思科安全如何应对勒索软件攻击-cisco.pdfVIP

思科安全如何应对勒索软件攻击 吴清伟David Wu 思科安全技术顾问 • WannaCry与Jaff勒索软件解析 • 重新认识勒索软件的危害与演化趋势 • 思科安全如何应对勒索软件 • 最佳实践与建议 • 问题与讨论 © 2011 Cisco and/or its affiliates. All rights reserved. 2  2017年5月12 日，勒索软件WannaCry开始在全球范 围内传播，包括西班牙的Telefonica 、英国的 National Health Service、以及美国的FedEx等企业 纷纷中招。  国内部分高校开始发现了WannaCry 的感染事件，随 后迅速波及其他企业用户，包括加油站、政府办事 终端、制造业、金融、教育等行业。  思科Talos威胁情报团队，在第一时间发布了分析报 告，详细介绍了WannaCry 的特征与传播方式，并给 出了用户的应急处理方案 © 2013 Cisco and/or its affiliates. All rights reserved. 3 1、思科Talos研究人员注意到从东部标准时间早上5点（世界标准时间上午9点）前开始，网 络中针对联网主机的扫描开始急速攀升。 2、我们研究人员在UTC时间07:24，观察到来自WannaCry 的kill switch长域名的第一个请求， 此后在短短10小时后，就上升到1400次/秒的峰值。 © 2013 Cisco and/or its affiliates. All rights reserved. 4 3、思科Talos研究人员通过逆向工程，发现恶意程序会尝试对kill switch域名执行HTTP GET 操作，如果失败，它会继续进行感染操作；然而，如果成功，该恶意程序将会结束。 4 、思科研究人员发现该长域名被注册到一个已知的sinkhole，有效的减缓了勒索软件的活动。 验证域名注册信息证明了这一点，其注册日期为2017年5月12 日。 © 2013 Cisco and/or its affiliates. All rights reserved. 5 WannaCry 的传播过程 扫描内部主机 445 TCP 445 TCP DOUBLEPULSAR后门 ETERNALBLUE入侵 445 TCP 扫描外部主机 WannaCry 的感染过程 查看kill switch开关(http GET) DOUBLEPULSAR后门 安装