安恒主机卫士(EDR)-勒索专防专杀解决方案(9.3)-修正版.docxVIP

修正版 修正版 安恒主机卫士(EDR) 勒索专防专杀解决方案 杭州安恒信息技术股份有限公司 DATE \@ EEEE年O月 二〇二〇年二月 目 录TOC \o 1-3 \h \z \u 281 1 需求概述 1 23294 1.1 勒索病毒简介 1 818 1.2 勒索过程分析 1 4889 2 方案目标 2 2896 3 方案设计 3 9882 3.1 设计理念 3 5600 3.2 方案部署 3 24015 3.3 勒索处理流程 4 31019 3.3.1 确认感染勒索病毒，被加密前部署EDR 4 28748 3.3.2 开启专利级勒索防御双重引擎 5 1849 3.3.3 一键应用“永恒之蓝勒索挖矿防御”批量配置模板，双向隔离445端口 5 1459 3.3.4 观察进程启动日志、勒索加密阻断日志，定位病毒源 6 22518 3.3.5 批量查杀病毒并复查 6 29125 3.3.6 配置定期巡检与漏洞扫描进行系统加固 6 17792 3.4 总结 7 11784 3.5 产品兼容性 8 13239 3.5.1 管理控制中心 8 25985 3.5.2 终端 8 17807 3.5.3 Web中间件 8 需求概述 勒索病毒简介 勒索病毒，是一种新型 \t /item/%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92/_blank 电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。勒索病毒利用各种非对称加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。勒索病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。 勒索过程分析 勒索病毒文件一旦进入本地，就会自动运行。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的CC服务器，进而上传本机信息并下载加密公钥，利用加密公钥对文件进行加密。除了拥有解密私钥的攻击者本人，其他人是几乎不可能解密。加密完成后，通常还会修改壁纸，在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。勒索病毒变种类型非常快，对常规的 \t /item/%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92/_blank 杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主，对常规依靠特征检测的安全产品是一个极大的挑战。勒索流程图如下： 图1.1 勒索流程图 方案目标 根据以往安恒信息对勒索病毒的研究发现，勒索病毒的变种通常可以隐藏自己的特征，但勒索病毒想要完成加密过程以达到勒索的目的，关键的行为是无法隐藏的。经过分析可以发现勒索病毒在运行的过程中的行为主要包括以下几项： 通过脚本文件进行Http请求； 通过脚本文件下载文件； 读取远程服务器文件； 收集计算机信息； 进程遍历文件； 调用加密算法运行加密进程。 所以本方案的目标如下： 事前部署：风险评估，评估感染勒索病毒的可能性，进行针对性安全加固，避免感染勒索病毒； 事中部署：通过在勒索病毒加密前部署EDR，达到隔离病毒、定位病毒程序源、查杀病毒、进行系统加固的目的； 事后部署：清除残余病毒，进行系统加固，杜绝再次感染。 方案设计 设计理念 安恒信息在深入分析与研究勒索病毒的基础上，总结归纳勒索病毒的攻击方式和行为特征后，提出了以明御?主机安全及管理系统又称安恒主机卫士（Endpoint Detection and Response，以下简称EDR）为基础的解决方案。 本产品具备诱饵捕获引擎、内核级流量隔离等行业领先技术。对于已知勒索病毒，通过“进程启动防护引擎”零误报零漏报查杀；对于未知勒索病毒，采用“专利级诱饵引擎”进行捕获，阻断其加密行为；通过内核级的流量隔离技术，自动阻止勒索病毒在内网扩散或者接收远程控制端指令。同时，还提供勒索保险业务，全方位应对勒索病毒。 方案部署 明御?主机安全及管理系统由管理控制中心和监控端组成，管理控制中心部署在独立提供的服务器或PC机(Linux系统)上，监控端软件安装在需要被监控的主机设备上。 管理控制中心主要功能为把多个监控端信息集中于一体，便于集中管理、应急和配置安全策略，聚合监控端情报信息。 在部署明御?主机安全及管理系统时，首先架设管理控制中心，然后在主机上安装监控软件，通过配置管理控制中心的IP地址+端口信息，即可实现管理控制中心与监控端的安全连接。云租户可在管理控制中心查看服务器资产详细信息。部署示意图如下： 图3.1 部署示意图 勒索处理流程 确认感染勒索病毒，被加密前部署EDR； 开启专利级勒索防御双重引擎； 一键应用“永恒之蓝勒索挖矿防御”批量配置模板，双向隔离445端口； 观察进程启动日志、勒索加