蠕蟲(chóng)的威脅

蠕蟲(chóng)主要導(dǎo)致以下幾種危害：

• 業(yè)務(wù)中斷：蠕蟲(chóng)在感染主機(jī)后，可能會(huì)進(jìn)行修改配置、停止服務(wù)等操作，導(dǎo)致主機(jī)宕機(jī)、業(yè)務(wù)中斷等風(fēng)險(xiǎn)。

• 信息竊取：信息竊取類蠕蟲(chóng)，會(huì)將服務(wù)器上的數(shù)據(jù)打包回傳，可能造成嚴(yán)重的信息泄露、資源濫用。

• 監(jiān)管封鎖：蠕蟲(chóng)對(duì)外傳播過(guò)程大量發(fā)包，可能導(dǎo)致IP被監(jiān)管單位封禁，直接導(dǎo)致業(yè)務(wù)中斷。

• 勒索：包含勒索功能的蠕蟲(chóng)通過(guò)對(duì)文件加密進(jìn)行勒索，造成財(cái)產(chǎn)損失或?qū)е聰?shù)據(jù)丟失。

云防火墻解決方案

云防火墻針對(duì)蠕蟲(chóng)的攻擊鏈路進(jìn)行分層防御，可檢測(cè)并攔截多種蠕蟲(chóng)及其變種。同時(shí)云防火墻也會(huì)基于云上風(fēng)險(xiǎn)態(tài)勢(shì)，實(shí)時(shí)更新和擴(kuò)展對(duì)最新蠕蟲(chóng)的檢測(cè)和攔截能力。

典型的蠕蟲(chóng)類型如下：

• DDG：利用Redis漏洞及爆破進(jìn)行傳播，感染后利用計(jì)算資源挖礦。

• WannaCry：利用Windows漏洞進(jìn)行傳播，感染后主要進(jìn)行勒索。

• BillGates：利用爆破及應(yīng)用漏洞進(jìn)行傳播，感染后構(gòu)建僵尸網(wǎng)絡(luò)進(jìn)行DDoS攻擊。

代表案例-DDG蠕蟲(chóng)

DDG是一種主要利用Redis漏洞及爆破等方式進(jìn)行傳播的活躍蠕蟲(chóng)，被感染的主機(jī)被加入僵尸網(wǎng)絡(luò)后受控進(jìn)行虛擬貨幣挖礦。

DDG蠕蟲(chóng)影響范圍

• 存在SSH弱口令的服務(wù)器。

• 存在漏洞的Redis或其他類型的數(shù)據(jù)庫(kù)服務(wù)器。

DDG蠕蟲(chóng)的主要危害

• 業(yè)務(wù)中斷：感染DDG蠕蟲(chóng)的主機(jī)主要被用來(lái)挖礦，挖礦會(huì)大量占用服務(wù)器計(jì)算資源，可能導(dǎo)致服務(wù)不可用或正常業(yè)務(wù)的中斷。

• 監(jiān)管封閉：DDG蠕蟲(chóng)感染后會(huì)進(jìn)一步擴(kuò)散傳播，可能會(huì)導(dǎo)致IP被監(jiān)管單位封禁。

針對(duì)DDG攻擊鏈的防御

云防火墻可針對(duì)DDG的攻擊鏈進(jìn)行實(shí)時(shí)檢測(cè)和防御，從而阻斷整個(gè)蠕蟲(chóng)的攻擊和傳播鏈路。

下圖為云防火墻針對(duì)DDG攻擊鏈的防御架構(gòu)圖：

云防火墻可提供以下四種防御類型：

• 防護(hù)白名單：云防火墻入侵防御模塊不會(huì)對(duì)防護(hù)白名單中的流量進(jìn)行攔截，加入到防護(hù)白名單的源/目的IP會(huì)被云防火墻視為可信流量并放行。

• 威脅情報(bào)：云防火墻可掃描偵查威脅情報(bào)，并提供情報(bào)阻斷。

• 基礎(chǔ)規(guī)則：支持惡意軟件檢測(cè)、通信攔截、后門(mén)通信攔截。

• 虛擬補(bǔ)丁：針對(duì)漏洞利用的防護(hù)補(bǔ)丁，可實(shí)時(shí)防護(hù)熱門(mén)的應(yīng)用高危漏洞。

操作步驟

1. 登錄云防火墻控制臺(tái)。

2. 在左側(cè)導(dǎo)航欄，選擇防護(hù)配置 > IPS配置。

3. 在IPS配置頁(yè)面威脅引擎運(yùn)行模式模塊選擇攔截模式-寬松。

4. 在高級(jí)設(shè)置模塊中單擊防護(hù)白名單，將內(nèi)外雙向流量的可信源源IP地址、目的IP地址或地址簿配置到防護(hù)白名單中。

5. 在威脅情報(bào)模塊中單擊開(kāi)啟威脅情報(bào)。

6. 在基礎(chǔ)防御模塊中單擊開(kāi)啟基礎(chǔ)規(guī)則。

7. 在虛擬補(bǔ)丁模塊中單擊開(kāi)啟補(bǔ)丁。

云防火墻的入侵防御策略配置的更多詳細(xì)內(nèi)容，請(qǐng)參見(jiàn)IPS配置。