[网络安全自学篇] 七十一.深信服分享之外部威胁防护和勒索病毒对抗

这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您们喜欢，一起进步。前面三篇文章详细分享了WannaCry勒索病毒，包括病毒复现、IDA和OD逆向分析蠕虫传播、防护措施等，那么如何防护呢？所以，接下来这篇文章作者将分享来自深信服老师的《外部威胁防护和勒索病毒对抗》，带领大家看看知名安全厂商的威胁防护措施，包括网络安全面临的挑战、如何有效的应对挑战、深信服安全建设之道等。基础性文章，希望对您有所帮助，如果存在错误或不足之处，还望告知，加油！

作者作为网络安全的小白，分享一些自学基础教程给大家，主要是关于安全工具和实践操作的在线笔记，希望您们喜欢。同时，更希望您能与我一起操作和进步，后续将深入学习网络安全和系统安全知识并分享相关实验。总之，希望该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！如果文章对您有帮助，将是我创作的最大动力，点赞、评论、私聊均可，一起加油喔~

PS：本文参考了B站漏洞银行、安全网站和参考文献中的文章（详见参考文献），并结合自己的经验和实践进行撰写，也推荐大家阅读参考文献，在此感谢这些大佬们。

作者的github资源：
软件安全：https://github.com/eastmountyxz/Software-Security-Course
其他工具：https://github.com/eastmountyxz/NetworkSecuritySelf-study
Wannacry分析：https://github.com/eastmountyxz/WannaCry-Experiment

声明：本人坚决反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络需要我们共同维护，更推荐大家了解它们背后的原理，更好地进行防护。

前文学习：
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
[网络安全自学篇] 二.Chrome浏览器保留密码功能渗透解析及登录加密入门笔记
[网络安全自学篇] 三.Burp Suite工具安装配置、Proxy基础用法及暴库示例
[网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
[网络安全自学篇] 五.IDA Pro反汇编工具初识及逆向工程解密实战
[网络安全自学篇] 六.OllyDbg动态分析工具基础用法及Crakeme逆向
[网络安全自学篇] 七.快手视频下载之Chrome浏览器Network分析及Python爬虫探讨
[网络安全自学篇] 八.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
[网络安全自学篇] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性
[网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
[网络安全自学篇] 十一.虚拟机VMware+Kali安装入门及Sqlmap基本用法
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码（一）
[网络安全自学篇] 十三.Wireshark抓包原理（ARP劫持、MAC泛洪）及数据流追踪和图像抓取（二）
[网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通信（一）
[网络安全自学篇] 十五.Python攻防之多线程、C段扫描和数据库编程（二）
[网络安全自学篇] 十六.Python攻防之弱口令、自定义字典生成及网站暴库防护
[网络安全自学篇] 十七.Python攻防之构建Web目录扫描器及ip代理池（四）
[网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示（一）
[网络安全自学篇] 十九.Powershell基础入门及常见用法（一）
[网络安全自学篇] 二十.Powershell基础入门及常见用法（二）
[网络安全自学篇] 二十一.GeekPwn极客大赛之安全攻防技术总结及ShowTime
[网络安全自学篇] 二十二.Web渗透之网站信息、域名信息、端口信息、敏感信息及指纹信息收集
[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
[网络安全自学篇] 二十四.基于机器学习的恶意代码识别及人工智能中的恶意代码检测
[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防御初探
[网络安全自学篇] 二十六.Shodan搜索引擎详解及Python命令行调用
[网络安全自学篇] 二十七.Sqlmap基础用法、CTF实战及请求参数设置（一）
[网络安全自学篇] 二十八.文件上传漏洞和Caidao入门及防御原理（一）
[网络安全自学篇] 二十九.文件上传漏洞和IIS6.0解析漏洞及防御原理（二）
[网络安全自学篇] 三十.文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御（三）
[网络安全自学篇] 三十一.文件上传漏洞之Upload-labs靶场及CTF题目01-10（四）
[网络安全自学篇] 三十二.文件上传漏洞之Upload-labs靶场及CTF题目11-20（五）
[网络安全自学篇] 三十三.文件上传漏洞之绕狗一句话原理和绕过安全狗（六）
[网络安全自学篇] 三十四.Windows系统漏洞之5次Shift漏洞启动计算机
[网络安全自学篇] 三十五.恶意代码攻击溯源及恶意样本分析
[网络安全自学篇] 三十六.WinRAR漏洞复现（CVE-2018-20250）及恶意软件自启动劫持
[网络安全自学篇] 三十七.Web渗透提高班之hack the box在线靶场注册及入门知识（一）
[网络安全自学篇] 三十八.hack the box渗透之BurpSuite和Hydra密码爆破及Python加密Post请求（二）
[网络安全自学篇] 三十九.hack the box渗透之DirBuster扫描路径及Sqlmap高级注入用法（三）
[网络安全自学篇] 四十.phpMyAdmin 4.8.1后台文件包含漏洞复现及详解（CVE-2018-12613）
[网络安全自学篇] 四十一.中间人攻击和ARP欺骗原理详解及漏洞还原
[网络安全自学篇] 四十二.DNS欺骗和钓鱼网站原理详解及漏洞还原
[网络安全自学篇] 四十三.木马原理详解、远程服务器IPC$漏洞及木马植入实验
[网络安全自学篇] 四十四.Windows远程桌面服务漏洞（CVE-2019-0708）复现及详解
[网络安全自学篇] 四十五.病毒详解及批处理病毒制作（自启动、修改密码、定时关机、蓝屏、进程关闭）
[网络安全自学篇] 四十六.微软证书漏洞CVE-2020-0601 (上)Windows验证机制及可执行文件签名复现
[网络安全自学篇] 四十七.微软证书漏洞CVE-2020-0601 (下)Windows证书签名及HTTPS网站劫持
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
[网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
[网络安全自学篇] 五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码
[网络安全自学篇] 五十一.恶意样本分析及HGZ木马控制目标服务器
[网络安全自学篇] 五十二.Windows漏洞利用之栈溢出原理和栈保护GS机制
[网络安全自学篇] 五十三.Windows漏洞利用之Metasploit实现栈溢出攻击及反弹shell
[网络安全自学篇] 五十四.Windows漏洞利用之基于SEH异常处理机制的栈溢出攻击及shell提取
[网络安全自学篇] 五十五.Windows漏洞利用之构建ROP链绕过DEP并获取Shell
[网络安全自学篇] 五十六.i春秋老师分享小白渗透之路及Web渗透技术总结
[网络安全自学篇] 五十七.PE文件逆向之什么是数字签名及Signtool签名工具详解（一）
[网络安全自学篇] 五十八.Windows漏洞利用之再看CVE-2019-0708及Metasploit反弹shell
[网络安全自学篇] 五十九.Windows漏洞利用之MS08-067远程代码执行漏洞复现及shell深度提权
[网络安全自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令
[网络安全自学篇] 六十一.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1View等工具用法（二）
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改（三）
[网络安全自学篇] 六十三.hack the box渗透之OpenAdmin题目及蚁剑管理员提权（四）
[网络安全自学篇] 六十四.Windows漏洞利用之SMBv3服务远程代码执行漏洞（CVE-2020-0796）复现及详解
[网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例（一）
[网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用（二）
[网络安全自学篇] 六十七.WannaCry勒索病毒复现及分析（一）Python利用永恒之蓝及Win7勒索加密
[网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析（二）MS17-010利用及病毒解析
[网络安全自学篇] 六十九.宏病毒之入门基础、防御措施、自发邮件及APT28样本分析
[网络安全自学篇] 七十.WannaCry勒索病毒复现及分析（三）蠕虫传播机制分析及IDA和OD逆向

前文欣赏：
[渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
[渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
[渗透&攻防] 三.数据库之差异备份及Caidao利器
[渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包

---

一.网络安全面临的挑战

分享之前，作者先感谢深信服的老师和B站UP主漏洞银行大佬，这篇文章包括了大量高级可持续威胁的防御技术，既可运用于科学研究，又可用于实战，并且提供了丰富的思想，再次感谢他们，后续作者会结合实战技术深入理解这些方法，包括基于人工智能的检测和基于词法语法的样本分析。

现在市面上各种勒索病毒、利用服务器资源进行比特币挖矿的病毒、数据库脱裤越来越多。那么，这些外部威胁如何防护呢？深信服老师讲述了《面向外部威胁防护视角的敏捷安全架构》，解决这些安全问题。

首先，介绍几个典型的网络安全事件，包括平昌冬奥会开幕式网站被攻击、中国企业被美俄两国黑客攻击、台积电遭到勒索病毒攻击等等。同时，看到了医疗行业被勒索、思科设备存在高危漏洞、国际黑客攻击我们的系统。

安全事件频发的今天，我们从中分析下为什么会出现这样的状况呢？下图展示了安全事件的演变流程。

• 早期90年代（恶意代码）： 国内90年代爆发的是僵尸、木马、蠕虫，包括熊猫烧香这种病毒不断扩散我们的网络。早期是以恶意代码的方式进行的网络攻击，通过简单IP端口、协议、通信机制等网络要素就能隔离传播途径。
• 互联网时代（应用层威胁）： 2000年之后进入互联网时代，基于Web的B\S架构的开发越来越多，该阶段衍生出很多面向应用层的高级别威胁，比如通过邮件附件、文件、社交媒体等带来大量病毒入侵企业。此时，仅仅通过IP端口和协议不在适用，如果不能检查其内容会有很多潜藏的病毒，安全事件逐渐向高层次发展。
• 棱镜门事件（高级可持续）： 国内比较重视安全是2013年棱镜门事件爆发之后，美国很多年以前就开启了监控计划，棱镜门是把它暴露到了全世界的视角下，我国也做了很多安全措施，包括赛门铁克撤出、政府采购等。国家武器库在该时期也走进了全世界视角，包括利用永恒之蓝、0DAY漏洞去攻击我们的核心系统等，也会看到高持续的威胁，包括社会工程的变化。

利益驱动网络空间威胁不断进化，攻防态势已从已知威胁的防御，升级到对未知威胁甚至高级威胁的对抗。APT网络攻击融合了隐蔽隧道、病毒变种、攻击混淆等技术。

接着看看企业安全建设的情况，安全问题主要包括两方面：

• 安全暴露面多： 现在外部威胁和攻击手法越来越多，包括扫描渗透、邮件传播、社会工程、高危漏洞、恶意软件、0day漏洞、U盘传播等。同时，为了对外提供更加精准的服务和营销，业务和数据变得越来越集中，业务开放之后安全暴露面也不断扩大，会产生更大的安全风险。
• 被动响应式防御： 企业面临的现状是安全人员并不一定能够把当前攻防趋势研究透彻，安全人员会维护各种各样的安全设备，比如Web安全、数据库安全、终端安全等，海量日志充满了噪声，只能通过被动响应式的威胁防御。

随之而来的是企业的安全运营工作开展困难，包括统一运营能力缺失、洞悉风险能力缺失、快速响应能力缺失等。当前很多企业并没有这种设备统一管理以及日志统一分析能力，不能有效地聚合成一个安全事件，从而错过最佳的营救时间。

---

二.如何有效的应对挑战

针对上述问题，当前客户面临的安全问题从外至内如下图所示，其中大部分问题都来自于网络和端点，故分为网络安全问题和终端安全问题。包括：

• 访问控制： 对外部互联网主机无法进行有效隔离控制，缺乏访问控制等基本手段。
• 入侵防御： 对操作系统、数据库、Web服务等存在的漏洞利用行为无法有效防御。
• 业务保护： 针对业务服务器的攻击，如非法扫描、数据注入、后门植入等攻击无法有效防御。
• 网站监测： 无法持续监测网站篡改、挂马、黑链、漏洞等事件，需要管理员三班倒监控风险。
• 勒索病毒： 无法在网络流量测防御来自邮件、FTP、SMB协议传输，导致的勒索病毒入侵行为。
• 未知威胁： 本地无法识别的未知文件、未知连接、未知域名直接放心，导致内网受到严重危害。
• 行为监控： 内部员工通过U盘、即时通讯等将病毒带入企业内部，无法有效根治。
• 威胁隔离： 受感染主机会快速将病毒扩散到其他内网主机，导致损失进一步扩大。
• 环境兼容： 企业采用虚拟化技术来提供虚拟桌面，虚拟桌面缺乏有效防御威胁的手段。
• 终端防御： 对新型的勒索病毒、挖矿病毒等攻击无法进行有效防御。

深信服提出了如下的建设思路：

(1) 安全需要纵深保护
加强安全基础性保障建设，通过设备间协同联动在防御机制上形成合力，包括网络保护、终端安全、协同联动。你可能会疑惑？我们企业购买了防火墙，是不是就意味着安全。其实，买了防火墙只是做了访问控制，买了终端只是做了静态的病毒库，而且更新不具有时效性，这种情况应对现在变化的网络很难有效，所以提出了协同联动的机制，网络和终端通过信息共享，威胁情报互换充分二次校验威胁。

以勒索病毒为例，为什么传统的防护方案总是呢？

• 第一步，外网到内网的传播
  首先在攻击手段上就有很多方式，包括钓鱼邮件、水坑站点、捆绑下载等。

• 第二步，安装与C&C通信
  当我们勒索病毒在我们的服务器爆发之后，它通常都会和互联网的主控台建立反向连接，我们称为C&C互联。接着互联网主控台就会下发一些恶意指令，比如加密文件、回传信息、病毒特征掩饰等。

• 第三步，漏洞利用提权/加密勒索
  程序开始在系统中释放，包括很多操作系统提权操作、代码混淆等。

• 第四步，横向持续扩散
  接着横向传播感染更多的服务器，包括RDP爆破、蠕虫式传播等。

所以传统防火墙如果只是做了业务层的访问控制，杀毒仅覆盖已知的病毒库，那很可能方案是失效的。

(2) 安全需要快速处置
第二个主要是安全管理的能力，包括攻击开始、停留时间、响应时间等检测。从扫描入侵开始，如果设备安全能力较足，越早发现越好。同时，从识别到响应也需要一定时间，比如样本提取、样本分析等。威胁清除方法包括：登录防火墙查看安全日志、判断威胁等级及严重性、定位疑似IP及电话询问用户、病毒扫描及定位威胁和事件。如何更好、更快的检测威胁尤为重要。

(3) 安全需要能力不断升级，对抗APT风险
虽然网络设备和端点设备非常依赖样本特征，但如何保障企业限有投资应对未来未知的威胁也非常重要。基于大数据提供动态变化的威胁情报，应用多种创新技术手段加强抵御外部不断变化的高级威胁，包括预测、防御、响应和检测。

举个例子，我本地看到一个IP，我不知道它是好是坏，但是我把这个IP传到云端，云端通过庞大的威胁校验机制判断该IP来自哪个国家、曾经攻击过哪个企业、IP关联的黑客家族、文件样本等。云端把IP信息告诉本地设备，从而确定该IP有害并加入黑名单，通过本地设备和云端实时互联，提高威胁情报检测能力，也是当前业界比较热门的方向。

当然威胁情报提炼会有各种技术，包括人工智能技术、流量分析技术、僵尸网络检测引擎等，最终企业面对勒索病毒、挖矿病毒、0day漏洞等高危攻击，可以持续的利用云端大数据情报进行应对。

简单总结下该部分，深信服公司提出了三点概念用于安全体系建设，包括：

• 纵深保护
• 快速处置
• 能力升级

---

三.深信服安全建设之道

具体的建设过程提出了“网络+终端+云端”的体系化建设思路。通过网络终端实现纵深保护，云端和本地结合可视化展现风险及快速处置，并升级能力进行有效保护。日志可以统一发送给云端平台，云端再进行日志分析洞悉威胁，定位位置并给出处理建议。

下图展示了网端云如何保障安全的框架，整个统一安全能力中心包括设备管理、数据分析和威胁处置，结合端点和网络进行双向溯源、智能联动的安全保护，具体能力涉及：

• 安全规则更新
• 全球威胁情报查询
• 勒索病毒响应
• 云端沙箱监测分析

---

1.网的保护

使用下一代防火墙进行网的保护（L2-L7层网络风险全面防御），具体内容包括：

• 响应：联动EDR清除终端病毒、联动封锁攻击源
• 检测：黑链检测、Webshell后门检测、失陷主机检测模
• 防御：Web应用防护、入侵防御模块IPS、SAVE防病毒引擎、URL过滤及应用特征识别、ARP欺骗防御及DDoS防御
• 预防：误配置、弱口令、漏洞检查、资产梳理、端口开放检查

优势如下：

• 优势一：基于人工智能的网络防病毒能力
  通过人工智能有监督学习、无监督学习自动化地监控病毒的微小变化，包括主流及热点病毒防御、人工智能算法抵御未知病毒、不依赖特征更新和资源占用小。

• 优势二：全面的Web防御能力
  针对Webshell、网页木马、目录遍历、SQL注入、XSS攻击、跨站请求伪造等各种攻击防御，从而防止企业数据泄露、网页篡改、行政处罚、信誉受损。之前的检测方法是在SQL语句中寻找静态特征，但会存在很多误判或漏判的情况，目前采用 基于语法词法分析的算法，从代码的执行含义层面进行分析，从而进行精确判断。

• 优势三：失陷主机的全面检测
  我们的服务器在部署防火墙之前，可能有病毒潜伏了很多年，定期偷改数据。如果能在网络侧构建一个反方向的连接流量，由于所有执行指令都需要跟外部主控台做连接，如果能在防火墙或流量侧捕获到这种恶意连接，就表示成功了。
  
  勒索病毒中招不是最可怕的，最可怕的是它会不断高频回联，定期偷数据或进行恶意指令加密服务器的文档。我们可以基于连接的频率、连接的时段进行检测，比如夜间突然连接频率增大，并且连接国外的服务器，此时就表示主机已经失陷，此时需要在网络侧定义很多域名，告诉终端产品并找到异常进程，最终杀掉该进程即可防御。采用基于网络流量分析及智能算法，持续监测网络异常风险。

---

2.端的保护

智能检测提供全面的终端保护，具体内容包括：

• 响应：文件修复、一键隔离风险、溯源分析
• 检测：病毒全局抑制机制、文件实时监控及主动扫描
• 防御：恶意程序诱捕及病毒防扩散、勒索及挖矿变种防护、常规及高危病毒防护、东西向微隔离（主机访问控制）
• 预防：补丁管理及基线检查

• 优势一：全面的终端病毒防御能力
  评价一款杀毒的好坏主要包括两个指标——病毒检出率、病毒误报率。深信服人工智能杀毒引擎SAVE创新人工智能无特征技术，能准确检测未知病毒，并且其代码执行的病毒检出率较高。

• 优势二：东西向微隔离动态防御技术
  病毒和蠕虫通常会传播感染，而东西向访问控制，可以基于主机间访问控制进行主机隔离。

• 优势三：病毒诱捕及全局抑制
  这是另一个创新，会在操作系统的关键路径放置一些伪造的疑似样本，如果鱼钩文件被加密，就认为勒索病毒上钩，把加密的进程特征进行提取，并告知终端管理平台，从而向EDR终端客户端传达，只要发现具有该特征的样本就是勒索病毒。实现单点检测和全局抑制。

3.云的赋能

云端产品具有网端安全赋能、智能安全运营，具体内容如下：

• 能力实时更新：安全规则更新、云端沙箱监测、全球情报联动、动态引擎更新、动态实时赋能
• 智能安全运营：统一运维管理、微信告警闭环、统一分析展示、专家在线分析、网端日志聚合

• 优势一：统一分析与展示信息
  在运营侧，会统一分析与展示信息，安全专家和设备都会做相关的分析。架构如下图所示：

具体效果如下图所示，包括核心资产、安全概括、外部攻击等。

最后是威胁事件的概括，包括外部攻击事件、内部脆弱性事件等。

• 优势二：网端云协同举证、一键处置、智能免疫，简化安全运营
  以勒索病毒为例，首先服务器会计算夜间外连多少次，以及手段、模式和IP来自的国家；网络侧会定位域名，推送给终端，终端关联发起域名进程的文件，接着进行反向追溯。

云端大数据会鉴别疑似和有害的域名、进程，从而构建风险标签，比如某个进程对应的是可能木马。

最后进行一键查杀，保证企业安全。

• 优势三：风险快速处置闭环
  由于安全人员不会实时盯着系统，对于安全事件，我们会和微信端或APP结合，快速处置风险。

平台闭环和微信推送相关事件，从而处理掉异常进程。

同样，黑色链接也可以进行网站下线，僵尸网络通信行为也可以隔离。

• 优势四：统一运维管理
  包括设备管理大屏幕、智能监控、智能告警、报表分析、远程接入等。

• 优势五：动态实时赋能
  依赖各种社区和平台进行未知威胁动态监测，安全规则更新，包括融合Virustotal、火绒安全、CNVD、瑞星等安全厂商的情报。

和传统对抗手段的效果对比如下图所示：

---

四.总结

写到这里，这篇文章就介绍完毕。主要讲解了深信服老师分享的知识点，希望您喜欢~

• 网络安全面临的挑战
• 如何有效的应对挑战
• 深信服安全建设之道
  – 网的保护
  – 端的保护
  – 云的赋能

最近WannaCry动态调试真的好难，做了两周的研究，包括传播和勒索部分，接下来真的要认知学习IDA和OD逆向分析。也非常感谢老师和师弟们的悉心教导，加油~

这篇文章中如果存在一些不足，还请海涵。作者作为网络安全初学者的慢慢成长路吧！希望未来能更透彻撰写相关文章。同时非常感谢参考文献中的安全大佬们的文章分享，感谢师傅、师兄师弟、师姐师妹们的教导，深知自己很菜，得努力前行。

欢迎大家讨论，是否觉得这系列文章帮助到您！任何建议都可以评论告知读者，共勉。

(By:Eastmount 2020-04-29 下午5点写于贵阳 http://blog.csdn.net/eastmount/ )

---

参考文献：
[1] 外部威胁防护-勒索病毒对抗 —— 网安先行系列公开课 第五期 - B站深信服老师