令人人自危的勒索软件是怎么被阻止蔓延的?揭秘一个搞安全研究的战狼部队——思科Talos

2015年,一个名叫AnglerEK的网络犯罪钓鱼攻击恶意程序席卷全球,这款钓鱼攻击工具包,帮助攻击者感染计算机通过盗用合法网站或者攻击者控制的网站的恶意软件感染用户电脑。该工具包常常利用Flash、Java以及其他浏览器插件中的漏洞入侵系统。在超过60%的情况下,攻击者使用例如CryptoWall或者TeslaCrypt的恶意软件,绑架用户电脑,向用户索取赎金才恢复其设备或者文件的访问,每天都会有9万名无辜的受害者沦为攻击的目标,而此举为犯罪团伙每年带来超过6000万美元的收益。

当人们茫然无措的时候,思科内部的一个神秘团队开始出手。他们密切分析了Angler EK,发现其使用漏洞利用工具的代理服务器主要地址,深度分析到该地址的系统中的工具包操作之后,思科通过更新其网络产品重定向链接,实现对攻击行为的封锁,直接保护了50%以上的消费者免受感染。同时思科与执法部门合作,提供收集到的犯罪线索,帮助有效打击犯罪分子。

只此一役,便让这个名叫“Talos”的神秘团队,在业界浮出水面,声名鹊起。据统计,Talos 每天大约分析 150 万个恶意软件实例,每年可帮助阻止 7.2 万亿次攻击。为此,Talos 构建了世界上最大的威胁检测网络,通过尖端的检测和预防技术,发现、评估和应对黑客活动、入侵企图、恶意软件及漏洞的最新发展趋势。

(Talos一天的安全分析量)

思科Talos团队由业界领先的网络安全专家组成,拥有超过250名研究人员和600名软件工程师,堪称网络安全行业最大的安全研究团队之一,其中不乏业界知名的网络安全大牛。Snort、ClamAV等开源工具和平台就是他们所写。该团队的专长涵盖软件开发,逆向工程,漏洞分析,恶意软件的调查和情报收集等。Talos团队同时也负责维护Snort.org,ClamAV的,SenderBase.org和SpamCop中的官方规则集和社区。

“我们的数据专家擅长发现数据的细微差别。他们不仅具有数学家的严谨思维,而且理解集合论和集群算法,因此能有把握地确定攻击的发起者、类型和发起位置。”高级主管 Matt Watchinski 说道。Watchinski 是领导马里兰州哥伦比亚市 Talos 团队的安全研究资深专家。

在 Talos 内部,有几个紧密协作的团队,他们投身于不同战线的斗争中。外联团队不断扫描新出现的威胁。其他团队通过反向工程对新出现的恶意软件和漏洞进行破解,从而为客户提供保护。还有其他团队负责传播消息,发布公共安全报告,以及直接与客户、IT 供应商、运营商,甚至竞争对手进行沟通。

有时候,网络安全专家会搭建一个“蜜罐”,用看起来无害的服务器,其密码薄弱到令人震惊,而且安全补丁也已过期,目的就是吸引潜在的攻击者。这就像在进行一场精彩的老式陷阱游戏,他们以找到网络攻击者为乐。他们解释说:“我们经常设置各种'蜜罐’,伪装成工业控制系统、web 服务器、弹性搜索服务器、IP 电话服务器、甚至还包括气体泵系统”。

就像一场猫和老鼠的游戏,通过这种方式,他们阻击了非常凶猛的的SSHPsychos攻击。在2015年, Talos 团队使用黑洞法拦截或屏蔽了其全球网络上的所有 SSHPsychos 流量。对 SHPsychos 的反击成为该年度对黑客进行追缉的最大行动之一。鉴于 Talos 在阻止流氓行动方面的贡献,其在网络安全这个圈子里备受称赞,以今年5月份全球爆发的勒索病毒WannaCry为例, Talos首次得到样本60分钟内,AMP在终端、电子邮件、Web 网关以及网络安全产品中实现成功检测和阻止。

今年另一次大规模的恶意软件爆发,是Nyetya勒索软件。在病毒传播早期,由于监测到该活动影响的范围较广,Talos启动了称为TaCERS(Talos 重要事件响应系统)的内部研究和响应流程。根据终端遥测的结果,明确了名为“M.E.Doc”的乌克兰会计软件数据包便是攻击活动的中心源,Nyetya正是通过所有M.E.Doc更新系统的安装实现传播。Talos确定了攻击活动主动感染阶段的开始和结束时间,之后又确定了Nyetya的传播机制。当 M.E.Doc 设备执行初始样本时,命令行参数与在终端遥测所观察到数据完美匹配。

除了250名全职威胁情报研究人员以外,思科在全球还部署了上百万个遥测代理、1100个威胁追捕程序,拥有4个全球数据中心和超过100家威胁情报合作伙伴。根据ESG去年发布的调查报告,在全球18家网络安全威胁情报最佳提供商中,思科位列第一!Talos作为网络安全行业最大的安全研究团队,这也为思科的安全研究和安全产品服务提供了强大的后盾支持,当之无愧是一只搞安全研究“特种部队”!

扫一扫,与小编一起探讨CCIE安全

戳下面的原文链接,更有料
(0)

相关推荐

  • 网络安全之供应链安全:第三方软件供应商

    了解通过第三方软件供应商发起的供应链攻击示例,其中合法的工业控制系统可能被"木马化".自2011年以来,被称为 Dragonfly(也称为 Energetic Bear.Havex ...

  • 亚太地区网络间谍高级威胁行为者在新的攻击行动中有所升级

    2020年6月,卡巴斯基研究人员发现了一场针对越南政府和军事部门实体的高级网络间谍活动.最终的有效载荷是一个远程管理工具,它可以完全控制受感染的设备.进一步分析表明,这场攻击行动是由一个与Cyclde ...

  • 郭盛华:加强勒索软件防御的三个步骤

    由于对能源部门.食品供应链行业和其他关键基础设施的攻击已成为头条新闻,最近的勒索软件海啸使网络安全专业人士警告的停机和数据丢失的担忧变得栩栩如生. 对于跟踪这种威胁演变的行业专家来说,勒索软件的频率. ...

  • 主动防御简述

    主动防御 一.定义 二.主动防御和被动防御的比较 三.主动防御的方法 四.主动防御的作用 五.主动防御带来的隐患 六.关于主动防御中防守反击的建议 七.主动防御在国内外的发展 八.总结 主动防御可以指 ...

  • 网络安全之供应链安全:水坑攻击

    "水坑攻击",黑客攻击方式之一,顾名思义,是在受害者必经之路设置了一个"水坑(陷阱)".最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网 ...

  • UC头条:研究人员警告: Discord等办公协作平台正在被更多网络威胁参与者利用

    思科旗下 Talos 网络安全团队在本周发布的"协作应用程序滥用观察报告"中披露:过去一年时间里,网络威胁参与者已经越来越多地使用 Discord 和 Slack 等应用程序,来诱 ...

  • 勒索软件网络攻击致使美国最大的燃料管道关闭运营

    上周五,Colonial管道公司被勒索软件攻击,致使该公司停止的所有管道运营.周日晚上,该公司表示正在制定系统重启计划,终端和交付点之间的一些较小的横向线可以使用.截至周日晚上,Colonial的主线 ...

  • 勒索软件团伙利用 7

    出品|开源中国 文|Travis 一个勒索软件团伙仅仅通过使用 7-zip 压缩软件对 QNAP 设备上的文件进行远程加密,就在短短 5 天时间内赚取了 26 万美元. 从周一开始,世界各地的 QNA ...

  • 【安全圈】全球最大的保险巨头AXA遭勒索软件攻击

    据外媒报道称,保险巨头AXA集团在泰国.马来西亚.中国香港和菲律宾的分支机构遭到了勒索软件网络攻击. 针对此事,Avaddon勒索软件小组在其泄密网站上声称,他们从AXA亚洲业务中窃取了3TB的敏感数 ...

  • 【安全圈】DarkSide勒索软件服务器被查封,运营终止

    Intel471在最新发布的报告中透露,根据DarkSide发送给勒索软件会员的消息,"由于美国的压力",以及面向公众的服务器无法访问,DarkSide决定关闭其运营.根据该消息, ...

  • 网络安全软件/固件,防范勒索软件攻击的唯一手段?

    修复/感染后阶段是防范勒索软件攻击的关键阶段. " 作者 | 余快 近年来,利用勒索软件进行网络攻击的事件屡见不鲜.Colonial Pipeline攻击事件更是为企业机构敲响了警钟. 1 ...

  • 卡巴斯基:2020年是“勒索软件2.0”在亚太地区最有成效的一年

    卡巴斯基专家揭示该地区出现两个最为活跃的勒索软件家族,因此网络防御应当有所提高 卡巴斯基今天确认,2020年是亚太地区(APAC)的"勒索软件2.0"年.这家全球网络安全公司的专家 ...

  • 新型勒索软件以俄罗斯血统X战警“Epsilon Red”命名

     Epsilon Red 一个具有俄罗斯血统的 X 战警反派人物. 网络安全公司 Sophos 上周报道称,有人发现新型勒索软件Epsilon Red攻击了一家总部位于美国的酒店业公司.网络犯罪分子提 ...

  • 美国FBI有关勒索软件攻击的建议

    这几天,我们看到杀牛的那家公司支付了1100万美元赎金,那么在美国FBI对此事什么态度呢?我们根据美国互联网犯罪投诉中心资料一起了解详情. 所有勒索软件变体都对个人用户和企业构成威胁.最近的变种针对易 ...

  • 外媒:勒索软件为何如此危险且难阻止

    参考消息网6月4日报道 据美联社纽约6月2日报道,最近世界上最大的肉类加工企业和美国最大的输油管道都遭到"勒索软件"的攻击,引发世人瞩目.这些事件突出表明,敲诈勒索的黑客团伙会扰乱 ...