情话逆水寒小说
您的當前位置:首頁 > 建站知識

【蘭州網站建設】挖礦蠕蟲肆虐,詳解云防火墻如何輕松“制敵”

時間:2019-05-11 20:30:20  作者:

根據阿里云安全團隊發布的《2018年云上挖礦分析報告》顯示,過去一年中,每一波熱門0 Day的出現都伴隨著挖礦蠕蟲的爆發性傳播,挖礦蠕蟲可能因為占用系統資源導致業務中斷,甚至還有部分挖礦蠕蟲同時會捆綁勒索病毒(如XBash等)給企業帶來資金與數據的損失。
如何提升企業的安全水位,抵御挖礦蠕蟲的威脅成為每個企業都在思考的問題。本文以云上環境為例,從挖礦蠕蟲的防御、檢測和入侵后如何迅速止血三方面來闡述阿里云云防火墻如何全方位抵御挖礦蠕蟲。
1.挖礦蠕蟲的防御
1.1 挖礦蠕蟲的傳播方式
據阿里云安全團隊觀察,云上挖礦蠕蟲主要利用網絡上普遍存在的通用漏洞和熱門的0 Day/N Day漏洞進行傳播。
1.1.1 通用漏洞利用
過去一年挖礦蠕蟲普遍會利用網絡應用上廣泛存在的通用漏洞(如配置錯誤、弱密碼等)對互聯網持續掃描和攻擊,以對主機進行感染。下表是近期活躍的挖礦蠕蟲廣泛利用的通用漏洞:
1.1.2 0 Day/N Day漏洞利用
0 Day/N Day在網絡上未被修復的窗口期也會被挖礦蠕蟲利用,迅速進行大規模的感染。下表是近期活躍的挖礦蠕蟲利用過的熱門0 Day/N Day漏洞:
1.2 挖礦蠕蟲的防御
針對這兩類利用方式,阿里云云防火墻作為業界首款公共云環境下的SaaS化防火墻,應用可以透明接入,可以對云上進出網絡的惡意流量進行實時檢測與阻斷,在防御挖礦蠕蟲方面有著獨特優勢。
1.2.1 通用漏洞的防御
針對挖礦蠕蟲對SSH/RDP等進行暴力破解的攻擊方式,云防火墻的基礎防御支持常規的暴力破解檢測方式,如登錄或試錯頻次閾值計算,對超過試錯閾值的行為進行IP限制,還支持在用戶的訪問習慣、訪問頻率基線的基礎上,結合行為模型在保證用戶正常訪問不被攔截的同時對異常登陸進行限制。
針對一些通用的漏洞利用方式(如利用Redis寫Crontab執行命令、數據庫UDF進行命令執行等),云防火墻的基礎防御基于阿里云的大數據優勢,利用阿里云安全在云上攻防對抗中積累的大量惡意攻擊樣本,可以形成精準的防御規則,具有極高的準確性。
若您需要開啟云防火墻的基礎防御,只需要在安全策略->入侵防御->基礎防御配置欄勾選基礎規則即可,當基礎防御開啟后,在網絡流量分析->IPS阻斷分析中可以看到詳細的攔截日志,相關參考如下:
1.2.2 0 Day/N Day漏洞防御
由于熱門0 Day/N Day漏洞修復不及時,被挖礦蠕蟲利用感染的風險較大。云防火墻通過結合全網部署的蜜罐分析異常攻擊流量和阿里云先知平臺漏洞情報的共享,可以及時發現針對0 Day/N Day的漏洞利用,第一時間獲取漏洞poc/exp,并落地形成虛擬補丁,在與黑客的攻防對抗中占得時間先機。
用戶可以在【安全策略->入侵防御->虛擬補丁】配置欄中可以開啟當前熱門挖礦蠕蟲所利用的高危漏洞,下圖是近期活躍的挖礦蠕蟲各自利用過的0 Day/N Day漏洞對應的虛擬補丁。
2. 挖礦蠕蟲的檢測
在與蠕蟲攻防對抗中,即使在公網邊界做好入侵防御措施仍有可能感染挖礦蠕蟲。比如挖礦蠕蟲可以通過VPN直接由開發機傳播到生產網,也有由于運維使用的系統鏡像、Docker鏡像就已經被植入挖礦病毒,從而導致大規模感染的爆發。
因此,針對挖礦蠕蟲的即時感知至關重要。云防火墻通過NTA(Network Traffic Analysis)能力提供的入侵檢測功能,能夠有效發現挖礦蠕蟲感染事件。
利用云上強大的威脅情報網,云防火墻可以及時發現常見貨幣的礦池地址、檢測挖礦木馬的下載行為和常見的礦池通信協議,實時識別主機的挖礦行為,并及時告警。
用戶可以通過【網絡流量分析->入侵檢測】中看到每次攻擊事件的摘要、影響資產、事件詳情等類目信息,用戶只需在一鍵防御類目中打開攔截模式,一鍵提交,即可在網絡端阻斷挖礦木馬與礦池的通信。
依據詳情提供的外聯地址信息,用戶可以在主機端查找到相應的進程快速清理二進制程序。
3.入侵后如何快速止血?
若服務器已感染挖礦蠕蟲,云防火墻可以從惡意文件下載阻斷、中控通信攔截、重點業務區強訪問控制三方面控制蠕蟲進一步傳播,減少業務和數據的進一步損失。
3.1 惡意文件下載阻斷
惡意文件下載防御是基礎防御中重要功能之一,服務器在感染挖礦蠕蟲后通常會進行惡意文件下載,基礎防御集成惡意文件檢測能力,對下載至服務器的文件在流量中進行安全檢測,在檢測到嘗試下載惡意文件時進行告警并阻斷。
云防火墻基礎防御能力會實時更新常見挖礦蠕蟲的各類惡意文件的唯一性特征碼和文件模糊hash,在挖礦蠕蟲入侵成功/進一步下載更新新的攻擊載荷時,會對下載至服務器的文件在流量中進行文件還原及特征匹配,對檢測到嘗試下載惡意文件時進行告警并阻斷。
3.2 中控通信攔截
在感染挖礦蠕蟲后,針對挖礦蠕蟲可能和C&C控制端進行通信,接收進一步的惡意行為指令或者向外泄漏敏感數據等,云防火墻的基礎防御功能進行實時攔截主要通過以下三方面來實現:
通過分析和監控全網蠕蟲數據和中控服務器通訊流量,可以對異常通訊流量特征化,落地形成中控通信檢測特征,通過實時監控中控通信變化,不斷的提取攻擊特征,確保及時檢測到攻擊行為;
通過自動學習歷史流量訪問信息,建立異常流量檢測模型,挖掘潛在的未知挖礦蠕蟲信息;
利用大數據可視化技術對全網IP訪問行為關系進行畫像,利用機器學習發現異常IP及訪問域,并聯動全網攻擊數據,最終落地形成中控威脅情報庫,從而可以對服務器流量通信進行情報匹配,實時阻斷惡意的中控連接通信。
下圖是通過基礎防御和威脅情報對中控通信攔截的記錄:
3.3 重點業務區強訪問控制
由于業務本身需要,重點業務通常需要將服務或端口對全公網開放,而來自互聯網的掃描、攻擊卻無時不刻窺探企業的資產,對外部的訪問控制很難做到細粒度管控。而對某一臺ECS、某一個EIP或內部網絡主動外聯場景下,域名或IP數量其實都是可控的,因為該類外聯通常都是進行合法的外聯訪問,例如DNS、NTP服務等,少量企業自身業務需要也通常只是少許特定IP或域名,故通過對內對外的域名或IP進行管控,可以很好的防止ECS主機被入侵之后,從惡意域名下拉挖礦木馬或木馬與C&C進行通信等行為。
云防火墻支持訪問控制功能,支持域名(含泛域名)和IP配置。針對重點業務的安全問題,可以通過配置一個強粒度的內對外訪問控制,即重要業務端口只允許特定域名或者特定的IP進行訪問,其他一律禁止。通過以上操作可以很有效的杜絕挖礦蠕蟲下載、對外傳播,防止入侵后階段的維持與獲利。
例如以下場景中,內網對外訪問的總IP數為6個,其中NTP全部標識為阿里云產品,而DNS為我們所熟知的8.8.8.8,通過云防火墻的安全建議,我們可以將上述6個IP進行放行,而對其他IP訪問進行全部拒絕。通過如上的配置,在不影響正常業務訪問的情況下,防止其他如上提及到的惡意下載、C&C通信的對外連接行為。
結語
由于互聯網上持續存在的通用應用漏洞、0 Day漏洞的頻發、以及挖礦變現的高效率,挖礦蠕蟲大規模蔓延。云上客戶可以通過透明接入云防火墻,保護自身應用不受互聯網上各種惡意攻擊的威脅。同時云防火墻可以伴隨客戶業務水平彈性擴容,讓客戶更多的關注業務的擴展,不需要花費更多精力投入在安全上。
更重要的是,云防火墻依托云上海量的計算能力,能夠更快的感知最新的攻擊威脅、并且聯動全網的威脅情報給用戶最佳的安全防護,使用戶免于挖礦蠕蟲威脅。

Copyright © 2010-2018 風魔科技 版權所有      

售前咨詢
售后服務
15339852636
情话逆水寒小说 pk10计划软件手机版免费版 十一选五胆拖投注计算器 店长推荐日韩美女 重庆时时彩国家不管吗 娱乐影院官网 重庆时时五星彩走势图 日本大胸美女mm性感 怎样买五不中不会连错 手机版4人通比牛牛 胜宏国际app买彩票 老时时彩开奖号码 沈阳按摩会所排行榜 幸运飞艇绝密方法 网络炸金花怎么赢