美国圣何塞儿童探索博物馆成功抵御 WannaCry,这得益于该博物馆一直在使用Splunk。据该博物馆的首席工程师 Gregg Daly 介绍:”Splunk 的导航视图非常易于使用,适用于博物馆所有的数据、设备和程序,让博物馆的技术人员能够快速解决来自WannaCry的威胁。”
作为网络安全方面的领先厂商,Splunk分享以下应对 WannaCry的妙招:
预防检测是重中之重
• 如果企业尚未达到 100% 合规,必须修补MS17-010 漏洞的补丁必打无疑
• 养成实施并持续运行适度的行动计划的良好习惯
• 实施定期备份机制,并对工作站和服务器等资产进行数据恢复测试
• 确定薄弱环节,如可行,将网络划分为易受攻击但能够自我控制的各个分区,直到它们达到了 100% 补丁合规
• 如可行,应考虑实施内部网络块或同时禁用 SMB 服务
• 企业可监视内部网段,以查找不正常的 SMB v1 连接( TCP/139,TCP/445 )所进行的扫描活动等
• 早在 2017 年 4 月 18 号,就可以使用 IDS 规则来检测 MS17-010 漏洞。企业可以将这些IDS 警报放入 Splunk ,并将其与关键资产信息相关联。
• 大多数 Windows 勒索软件尝试通过调用“ vssadmin”服务来删除自动备份。企业可通过 Sysmon 和通用转发器功能来监视端点设备上 vssadmin 服务的不正常举动,并可以手动或者通过自适应响应功能自动地应对此类行为。尽早捕捉此类行为能够防止进一步的损害。
• 勒索软件通常会放弃系统中异常的可执行文件。WannaCry 使用洋葱路由器( TOR )可执行文件实现匿名命令和控制的通信。企业可以使用 Splunk 通用转发器功能来监视端点设备,以便发现异常的可执行文件进行异常的网络通信并作出反应。
• 勒索软件几乎总是有独特的文件扩展名,这可以用作早期检测的标志。企业可设置“金丝雀”笼,或者找到最有可能成为被攻击目标机器的子集,然后使用 Splunk 通用转发器或者通过互联数据监视这些扩展名的生成。可利用 Splunk 查找功能来获取自我生成的新扩展名的最新威胁情报。
• 对于关键资产(非 Windows 10 ),企业可以考虑运行 Microsoft 增强缓解体验工具包,并把来自 EMET 的数据集成到 Splunk 中。
检测勒索软件的关键是尽早找到它,并迅速遏制它。如果发现 WannaCry 对 C2 架构有异常的网络活动,那么理论上可以使用自适应响应功能或者手动进程来阻止这一通信活动,使勒索软件无法正确执行,从而不会带来破坏。
注意高阶作战
目前的 WannaCry 变体包括在自传播和加密例程之前运行的“ kill switch ”进程。当WannaCry 在主机上第一次执行时,它会尝试建立与 http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 的连接。不会下载辅助文件,恶意软件只是尝试连接,如果有的话,退出程序。
这意味着,如果域被阻止,连接失败,那么程序将执行勒索软件组件。(请注意,这个域名已经被注册锁住,这使得 MalwareTech 能够监测并跟踪感染。)
企业可能想在本地实施同样的举措。通过为这一域建立响应策略区( RPZ,Response Policy Zone)并将其重定向到内部非生产 Web 服务,可以在执行“ kill switch ”进程时欺骗恶意软件,从而消除威胁。通过 Splunking 日志分析软件对这些网络服务器日志进行分析,客户将获得任何尝试进行感染的实时指示和警告,进行调查,分析根本原因,而且不会受到数据破坏性攻击的影响。
早期迹象表明,WannaCry 的框架在本质上可能是模块化的,这意味着 WannaCry 作者或者模仿攻击者可以通过不同的有效载体实现自传播恶意软件的跟随传播,从而达到不同的攻击效果。与导弹(运输车辆)有些相似的是,它们携带的是可以互换的弹头。由于这种风险的流动特性,企业应能够敏捷的自动应对,一直保持高度警惕,这是非常重要的。
使用 Splunk 防患未然
针对 WannaCry 这类攻击,针对检测和预防以及取证分析的最佳实践方法展开教育显得比以往更为重要。Splunk是解决这类问题的专家,可提供专家指南和材料,专门帮助检测和阻止勒索软件。
