新一轮比特币讹诈攻击:如何防范中兴的uSmartDC云数据中心

本篇文章2063字，读完约5分钟

新一轮比特币讹诈攻击:如何防范中兴的uSmartDC云数据中心 最近，世界遭受了新一轮网络讹诈病毒攻击，波及60个国家和地区。大约30万用户受到严重影响，一些企业被迫暂停营业或生产。据报道，美国、俄罗斯、丹麦、乌克兰、欧洲和其他国家的许多企业和政府系统已经招募了中毒者的计算机进行锁定，需要300美元的加密数字现金来解锁。 最近，世界遭受了新一轮网络讹诈病毒攻击，波及60个国家和地区。大约30万用户受到严重影响，一些企业被迫暂停营业或生产。据报道，美国、俄罗斯、丹麦、乌克兰、欧洲和其他国家的许多企业和政府系统已经招募了中毒者的计算机进行锁定，需要300美元的加密数字现金来解锁。

中兴做出了积极回应，从病毒爆发的第一时间就敏锐地意识到了危险，并立即为优思达中兴云提供了基于端点防御技术的反勒索解决方案，以最大限度地确保客户的系统安全，并充分维护客户的利益。

中兴通讯认为，仅靠边境安全计划已无法应对当前频繁发生的敲诈袭击。USmartDC作为中兴云数据中心的整体解决方案，通过集成反勒索攻击安全控制模块，提供基于端点保护的反勒索功能。反勒索安全控制模块实现了统一的安全策略配置和分发、勒索行为预警和文档堡垒管理等功能。，弥补了边境保护的不足，保护了客户的数据安全。

反勒索部署计划

反讹诈对策系统与数据中心的租户安全方案相结合，通过端点探测器、租户安全管理节点和反讹诈管理节点进行部署。

端点探测:在端点层(物理机、虚拟机)部署轻量级的行为监控探测，通过自学习端点操作和进程行为的时间序列建立端点行为基线库，识别操作/进程行为，匹配勒索行为样本库的定义，实现威胁态势的实时分析和感知，并根据策略拦截攻击行为。

租户安全管理节点:提供租户的策略配置、勒索预警和报告、文件堡垒管理和其他功能。

反敲诈管理节点:提供统一的策略配置和分发、敲诈行为预警和文件堡垒管理功能。

反勒索解决方案基于对操作和过程行为特征的分析来检测勒索攻击，能够实时阻止勒索。文件堡垒为勒索攻击前未被用户感染的文件提供了可预测的备份，阻止了杀戮完成后的按需恢复。这是业界首款具备全流程反勒索功能的云数据中心解决方案，可实现攻击前备份、日常检测、预警、阻止和恢复。

与传统的特征码检测方法、校验和方法和软件模拟方法相比，uSmartDC中兴云数据中心反讹诈方案的行为检测方法能够发现未知的讹诈病毒及其变种，准确预测未知病毒，从源头上预防讹诈行为。基于一定规模的恶意代码行为库，它可以分析许多对象，如系统内核、驱动程序、进程、指令等。时间跨度空数据。

防止勒索原则

1.如何检测

防止勒索的前提是侦查。勒索攻击有常见的和特殊的行为。监测行为的特征通常包括:INT 13H异常职业；将系统的总内存修改为数据区；写入COM和EXE文件；在病毒程序和主机程序之间切换；文件浏览和异常加密操作。

端点探测器有自己的勒索行为特征库，并对检测到的可疑行为和勒索行为特征库进行加权比较，以确定该行为是否可疑。当此功能打开时，可疑勒索行为将被直接阻止，而当它关闭时，只有可疑勒索行为的收集将被执行，而没有判断和阻止。端点探测具有自动学习操作和过程行为的能力，提高了攻击行为的判断灵敏度，减少了误判。

通过为用户提供自定义检测行为和预警推送的界面，扩展了检测内容和范围，可以定期向用户推送勒索威胁预警。

在5/12爆发期间，WannaCry勒索软件的警报截图。

2.如何预防

端点探测器通过讹诈网络返回连接协议自动识别并阻止讹诈返回连接；识别异常的内部网络复制行为，并阻止与内部网络连接通道的链接，以防止异常的复制行为；对于未知漏洞(0天)，基于攻击行为特征库，结合恶意代码行为分析，确定攻击的可疑行为，并将结果作为判断依据，判断攻击是否被及时拦截。

电力提升受阻，并发出警报。

3.如何备份

未经授权的文件浏览、创建或修改指定功能类型的文件、文件夹的异常浏览轨迹、未经授权的新流程创建记录等异常行为通常发生在讹诈病毒感染的过程中。通过以上行为记录和背景行为分析筛选，可以提前预测可能发生的敲诈事件，并可以提前将需要读写的文件复制到文件堡垒中。对于一些在勒索被阻止之前可能已经被恶意加密的文件，在阻止和杀死完成之后，可以根据需要从文件堡垒中恢复数据。

反勒索计划要闻

1.端点保护是边境防御的有力补充。轻量级行为监控探测器部署在端点层(物理机、虚拟机)，用于筛选用户/流程行为，弥补边界防御的不足。

2.文件堡垒，将损失降低到最低水平，提供勒索和预判功能。如果有疑问，文件会提前备份，以最大限度地减少勒索损失。

3.基于操作/进程行为分析的行为分析发现未知的漏洞，对攻击行为有敏感的判断，并阻止0DAY攻击。

4.安全中心、安全管理中心具有全方位的防控视图，安全数据和报警信息一目了然。

作为联盟全球企业的一员，中兴通讯一直非常重视云数据中心的安全，并将安全作为重中之重。中兴通讯已通过认证，并获得外部权威机构的安全认证。中兴通讯将继续关注客户，全面及时地确保他们的数据安全。