感染檢測
WannaCry惡意軟件的初始版本利用Server Message Block(SMB)協議來感染網絡上運行Microsoft Windows操作系統(tǒng)的計算機���,并進行傳播。借助Cisco Stealthwatch�����,網絡操作員可以監(jiān)控網絡內的SMB活動����。
Cisco Stealthwatch具有內建的報告功能,可以專門跟蹤和報告內部主機計算機與互聯網上主機之間的SMB流量����,此類流量是表明系統(tǒng)感染WannaCry的一個重要跡象。
WannaCry惡意軟件還使用SMB流量進行內部傳播��。Stealthwatch會檢測到相同子網內主機使用的SMB流量����,并將其判定為可疑活動。
Stealthwatch會針對可疑SMB活動發(fā)出多個提醒����。它尤其會關注針對大量不同主機發(fā)起的激增的SMB流量和SMB聯接�����。這一信息可幫助確定主機是否被WannaCry感染�����。
Stealthwatch還能夠檢測并報告到Tor網絡���、Bogon IP地址和已知命令與控制主機的聯接�。
借助持續(xù)更新的威脅情報源,Stealthwatch也能夠檢測到主機與Tor網絡和Bogon IP地址的通信���。這使得安全人員能夠發(fā)現任意聯接到互聯網上可疑主機的內部IP���。
傳播檢測
WannaCry惡意軟件的初始版本會在網絡內部橫向傳播(從主機到主機),以試圖感染盡可能多的主機����。在惡意軟件觸發(fā)其勒索軟件載荷前,這一傳播機制就已經開始�����。Stealthwatch能夠檢測到橫向移動事件,尤其是相同子網內系統(tǒng)間的此類移動�。
任意偵察和掃描活動,尤其是相同子網內的系統(tǒng)間的此類活動�����,都會被Stealthwatch跟蹤到���。
Stealthwatch蠕蟲傳播檢測報告功能可以跟蹤并關聯成功聯接到外部命令與控制主機的掃描活動���。WannaCry與其他蠕蟲病毒均有著類似的一致活動。
關聯
思科Stealthwatch將關聯在特定主機計算機上觀察到的不同活動���,并根據每次觀察所得的數字評分將該IP判定為可疑���。之后Stealthwatch會針對每個主機IP地址,基于一個指數累積這些評分��,然后發(fā)出名為“威脅指數”(Concern Index)的提醒����。威脅指數數值越高����,表明主機參與惡意活動的可能性越大��。
確定范圍和規(guī)避威脅
通過使用思科Stealthwatch Management Center和儀表板����,您可以輕松建立一份簡單的報告,列出所有存在可疑活動和可能被感染的系統(tǒng)���。借助集成的思科身份服務引擎(ISE)��,之后您可以隔離可疑計算機����,避免WannaCry進一步傳播��,直至威脅被修復�。
阻止WannaCry傳播
WannaCry在互聯網上大肆擴散�����,我們預計在未來幾年還將會看到更多變種��。利用Stealthwatch無處不在的滲透力和高級分析功能,您將可以盡早檢測到WannaCry活動����,阻止其在您的環(huán)境中進行傳播。
