最新出現(xiàn)的勒索軟件 “ 壞兔子 ” 在從 10 月 24 日在全球范圍開(kāi)始蔓延，這是繼今年 5 月份的 WannaCry 和 6 月份的 Petya 爆發(fā)后，出現(xiàn)的第三次的勒索軟件爆發(fā)，這也從側(cè)面印證了勒索軟件的威脅已經(jīng)進(jìn)入了常態(tài)化趨勢(shì)。本篇介紹的內(nèi)容是，如何通過(guò) AMP 高級(jí)惡意代碼防護(hù)技術(shù)，實(shí)現(xiàn)從網(wǎng)絡(luò)到終端的有效安全防護(hù)。

　　讓我們?cè)賮?lái)看一下，在構(gòu)建架構(gòu)式防御的 “攻擊鏈條” 的中，從攻擊前、攻擊中和攻擊后三個(gè)階段入手，并將其進(jìn)行細(xì)化成 6 個(gè)步驟，深入分析每個(gè)步驟的入侵特征，從而提出對(duì)應(yīng)的防御手段。

　　思科高級(jí)惡意軟件保護(hù)（Advanced Malware Protection 簡(jiǎn)稱(chēng) AMP）技術(shù)，能夠利用業(yè)界領(lǐng)先威脅情報(bào)分析和沙盒分析技術(shù)，檢測(cè)可疑文件中是否存在惡意代碼，并對(duì)其進(jìn)行告警或者攔截。思科 AMP 技術(shù)采用了深度集成和持續(xù)分析的方法，實(shí)現(xiàn)了對(duì)入侵威脅過(guò)程的持續(xù)檢測(cè)、分析確認(rèn)、跟蹤回溯的功能。

　　下面我們以 “壞兔子”（BadRabbit）勒索軟件為例，看看思科 AMP 終端保護(hù)是如何實(shí)現(xiàn)對(duì)勒索軟件檢測(cè)和攔截過(guò)程的。

　　在惡意軟件 BadRabbit 爆發(fā)的第一時(shí)間，思科 Talos 就捕獲樣本并進(jìn)行了完整的分析，獲取到惡意文件的 HASH 特征，分析顯示 BadRabbit 是利用假冒 Flash 的升級(jí)程序，通過(guò)這個(gè)更新程序進(jìn)行擴(kuò)散和感染電腦終端。

　　事實(shí)上，思科 Talos 團(tuán)隊(duì)每天分析數(shù)百萬(wàn)個(gè)惡意軟件樣本和數(shù)萬(wàn)億字節(jié)數(shù)據(jù)，并將最新的威脅情報(bào)更新到 AMP 終端。其中最核心的技術(shù)，借助了思科 ThreatGrid 高級(jí)沙盒技術(shù)，對(duì)文件自動(dòng)執(zhí)行靜態(tài)和動(dòng)態(tài)分析，從而發(fā)現(xiàn)隱蔽的惡意代碼威脅。

　　思科 AMP 終端保護(hù)工具，借助于云端沙盒分析技術(shù)，利用了包括大數(shù)據(jù)分析、機(jī)器學(xué)習(xí)、模糊匹配指紋、內(nèi)置防病毒引擎、Rootkit 掃描等多種技術(shù)，自動(dòng)檢測(cè)和攔截各種惡意代碼威脅（如下圖）。

　　當(dāng)終端 PC 下載或運(yùn)行帶有惡意代碼的文件時(shí)，AMP 將實(shí)時(shí)檢測(cè)，并根據(jù)預(yù)先設(shè)定的策略進(jìn)行告警或隔離，并呈現(xiàn)出結(jié)果（如下圖）。

　　通過(guò)上圖可以看到，文件 dispci.exe 已經(jīng)被Cisco AMP 終端保護(hù)檢測(cè)并確定為 BadRabbit 勒索軟件。

　　思科 AMP 在控制臺(tái)詳細(xì)記錄了惡意代碼入侵的事件，包括惡意代碼類(lèi)型、文件名稱(chēng)及位置、HASH 等內(nèi)容（如下圖）。

　　此外，AMP 能夠?qū)�進(jìn)入終端的文件進(jìn)行續(xù)觀(guān)察、分析和記錄文件活動(dòng)，包括該惡意軟件來(lái)自何處、到過(guò)何處，以及執(zhí)行什么活動(dòng)。最后，AMP 將在所有受影響的終端上自動(dòng)隔離相關(guān)文件（見(jiàn)下圖）。

　　思科具備業(yè)界最完整的 AMP 產(chǎn)品體系，涵蓋了從網(wǎng)絡(luò)邊界、終端防護(hù)到內(nèi)容檢測(cè)，并且提供了靈活的部署方式（見(jiàn)下圖）。

　　思科 AMP 技術(shù)與其他思科安全產(chǎn)品深度集成，提供了豐富的部署方式，滿(mǎn)足了不同應(yīng)用環(huán)境的需求。在各種 AMP 部署方式中，彼此之間支持信息的共享和聯(lián)動(dòng)，發(fā)送威脅數(shù)據(jù)到運(yùn)維團(tuán)隊(duì)，實(shí)現(xiàn)自動(dòng)化的響應(yīng)，最終實(shí)現(xiàn)了勒索軟件的有效防御。

　　思科 AMP 解決方案的與眾不同之處在于，能夠?qū)⒕W(wǎng)絡(luò)邊界的 AMP 高級(jí)惡意代碼保護(hù)，與部署在終端的 AMP 整合在一起，實(shí)現(xiàn)信息的共享，記錄惡意代碼的軌跡，最終能夠?qū)崿F(xiàn)持續(xù)性的威脅檢測(cè)與防護(hù)。