蠕蟲是當前雲上業務面臨的主要威脅。它們利用伺服器的漏洞在網路上擴散感染,執行各種惡意行為給使用者資產和業務帶來嚴重威脅。Cloud Firewall針對蠕蟲的攻擊鏈路進行分層防禦,檢測和攔截多種蠕蟲及其變種。同時雲端式上風險態勢,即時更新和擴充對最新蠕蟲的檢測和攔截能力。本文介紹Cloud Firewall針對蠕蟲的防禦方案。
蠕蟲的威脅
蠕蟲主要導致以下幾種危害:
業務中斷:蠕蟲在感染主機後,可能會進行修改配置、停止服務等操作,導致主機宕機、業務中斷等風險。
資訊竊取:資訊竊取類蠕蟲,會將伺服器上的資料打包回傳,可能造成嚴重的資訊泄露、資源濫用。
監管封鎖:蠕蟲對外傳播過程大量發包,可能導致IP被監管單位封鎖,直接導致業務中斷。
勒索:包含勒索功能的蠕蟲通過對檔案加密進行勒索,造成財產損失或導致資料丟失。
Cloud Firewall解決方案
Cloud Firewall針對蠕蟲的攻擊鏈路進行分層防禦,可檢測並攔截多種蠕蟲及其變種。同時Cloud Firewall也會雲端式上風險態勢,即時更新和擴充對最新蠕蟲的檢測和攔截能力。
典型的蠕蟲類型如下:
DDG:利用Redis漏洞及爆破進行傳播,感染後利用計算資源挖礦。
WannaCry:利用Windows漏洞進行傳播,感染後主要進行勒索。
BillGates:利用爆破及應用漏洞進行傳播,感染後構建殭屍網路進行DDoS攻擊。
代表案例-DDG蠕蟲
DDG是一種主要利用Redis漏洞及爆破等方式進行傳播的活躍蠕蟲,被感染的主機被加入殭屍網路後受控進行虛擬貨幣挖礦。
DDG蠕蟲影響範圍
存在SSH弱口令的伺服器。
存在漏洞的Redis或其他類型的資料庫伺服器。
DDG蠕蟲的主要危害
業務中斷:感染DDG蠕蟲的主機主要被用來挖礦,挖礦會大量佔用伺服器計算資源,可能導致服務不可用或正常業務的中斷。
監管封閉:DDG蠕蟲感染後會進一步擴散傳播,可能會導致IP被監管單位封鎖。
針對DDG攻擊鏈的防禦
Cloud Firewall可針對DDG的攻擊鏈進行即時檢測和防禦,從而阻斷整個蠕蟲的攻擊和傳播鏈路。
下圖為Cloud Firewall針對DDG攻擊鏈的防禦架構圖:
Cloud Firewall可提供以下四種防禦類型:
防護白名單:Cloud Firewall入侵防禦模組不會對防護白名單中的流量進行攔截,加入到防護白名單的源/目的IP會被Cloud Firewall視為可信流量並允許存取。
威脅情報:Cloud Firewall可掃描偵查威脅情報,並提供情報阻斷。
基礎規則:支援惡意軟體檢測、通訊攔截、後門通訊攔截。
虛擬補丁:針對漏洞利用的防護補丁,可即時防護熱門的應用高危漏洞。
操作步驟
在左側導覽列,選擇。
在IPS配置頁面威脅引擎運行模式模組選擇攔截模式-寬鬆。
在進階設定模組中單擊防護白名單,將內外雙向流量的可信源源IP地址、目的IP地址或地址簿配置到防護白名單中。
在威脅情報模組中單擊開啟威脅情報。
在基礎防禦模組中單擊開啟基礎規則。
在虛擬補丁模組中單擊開啟補丁。
Cloud Firewall的入侵防禦策略配置的更多詳細內容,請參見IPS配置。