蠕虫病毒是当前云上业务面临的主要威胁。它们利用服务器的漏洞在网络上扩散感染,执行各种恶意行为给用户资产和业务带来严重威胁。云防火墙针对蠕虫的攻击链路进行分层防御,可以检测和拦截多种蠕虫及其变种。同时可以基于云上风险态势,实时更新和扩展对最新蠕虫的检测和拦截能力。

蠕虫的威胁

蠕虫主要导致以下几种危害:

  • 业务中断:蠕虫在感染主机后,可能会进行修改配置、停止服务等操作,导致主机宕机、业务中断等风险。
  • 信息窃取:信息窃取类蠕虫,会将服务器上的数据打包回传,可能造成严重的信息泄漏资源滥用。
  • 监管封锁:蠕虫对外传播过程大量发包,可能导致IP被监管单位封禁,直接导致业务中断。
  • 勒索:包含勒索功能的蠕虫通过对文件加密进行勒索造成财产损失或导致数据丢失。

云防火墙解决方案

云防火墙针对蠕虫的攻击链路进行分层防御,可检测并拦截多种蠕虫及其变种。同时云防火墙也会基于云上风险态势,实时更新和扩展对最新蠕虫的检测和拦截能力。

典型的蠕虫类型如下:

  • DDG:利用Redis漏洞及爆破进行传播,感染后利用计算资源挖矿。
  • WannaCry:利用Windows 永恒之蓝漏洞进行传播,感染后主要进行勒索。
  • BillGates:利用爆破及应用漏洞进行传播,感染后构建僵尸网络进行DDOS攻击。

代表案例-DDG蠕虫

DDG是一种主要利用Redis漏洞及爆破等方式进行传播的活跃蠕虫,被感染的主机被加入僵尸网络后受控进行虚拟货币挖矿。

DDG蠕虫影响范围

  • 存在SSH弱口令的服务器
  • 存在漏洞的Redis或其他类型的数据库服务器

DDG蠕虫的主要危害

  • 业务中断:感染DDG蠕虫的主机主要被用来挖矿,挖矿会大量占用服务器计算资源,可能导致服务不可用或正常业务的中断。
  • 监管封闭:DDG蠕虫感染后会进一步扩散传播,可能会导致IP被监管单位封禁。

针对DDG攻击链的防御

云防火墙可针对DDG的攻击链进行实时检测和防御,从而阻断整个蠕虫的攻击和传播链路。

下图为云防火墙针对DDG攻击链的防御架构图:



云防火墙可提供以下三种防御类型:

  • 威胁情报:云防火墙可扫描侦查威胁情报,并提供中控情报阻断。
  • 基础规则:支持恶意软件检测、中控通信拦截、后门通信拦截。
  • 虚拟补丁:针对漏洞利用的防护补丁,可实时防护热门的应用高危漏洞。

操作步骤

  1. 登录云防火墙控制台
  2. 在控制台单击安全策略 > 入侵防御,进入入侵防御配置页面。
  3. 在威胁引擎模式选择模块勾选拦截模式

  4. 基础防御模块中单击开启基础规则威胁情报

  5. 虚拟补丁模块中单击开启补丁