前面文章對勒索軟件進行了分析，并介紹了常見的勒索攻擊模式以及攻擊的過程。從攻擊的過程看，起點都是從入侵開始，那么這一期我們就重點看下常見的入侵方式以及防御方法。

入侵防御是企業(yè)防護的第一道防線，盡可能的攔截更多的潛在威脅，為后端減輕壓力。

入侵方式

入侵前需要經(jīng)過偵察找到目標，然后經(jīng)過各種攻擊方法和技術(shù)進行滲透，從而達到控制目標系統(tǒng)，投放勒索軟件的目的，這些方法和技術(shù)包括但不限于釣魚郵件、網(wǎng)頁掛馬、暴力破解、漏洞滲透、社工等等。

偵察偵察為所有攻擊的最開始部分，就是想盡一切辦法和技術(shù)獲取攻擊目標的信息，包括信息資產(chǎn)、組織結(jié)構(gòu)、技術(shù)架構(gòu)等，目的是搜集到足夠的信息用于下一步的入侵動作。常見的偵察技術(shù)包括利用互聯(lián)網(wǎng)信息、調(diào)查研究、通過主動掃描等；這里舉幾個常見的方式，比如：

利用互聯(lián)網(wǎng)信息：通過對目標組織的域名進行Whois信息查詢，獲取IP地址等信息資產(chǎn)；通過對網(wǎng)站的網(wǎng)頁代碼進行分析，包括采用的技術(shù)，甚至在HTML源碼注釋中發(fā)現(xiàn)更有價值的信息；通過社交媒體等獲取目標公司信息；通過搜索引擎獲取公開的信息，并把這些所有信息片段組合成有價值的信息，為下一步動作做準備。

通過主動掃描：知道了目標組織的主機等暴露面信息，有太多公開的方法和工具來進一步探測開啟的服務(wù)以及可利用的漏洞信息，比如Nessus、Acunetix、Nmap等商業(yè)或者免費的工具。

除了上面常見的方法，還有很多可利用的技術(shù)，比如被動監(jiān)測獲取組織的網(wǎng)絡(luò)及應(yīng)用信息，通過社會工程學獲取有價值的信息，防不勝防。

釣魚郵件釣魚郵件是攻擊者最喜歡使用的一個社工方式了，釣魚郵件指利用偽裝的電郵，欺騙收件人將賬號、口令等信息回復給指定的接收者；或引導收件人鏈接到特制的網(wǎng)頁，這些網(wǎng)頁通常會偽裝成和真實網(wǎng)站一樣，如銀行或理財?shù)木W(wǎng)頁，令登錄者信以為真，輸入信用卡或銀行卡號碼、賬戶名稱及密碼等而被盜取；或者誘導用戶打開惡意附件或者點擊郵件中的惡意鏈接下載惡意軟件，進而控制用戶的主機，如果這些惡意軟件是勒索軟件，直接就被勒索了，短平快。

掛馬網(wǎng)頁掛馬網(wǎng)頁同釣魚郵件一樣，在用戶不知情的情況下，點擊訪問了一個被掛馬的惡意網(wǎng)頁，稍有不慎網(wǎng)頁就可通過瀏覽器把病毒植入用戶主機，達到控制用戶主機的目的；掛馬網(wǎng)頁可以利用瀏覽器的漏洞來控制系統(tǒng)，也可以誘導用戶直接下載惡意軟件來使用戶中招。

暴力破解暴力破解也是攻擊者優(yōu)先嘗試的一個攻擊手段之一，也是最經(jīng)濟有效的攻擊手段之一，顧名思義，暴力破解就是不斷用已經(jīng)準備好的用戶名/密碼（業(yè)內(nèi)叫字典）來嘗試登錄遠端系統(tǒng)，包括遠程桌面、Linux服務(wù)器的SSH管理口、數(shù)據(jù)庫等，并且可以通過自動化工具（如Hydra）來進行暴力破解，甚至通過僵尸網(wǎng)絡(luò)、代理服務(wù)器集群來進行分布式的暴力破解，防不勝防。

漏洞滲透漏洞滲透就是利用系統(tǒng)、軟件等漏洞，構(gòu)造特殊的流量，達到靜悄悄滲透到目標系統(tǒng)，從而控制系統(tǒng)的目的。漏洞最常見的標識就是CVE編號，是由NIST維護，在中國各個漏洞的統(tǒng)一編號是CNNVD，由中國信息安全測評中心運營維護。下圖為CVE漏洞數(shù)量趨勢圖，從圖上可以看出，近年漏洞數(shù)量呈快速增長趨勢。雖然不是每個CVE都可被利用或者造成嚴重后果，如控制主機等，但即使有10%可以被利用，這數(shù)量也是很大的，更何況還有一些系統(tǒng)、軟件漏洞被沒有被收錄到CVE或者CNNVD，尤其是一些網(wǎng)站的邏輯漏洞，如SQL注入漏洞，詳細可參考OWASP TOP10項目。

說到利用漏洞進行滲透利用，各個攻擊者就各顯神通了，準備攻擊工具的階段叫武器化，有各種自動化工具，比如流行的Metasploit可使用；還有強大的如Equation Group組織的工具，掀起勒索病毒新浪潮的WannaCrypt病毒就是利用其發(fā)現(xiàn)的EternalBlue漏洞被利用的成果。

其他除了上述提到入侵手段，還有其他各種意想不到方法和技術(shù)，比如通過U盤把木馬病毒傳遞進去，通過泄露的賬號密碼進入，通過替換供應(yīng)鏈進入等等。

防御方案

針對上述五花八門的入侵方式，首先企業(yè)自身要進行安全防護措施的加固，包括管理和技術(shù)：

限制公開的企業(yè)信息，包括網(wǎng)絡(luò)架構(gòu)、人員組織、技術(shù)等

關(guān)閉未使用的公開端口、服務(wù)

隱藏返回的服務(wù)器錯誤信息

及時對企業(yè)系統(tǒng)、軟件打補丁

部署防火墻、入侵防護設(shè)備

其中，防火墻、入侵防護（IPS）等網(wǎng)關(guān)設(shè)備作為抵擋攻擊的第一道防線，發(fā)揮著重要作用。

華為AI防火墻內(nèi)置了智能檢測引擎，提供IPS、反病毒和URL過濾等內(nèi)容安全相關(guān)的功能，有效保證內(nèi)網(wǎng)服務(wù)器和用戶免受威脅的侵害。

華為AI防火墻主要有如下功能：● 應(yīng)用識別阻斷惡意流量訪問

從2008年開始，華為就構(gòu)建基于內(nèi)容的應(yīng)用識別技術(shù)，在企業(yè)網(wǎng)、運營商等各個產(chǎn)品上廣泛應(yīng)用。華為AI防火墻上的應(yīng)用識別不僅僅基于端口來識別應(yīng)用，還基于字符串、正則、運算、哈希等各種特征，進行特征識別、關(guān)聯(lián)識別、行為識別、多維度識別等，保證精確高效地識別出協(xié)議、應(yīng)用及各種細分應(yīng)用，如微信聊天、微信文件傳輸、微信直播等，支持的應(yīng)用識別數(shù)量達到6000+以上。企業(yè)可以根據(jù)識別的應(yīng)用，制定精細的安全訪問策略，阻斷惡意應(yīng)用流量的訪問。● URL分類過濾阻斷惡意URL訪問

從2009年開始，華為就基于智能的技術(shù)構(gòu)建了惡意網(wǎng)頁檢測分類技術(shù)，后續(xù)擴展到對URL進行更多細分分類。當前支持45個大類、137個子類的URL分類，并具備全語種識別能力，已經(jīng)在云端覆蓋2億+的URL分類列表。AI防火墻可基于URL分類，阻斷用戶對掛馬網(wǎng)頁、釣魚網(wǎng)頁等等惡意URL的訪問。● 入侵檢測阻斷漏洞滲透入侵

攻擊者主要通過系統(tǒng)、軟件漏洞進行入侵，進而控制目標系統(tǒng)。華為自研的入侵檢測引擎及語法，從2006年開始已經(jīng)歷經(jīng)四代演進，強大靈活的檢測語法，做到簽名定義更精確和高效，同時借助廣泛部署的設(shè)備和安全云服務(wù)，做到80%以上的默認阻斷率，可有效地攔截漏洞攻擊：

全方位防躲避技術(shù)：支持對IP分片、TCP分段產(chǎn)生的亂序、逆序報文進行重組，同時支持RPC協(xié)議的分片重組，支持對HTTP、FTP、NetBIOS、SMB等協(xié)議400+的躲避手段進行檢測。

高精度的協(xié)議解碼： 高精度的檢測離不開精細的流量分析，引擎支持對HTTP、SMTP、POP3、IMAP、DNS等幾十種協(xié)議的500+字段進行精細化的解析，為簽名檢測提供強大的基礎(chǔ)，同時也支持對協(xié)議異常進行檢測，及時阻斷惡意訪問。

高性能加速引擎： IPS簽名中最重要的檢測語法就是字符串匹配，華為AI防火墻通過自研的硬件加速引擎，可以做到簽名全開啟性能不下降的效果。● 依托CDE引擎實時檢出惡意文件

華為AI防火墻集成了完全自研的反病毒引擎CDE（Content Detection Engine）。CDE引擎通過深度分析惡意文件，對海量病毒進行精準分類，通過華為MDL（Malware Detection Language）專有病毒語言，使用少量資源精準覆蓋海量變種，并集成神經(jīng)網(wǎng)絡(luò)算法，有效檢測億級數(shù)量的惡意文件。華為AI防火墻配合云端安全智能中心，持續(xù)對每日新增的百萬惡意文件進行分析檢測，及時檢測最新流行病毒，當前支持檢測包括勒索、挖礦、木馬、僵尸、后門、漏洞利用、蠕蟲、病毒、黑客工具、灰色軟件、惡意廣告等各類惡意家族病毒。● 多方式惡意流量檢測阻斷C&C通信

主機一旦被網(wǎng)絡(luò)入侵攻擊者入侵進去，被控制，變成僵尸主機（失陷），下一步就是僵尸主機和攻擊者控制的C&C（Command and Control）服務(wù)器進行通信，獲取下一步的動作，發(fā)送攻擊流量、竊取數(shù)據(jù)等，當然也包括本揭秘勒索系列文章的主題——進行勒索。

那么通過檢測這些和C&C通信的流量，及時進行阻斷，也是一個重要的防護手段。華為AI防火墻上對這些流量有如下檢測手段：

IPS簽名：基于簽名特征的IPS檢測，不僅可以對利用漏洞進行入侵的行為進行檢測，而且可以對主機失陷后的僵尸、木馬、遠控流量進行檢測，及時阻斷下一步的攻擊動作。

威脅IoC信息：通過安全智能中心每天自動化的數(shù)據(jù)分析，每天發(fā)現(xiàn)大量的C&C主機和惡意域名，華為AI防火墻可以基于這些威脅IoC信息直接進行阻斷和告警。

智能算法：華為AI防火墻同樣可以利用深度學習和機器學習對C&C通信流量進行訓練，然后把模型在AI防火墻進行加載推理。華為AI防火墻上的智能檢測算法最早是在大數(shù)據(jù)態(tài)勢感知產(chǎn)品HiSec Insight上研發(fā)的，使用了機器學習和深度學習構(gòu)建了30+檢測算法模型，然后逐步將檢測模型和算法遷移到了防火墻產(chǎn)品上；當前首先精挑細選了5種成熟算法，包括DGA檢測、C&C通信檢測等。智能檢測算法是非常消耗資源的，華為在AI防火墻上做了很多工作才能達到嵌入式上的性能要求，比如Python庫全部修改為C/C++程序，對模型進行壓縮等。

結(jié)束語

攻擊是不斷變化的，任何防御也都不是100%有效，尤其是如果發(fā)生管理上人為的疏忽，或者零日的攻擊被利用，攻擊者已經(jīng)進入系統(tǒng)，那就需要對攻擊入侵后的行為及時進行檢測和感知。