感染檢測(cè)

WannaCry惡意軟件的初始版本利用Server Message Block（SMB）協(xié)議來(lái)感染網(wǎng)絡(luò)上運(yùn)行Microsoft Windows操作系統(tǒng)的計(jì)算機(jī)，并進(jìn)行傳播。借助Cisco Stealthwatch，網(wǎng)絡(luò)操作員可以監(jiān)控網(wǎng)絡(luò)內(nèi)的SMB活動(dòng)。

Cisco Stealthwatch具有內(nèi)建的報(bào)告功能，可以專(zhuān)門(mén)跟蹤和報(bào)告內(nèi)部主機(jī)計(jì)算機(jī)與互聯(lián)網(wǎng)上主機(jī)之間的SMB流量，此類(lèi)流量是表明系統(tǒng)感染W(wǎng)annaCry的一個(gè)重要跡象。

WannaCry惡意軟件還使用SMB流量進(jìn)行內(nèi)部傳播。Stealthwatch會(huì)檢測(cè)到相同子網(wǎng)內(nèi)主機(jī)使用的SMB流量，并將其判定為可疑活動(dòng)。

Stealthwatch會(huì)針對(duì)可疑SMB活動(dòng)發(fā)出多個(gè)提醒。它尤其會(huì)關(guān)注針對(duì)大量不同主機(jī)發(fā)起的激增的SMB流量和SMB聯(lián)接。這一信息可幫助確定主機(jī)是否被WannaCry感染。

Stealthwatch還能夠檢測(cè)并報(bào)告到Tor網(wǎng)絡(luò)、Bogon IP地址和已知命令與控制主機(jī)的聯(lián)接。

借助持續(xù)更新的威脅情報(bào)源，Stealthwatch也能夠檢測(cè)到主機(jī)與Tor網(wǎng)絡(luò)和Bogon IP地址的通信。這使得安全人員能夠發(fā)現(xiàn)任意聯(lián)接到互聯(lián)網(wǎng)上可疑主機(jī)的內(nèi)部IP。

傳播檢測(cè)

WannaCry惡意軟件的初始版本會(huì)在網(wǎng)絡(luò)內(nèi)部橫向傳播（從主機(jī)到主機(jī)），以試圖感染盡可能多的主機(jī)。在惡意軟件觸發(fā)其勒索軟件載荷前，這一傳播機(jī)制就已經(jīng)開(kāi)始。Stealthwatch能夠檢測(cè)到橫向移動(dòng)事件，尤其是相同子網(wǎng)內(nèi)系統(tǒng)間的此類(lèi)移動(dòng)。

任意偵察和掃描活動(dòng)，尤其是相同子網(wǎng)內(nèi)的系統(tǒng)間的此類(lèi)活動(dòng)，都會(huì)被Stealthwatch跟蹤到。

Stealthwatch蠕蟲(chóng)傳播檢測(cè)報(bào)告功能可以跟蹤并關(guān)聯(lián)成功聯(lián)接到外部命令與控制主機(jī)的掃描活動(dòng)。WannaCry與其他蠕蟲(chóng)病毒均有著類(lèi)似的一致活動(dòng)。

關(guān)聯(lián)

思科Stealthwatch將關(guān)聯(lián)在特定主機(jī)計(jì)算機(jī)上觀察到的不同活動(dòng)，并根據(jù)每次觀察所得的數(shù)字評(píng)分將該IP判定為可疑。之后Stealthwatch會(huì)針對(duì)每個(gè)主機(jī)IP地址，基于一個(gè)指數(shù)累積這些評(píng)分，然后發(fā)出名為“威脅指數(shù)”（Concern Index）的提醒。威脅指數(shù)數(shù)值越高，表明主機(jī)參與惡意活動(dòng)的可能性越大。

確定范圍和規(guī)避威脅

通過(guò)使用思科Stealthwatch Management Center和儀表板，您可以輕松建立一份簡(jiǎn)單的報(bào)告，列出所有存在可疑活動(dòng)和可能被感染的系統(tǒng)。借助集成的思科身份服務(wù)引擎（ISE），之后您可以隔離可疑計(jì)算機(jī)，避免WannaCry進(jìn)一步傳播，直至威脅被修復(fù)。

阻止WannaCry傳播

WannaCry在互聯(lián)網(wǎng)上大肆擴(kuò)散，我們預(yù)計(jì)在未來(lái)幾年還將會(huì)看到更多變種。利用Stealthwatch無(wú)處不在的滲透力和高級(jí)分析功能，您將可以盡早檢測(cè)到WannaCry活動(dòng)，阻止其在您的環(huán)境中進(jìn)行傳播。

崔歡歡