。之后Stealthwatch会针对每个主机IP地址,基于一个指数累积这些评分,然后发出名为“威胁指数”(Concern Index)的提醒。威胁指数数值越高,表明主机参与恶意活动的可能性越大。

确定范围和规避威胁

通过使用思科Stealthwatch Management Center和仪表板,您可以轻松建立一份简单的报告,列出所有存在可疑活动和可能被感染的系统。借助集成的思科身份服务引擎(ISE),之后您可以隔离可疑计算机,避免WannaCry进一步传播,直至威胁被修复。

阻止WannaCry传播

WannaCry在互联网上大肆扩散,我们预计在未来几年还将会看到更多变种。利用Stealthwatch无处不在的渗透力和高级分析功能,您将可以尽早检测到WannaCry活动,阻止其在您的环境中进行传播。

思科Stealthwatch介绍

思科Stealthwatch可提供行业领先的网络可视性和安全情报,帮助提高威胁检测、事件响应和调查分析的速度和精确度。该系统能够利用 Netflow 和现有基础设施中的其他态势感知数据,以快捷高效的方式将整个网络转化为一个传感器网。它通过基于行为的自动化学习和关联建模分析,能够快速检测各种异常流量和行为,包括零日恶意软件、分布式拒绝服务(DDoS)攻击、内部威胁和高级持久性威胁(APT)、以及网络分段访问违规等。Stealthwatch的管理界面十分直观、简洁,它通过单一视图展示流量在网络中的横向移动,同时集成了思科Talos的全球信息安全情报,为用户提供一个简单、精致且功能强大的平台,全面增强企业可视化、安全分析、高级威胁感知和事件响应调查的能力。

思科Stealthwatch让WannaCry无计可施

综合评分:8.275 分
云能力:8.9 分
营业额:432亿美元[2011]
云服务:思科统一计算系统(UCS)

查看更多 >>

邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题