感染檢測
WannaCry惡意軟件的初始版本利用Server Message Block(SMB)協(xié)議來感染網(wǎng)絡上運行Microsoft Windows操作系統(tǒng)的計算機���,并進行傳播��。借助Cisco Stealthwatch��,網(wǎng)絡操作員可以監(jiān)控網(wǎng)絡內的SMB活動�。
Cisco Stealthwatch具有內建的報告功能�����,可以專門跟蹤和報告內部主機計算機與互聯(lián)網(wǎng)上主機之間的SMB流量���,此類流量是表明系統(tǒng)感染W(wǎng)annaCry的一個重要跡象�。
WannaCry惡意軟件還使用SMB流量進行內部傳播���。Stealthwatch會檢測到相同子網(wǎng)內主機使用的SMB流量���,并將其判定為可疑活動��。
Stealthwatch會針對可疑SMB活動發(fā)出多個提醒����。它尤其會關注針對大量不同主機發(fā)起的激增的SMB流量和SMB聯(lián)接。這一信息可幫助確定主機是否被WannaCry感染��。
Stealthwatch還能夠檢測并報告到Tor網(wǎng)絡����、Bogon IP地址和已知命令與控制主機的聯(lián)接����。
借助持續(xù)更新的威脅情報源�,Stealthwatch也能夠檢測到主機與Tor網(wǎng)絡和Bogon IP地址的通信。這使得安全人員能夠發(fā)現(xiàn)任意聯(lián)接到互聯(lián)網(wǎng)上可疑主機的內部IP���。
傳播檢測
WannaCry惡意軟件的初始版本會在網(wǎng)絡內部橫向傳播(從主機到主機)�,以試圖感染盡可能多的主機��。在惡意軟件觸發(fā)其勒索軟件載荷前�����,這一傳播機制就已經開始����。Stealthwatch能夠檢測到橫向移動事件,尤其是相同子網(wǎng)內系統(tǒng)間的此類移動��。
任意偵察和掃描活動����,尤其是相同子網(wǎng)內的系統(tǒng)間的此類活動����,都會被Stealthwatch跟蹤到��。
Stealthwatch蠕蟲傳播檢測報告功能可以跟蹤并關聯(lián)成功聯(lián)接到外部命令與控制主機的掃描活動���。WannaCry與其他蠕蟲病毒均有著類似的一致活動���。
關聯(lián)
思科Stealthwatch將關聯(lián)在特定主機計算機上觀察到的不同活動,并根據(jù)每次觀察所得的數(shù)字評分將該IP判定為可疑��。之后Stealthwatch會針對每個主機IP地址����,基于一個指數(shù)累積這些評分,然后發(fā)出名為“威脅指數(shù)”(Concern Index)的提醒��。威脅指數(shù)數(shù)值越高����,表明主機參與惡意活動的可能性越大���。
確定范圍和規(guī)避威脅
通過使用思科Stealthwatch Management Center和儀表板����,您可以輕松建立一份簡單的報告,列出所有存在可疑活動和可能被感染的系統(tǒng)����。借助集成的思科身份服務引擎(ISE),之后您可以隔離可疑計算機�,避免WannaCry進一步傳播,直至威脅被修復����。
阻止WannaCry傳播
WannaCry在互聯(lián)網(wǎng)上大肆擴散,我們預計在未來幾年還將會看到更多變種����。利用Stealthwatch無處不在的滲透力和高級分析功能,您將可以盡早檢測到WannaCry活動����,阻止其在您的環(huán)境中進行傳播。
