蠕虫病毒是当前云上业务面临的主要威胁。它们利用服务器的漏洞在网络上扩散感染,执行各种恶意行为给用户资产和业务带来严重威胁。云防火墙针对蠕虫的攻击链路进行分层防御,检测和拦截多种蠕虫及其变种。同时基于云上风险态势,实时更新和扩展对最新蠕虫的检测和拦截能力。本文介绍云防火墙针对蠕虫病毒的防御方案。
蠕虫的威胁
蠕虫主要导致以下几种危害:
业务中断:蠕虫在感染主机后,可能会进行修改配置、停止服务等操作,导致主机宕机、业务中断等风险。
信息窃取:信息窃取类蠕虫,会将服务器上的数据打包回传,可能造成严重的信息泄露、资源滥用。
监管封锁:蠕虫对外传播过程大量发包,可能导致IP被监管单位封禁,直接导致业务中断。
勒索:包含勒索功能的蠕虫通过对文件加密进行勒索,造成财产损失或导致数据丢失。
云防火墙解决方案
云防火墙针对蠕虫的攻击链路进行分层防御,可检测并拦截多种蠕虫及其变种。同时云防火墙也会基于云上风险态势,实时更新和扩展对最新蠕虫的检测和拦截能力。
典型的蠕虫类型如下:
DDG:利用Redis漏洞及爆破进行传播,感染后利用计算资源挖矿。
WannaCry:利用Windows漏洞进行传播,感染后主要进行勒索。
BillGates:利用爆破及应用漏洞进行传播,感染后构建僵尸网络进行DDoS攻击。
代表案例-DDG蠕虫
DDG是一种主要利用Redis漏洞及爆破等方式进行传播的活跃蠕虫,被感染的主机被加入僵尸网络后受控进行虚拟货币挖矿。
DDG蠕虫影响范围
存在SSH弱口令的服务器。
存在漏洞的Redis或其他类型的数据库服务器。
DDG蠕虫的主要危害
业务中断:感染DDG蠕虫的主机主要被用来挖矿,挖矿会大量占用服务器计算资源,可能导致服务不可用或正常业务的中断。
监管封闭:DDG蠕虫感染后会进一步扩散传播,可能会导致IP被监管单位封禁。
针对DDG攻击链的防御
云防火墙可针对DDG的攻击链进行实时检测和防御,从而阻断整个蠕虫的攻击和传播链路。
下图为云防火墙针对DDG攻击链的防御架构图:
云防火墙可提供以下四种防御类型:
防护白名单:云防火墙入侵防御模块不会对防护白名单中的流量进行拦截,加入到防护白名单的源/目的IP会被云防火墙视为可信流量并放行。
威胁情报:云防火墙可扫描侦查威胁情报,并提供情报阻断。
基础规则:支持恶意软件检测、通信拦截、后门通信拦截。
虚拟补丁:针对漏洞利用的防护补丁,可实时防护热门的应用高危漏洞。
操作步骤
登录云防火墙控制台。
在左侧导航栏,选择。
在IPS配置页面威胁引擎运行模式模块选择拦截模式-宽松。
在高级设置模块中单击防护白名单,将内外双向流量的可信源源IP地址、目的IP地址或地址簿配置到防护白名单中。
在威胁情报模块中单击开启威胁情报。
在基础防御模块中单击开启基础规则。
在虚拟补丁模块中单击开启补丁。
云防火墙的入侵防御策略配置的更多详细内容,请参见IPS配置。