安恒主机卫士EDR-勒索专防专杀解决方案9.3-修正版

修正版修正版安恒主机卫士(EDR)勒索专防专杀解决方案杭州安恒信息技术股份有限公司DATE\@"EEEE年O月"二〇二〇年二月目录2811需求概述 1232941.1勒索病毒简介 18181.2勒索过程分析 148892方案目标 228963方案设计 398823.1设计理念 356003.2方案部署 3240153.3勒索处理流程 4310193.3.1确认感染勒索病毒，被加密前部署EDR 4287483.3.2开启专利级勒索防御双重引擎 518493.3.3一键应用“永恒之蓝勒索挖矿防御”批量配置模板，双向隔离445端口 514593.3.4观察进程启动日志、勒索加密阻断日志，定位病毒源 6225183.3.5批量查杀病毒并复查 6291253.3.6配置定期巡检与漏洞扫描进行系统加固 6177923.4总结 7117843.5产品兼容性 8132393.5.1管理控制中心 8259853.5.2终端 8178073.5.3Web中间件 8需求概述勒索病毒简介勒索病毒，是一种新型\t"/item/%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92/_blank"电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。勒索病毒利用各种非对称加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。勒索病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。勒索过程分析勒索病毒文件一旦进入本地，就会自动运行。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器，进而上传本机信息并下载加密公钥，利用加密公钥对文件进行加密。除了拥有解密私钥的攻击者本人，其他人是几乎不可能解密。加密完成后，通常还会修改壁纸，在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。勒索病毒变种类型非常快，对常规的\t"/item/%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92/_blank"杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主，对常规依靠特征检测的安全产品是一个极大的挑战。勒索流程图如下：图1.1勒索流程图

方案目标根据以往安恒信息对勒索病毒的研究发现，勒索病毒的变种通常可以隐藏自己的特征，但勒索病毒想要完成加密过程以达到勒索的目的，关键的行为是无法隐藏的。经过分析可以发现勒索病毒在运行的过程中的行为主要包括以下几项：通过脚本文件进行Http请求；通过脚本文件下载文件；读取远程服务器文件；收集计算机信息；进程遍历文件；调用加密算法运行加密进程。所以本方案的目标如下：事前部署：风险评估，评估感染勒索病毒的可能性，进行针对性安全加固，避免感染勒索病毒；事中部署：通过在勒索病毒加密前部署EDR，达到隔离病毒、定位病毒程序源、查杀病毒、进行系统加固的目的；事后部署：清除残余病毒，进行系统加固，杜绝再次感染。方案设计设计理念安恒信息在深入分析与研究勒索病毒的基础上，总结归纳勒索病毒的攻击方式和行为特征后，提出了以明御®主机安全及管理系统又称安恒主机卫士（EndpointDetectionandResponse，以下简称EDR）为基础的解决方案。本产品具备诱饵捕获引擎、内核级流量隔离等行业领先技术。对于已知勒索病毒，通过“进程启动防护引擎”零误报零漏报查杀；对于未知勒索病毒，采用“专利级诱饵引擎”进行捕获，阻断其加密行为；通过内核级的流量隔离技术，自动阻止勒索病毒在内网扩散或者接收远程控制端指令。同时，还提供勒索保险业务，全方位应对勒索病毒。方案部署明御®主机安全及管理系统由管理控制中心和监控端组成，管理控制中心部署在独立提供的服务器或PC机(Linux系统)上，监控端软件安装在需要被监控的主机设备上。管理控制中心主要功能为把多个监控端信息集中于一体，便于集中管理、应急和配置安全策略，聚合监控端情报信息。在部署明御®主机安全及管理系统时，首先架设管理控制中心，然后在主机上安装监控软件，通过配置管理控制中心的IP地址+端口信息，即可实现管理控制中心与监控端的安全连接。云租户可在管理控制中心查看服务器资产详细信息。部署示意图如下：图3.1部署示意图勒索处理流程确认感染勒索病毒，被加密前部署EDR；开启专利级勒索防御双重引擎；一键应用“永恒之蓝勒索挖矿防御”批量配置模板，双向隔离445端口；观察进程启动日志、勒索加密阻断日志，定位病毒源；批量查杀病毒并复查；配置定期巡检与漏洞扫描进行系统加固；确认感染勒索病毒，被加密前部署EDR未安装EDR的情况下，通过任务管理器或其他途径发现感染勒索病毒，但文件还未被加密时，紧急部署EDR。具体现象举例：APT等设备大量告警；系统短周期重启（5分钟左右）；Svchost.exe、taskmgr.exe等进程持续大量占用CPU；无故蓝屏开启专利级勒索防御双重引擎主机部署EDR客户端后，通过管理平台立即开启EDR资产列表-对应资产详情-工具箱-勒索防御-实时防御中的勒索软件启动防护引擎与专利级勒索软件加密防护引擎。EDR专利级防加密引擎在内核层预置诱饵文件，面对未知类型的勒索病毒，在加密程序运行时可立即阻断，并记录其特征，作为守护文件安全的最后一道防线。一键应用“永恒之蓝勒索挖矿防御”批量配置模板，双向隔离445端口通过EDR微隔离功能，封堵445端口，阻止其他主机探测本地的445端口，同时阻止本地端口向外发包探测局域网内其他主机的445端口。下图即批量配置功能内置的“永恒之蓝勒索挖矿防御”模板内容：涉及其他端口可录制相应模板。观察进程启动日志、勒索加密阻断日志，定位病毒源病毒进程试图启动进行自我复制等行为就会触发EDR的进程防护，通过查看EDR的日志，可看到大量进程防护（阻止已知勒索病毒启动）或勒索深度防护（阻止未知勒索病毒加密）记录。通过日志给出的位置来逐步定位攻击源。批量查杀病毒并复查通过EDR的病毒查杀功能，配合通过日志定位到的攻击源，进行病毒查杀，病毒可一键隔离或清除。通过批量配置可快速为大量资产配置查杀策略。清除病毒后进行复查。配置定期巡检与漏洞扫描进行系统加固通过EDR定期巡检功能，与批量配置配合，配置所有主机定时开始病毒查杀与漏洞修复，可避开资源占用高峰期，及时修复漏洞，加固主机安全。总结EDR的“三级盾牌”勒索防御总结如下：第一级盾牌：风险评估，提前加固；第二级盾牌：勒索软件启动防护引擎，防御已知的勒索程序；第三级盾牌：勒索软件加密防护，诱饵捕获引擎，防御未知的勒索程序。EDR处理勒索病毒流程图如下：图3.5明御®主机安全及管理系统处理勒索病毒流程图产品兼容性管理控制中心CentOS6.5以上。终端Windowsserver2008、Windowsserver2012、Windowsserver20