令人人自危的勒索软件是怎么被阻止蔓延的?揭秘一个搞安全研究的战狼部队——思科Talos
2015年,一个名叫AnglerEK的网络犯罪钓鱼攻击恶意程序席卷全球,这款钓鱼攻击工具包,帮助攻击者感染计算机通过盗用合法网站或者攻击者控制的网站的恶意软件感染用户电脑。该工具包常常利用Flash、Java以及其他浏览器插件中的漏洞入侵系统。在超过60%的情况下,攻击者使用例如CryptoWall或者TeslaCrypt的恶意软件,绑架用户电脑,向用户索取赎金才恢复其设备或者文件的访问,每天都会有9万名无辜的受害者沦为攻击的目标,而此举为犯罪团伙每年带来超过6000万美元的收益。
当人们茫然无措的时候,思科内部的一个神秘团队开始出手。他们密切分析了Angler EK,发现其使用漏洞利用工具的代理服务器主要地址,深度分析到该地址的系统中的工具包操作之后,思科通过更新其网络产品重定向链接,实现对攻击行为的封锁,直接保护了50%以上的消费者免受感染。同时思科与执法部门合作,提供收集到的犯罪线索,帮助有效打击犯罪分子。
只此一役,便让这个名叫“Talos”的神秘团队,在业界浮出水面,声名鹊起。据统计,Talos 每天大约分析 150 万个恶意软件实例,每年可帮助阻止 7.2 万亿次攻击。为此,Talos 构建了世界上最大的威胁检测网络,通过尖端的检测和预防技术,发现、评估和应对黑客活动、入侵企图、恶意软件及漏洞的最新发展趋势。
(Talos一天的安全分析量)
思科Talos团队由业界领先的网络安全专家组成,拥有超过250名研究人员和600名软件工程师,堪称网络安全行业最大的安全研究团队之一,其中不乏业界知名的网络安全大牛。Snort、ClamAV等开源工具和平台就是他们所写。该团队的专长涵盖软件开发,逆向工程,漏洞分析,恶意软件的调查和情报收集等。Talos团队同时也负责维护Snort.org,ClamAV的,SenderBase.org和SpamCop中的官方规则集和社区。
“我们的数据专家擅长发现数据的细微差别。他们不仅具有数学家的严谨思维,而且理解集合论和集群算法,因此能有把握地确定攻击的发起者、类型和发起位置。”高级主管 Matt Watchinski 说道。Watchinski 是领导马里兰州哥伦比亚市 Talos 团队的安全研究资深专家。
在 Talos 内部,有几个紧密协作的团队,他们投身于不同战线的斗争中。外联团队不断扫描新出现的威胁。其他团队通过反向工程对新出现的恶意软件和漏洞进行破解,从而为客户提供保护。还有其他团队负责传播消息,发布公共安全报告,以及直接与客户、IT 供应商、运营商,甚至竞争对手进行沟通。
有时候,网络安全专家会搭建一个“蜜罐”,用看起来无害的服务器,其密码薄弱到令人震惊,而且安全补丁也已过期,目的就是吸引潜在的攻击者。这就像在进行一场精彩的老式陷阱游戏,他们以找到网络攻击者为乐。他们解释说:“我们经常设置各种'蜜罐’,伪装成工业控制系统、web 服务器、弹性搜索服务器、IP 电话服务器、甚至还包括气体泵系统”。
就像一场猫和老鼠的游戏,通过这种方式,他们阻击了非常凶猛的的SSHPsychos攻击。在2015年, Talos 团队使用黑洞法拦截或屏蔽了其全球网络上的所有 SSHPsychos 流量。对 SHPsychos 的反击成为该年度对黑客进行追缉的最大行动之一。鉴于 Talos 在阻止流氓行动方面的贡献,其在网络安全这个圈子里备受称赞,以今年5月份全球爆发的勒索病毒WannaCry为例, Talos首次得到样本60分钟内,AMP在终端、电子邮件、Web 网关以及网络安全产品中实现成功检测和阻止。
今年另一次大规模的恶意软件爆发,是Nyetya勒索软件。在病毒传播早期,由于监测到该活动影响的范围较广,Talos启动了称为TaCERS(Talos 重要事件响应系统)的内部研究和响应流程。根据终端遥测的结果,明确了名为“M.E.Doc”的乌克兰会计软件数据包便是攻击活动的中心源,Nyetya正是通过所有M.E.Doc更新系统的安装实现传播。Talos确定了攻击活动主动感染阶段的开始和结束时间,之后又确定了Nyetya的传播机制。当 M.E.Doc 设备执行初始样本时,命令行参数与在终端遥测所观察到数据完美匹配。
除了250名全职威胁情报研究人员以外,思科在全球还部署了上百万个遥测代理、1100个威胁追捕程序,拥有4个全球数据中心和超过100家威胁情报合作伙伴。根据ESG去年发布的调查报告,在全球18家网络安全威胁情报最佳提供商中,思科位列第一!Talos作为网络安全行业最大的安全研究团队,这也为思科的安全研究和安全产品服务提供了强大的后盾支持,当之无愧是一只搞安全研究“特种部队”!
扫一扫,与小编一起探讨CCIE安全