新一轮比特币勒索来袭，看中兴通讯uSmartDC云数据中心如何防范

2017-07-06 19:35来源:中兴

原标题：新一轮比特币勒索来袭，看中兴通讯uSmartDC云数据中心如何防范

近日，全球遭受新一轮网络勒索病毒攻击，波及60个国家和地区，约30万用户受到严重影响，数家企业被迫中断业务或停止生产。据报道，美国、俄罗斯、丹麦、乌克兰，欧洲等多国企业和政府系统中招，中毒者电脑被锁，要求支付300美元的加密数字货币才能解锁。

中兴通讯积极应对，在病毒爆发的最初一刻就敏锐地察觉到了危险，第一时间给出了uSmartDC中兴通讯云数据中心基于端点防御技术的防勒索解决方案，最大限度保证客户的系统安全，全力维护客户的利益。

中兴通讯认为针对当前高发的勒索攻击，仅边界安全方案已不可靠。uSmartDC作为中兴通讯云数据中心整体解决方案，通过集成防勒索攻击安全控制模块，提供了基于端点防护的防勒索功能。防勒索安全控制模块实现了统一安全策略配置和下发、勒索行为的预警和文件堡垒管理等功能，弥补了边界防护的不足，保护了客户的数据安全。

中兴通讯uSmartDC云数据中心

防勒索部署方案

防勒索对抗系统与数据中心的租户安全方案结合，采用端点探针，租户安全管理节点，防勒索管理节点的方式部署。

端点探针：在端点层（物理机、虚拟机）部署轻量级行为监测探针，通过对端点操作和进程行为的时间序列自学习建立端点行为基线库，对操作/进程行为进行甄别、并匹配勒索行为样本库定义实现对威胁态势实时分析和感知，开奖，可按策略对攻击行为执行阻断。

租户安全管理节点：提供租户的策略配置，勒索行为预警及上报，文件堡垒管理等功能。

防勒索管理节点：提供统一的策略配置和下发，勒索行为的预警，和文件堡垒的管理功能。

uSmartDC云数据中心防勒索解决方案基于操作和进程行为特征分析进行勒索攻击检测，能实时阻断勒索。文件堡垒对勒索攻击前未感染用户文件的预知性备份，阻断查杀完成后，按需恢复。做到了攻击前备份，日常检测，预警，阻杀，及恢复，是业界第一个具备全流程防勒索功能的云数据中心解决方案。

与传统的特征代码检测法，校验和法，软件模拟法相比，uSmartDC中兴通讯云数据中心防勒索方案的行为检测法可发现未知勒索病毒及其变种、可精准地预报未知病毒并第一时间阻止勒索行为。基于一定规模的恶意代码行为库，能够对系统内核、驱动、进程、指令等诸多对象进行跨时空数据分析。

中兴通讯uSmartDC云数据中心

防勒索原理

1

如何检测

勒索阻击的前提是检测，勒索攻击存在共同且比较特殊的行为，监测行为特征通常包括： INT 13H异常占用；修改系统为数据区的内存总量；对COM、EXE文件做写入动作；病毒程序与宿主程序的切换；文件浏览及异常加密等操作。

端点探针自带勒索行为特征库，将检测到的可疑行为与勒索行为特征库作加权比对，用以确定该行为的可疑与否。开启该功能，将直接阻拦可疑勒索行为，关闭则仅执行可疑勒索行为搜集而不作判断和阻拦；端点探针具有操作和进程行为的自动学习能力，提高攻击行为判断灵敏度，减少误判。

通过向用户提供自行定义检测行为和预警推送的接口，直播，扩充了检测内容和范围，并能定期向用户推送勒索威胁预警。

图1：5/12大爆发的WannaCry勒索软件的报警截图

2

如何阻击

端点探针通过勒索网络回连协议自动识别阻断勒索回连；对异常内网复制行为识别，与“内网连接通道阻断”联动以阻止异常复制行为；对于未知漏洞（0-day），基于攻击行为特征库结合恶意代码的行为分析等判定攻击的可疑行为，以导致的结果为判断依据，若判断为攻击则及时阻断。

图2：提权阻断，并发出警报

3

如何备份