公司新闻
金山VGM防毒墙针对Wannacry勒索者病毒解决方案
一、事件背景
北京时间5月12日,互联网上出现针对Windows操作系统的勒索软件(Wannacry)攻击案例。勒索软件利用此前披露的Windows SMB服务漏洞(对应微软漏洞公告:MS17-010)攻击手段,向终端用户进行渗透传播,并向用户勒索比特币或其他价值物。包括高校、能源等重要信息系统在内的多个国内用户受到攻击,已对我国互联网络构成较为严重的安全威胁。
根据金山安全已获知的样本情况和分析结果,该勒索软件在传播时基于445端口并利用SMB服务漏洞(MS17-010),总体可以判断是由于此前“Shadow Brokers”披露漏洞攻击工具而导致的后续黑产攻击威胁。4月16日,CNCERT主办的CNVD发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》,对影子纪经人“Shadow Brokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报,并对有可能产生的大规模攻击进行了预警:
“金山VGM新一代防毒墙是一款专注于防范网络恶意代码、网络恶意行为威胁的过滤网关产品。可有效拦截/监控诸如病毒传播、蠕虫攻击、木马通讯、僵尸网络、口令探测等当前活跃的多种网络威胁。区别于传统的UTM模块化产品,金山VGM新一代防毒墙将自己的防范目标定位于恶意代码和恶意网络通讯,专注于对恶意代码和恶意网络通讯的识别和拦截,是帮助企业防范恶意代码,完善网络安全防护的有利工具。
金山VGM新一代防毒墙综合采用数据包结构分析、网络行为分析、特征识别、模式匹配、流量控制与自动抑制、协议分析、深度内容分析、专业防病毒识别、蠕虫过滤、木马通讯阻断、口令嗅探识别、全透明桥接等技术,实现对网络威胁数据的精确过滤。
Wannacry勒索者病毒可以利用电子邮件、文件传输等方式进行扩散,更主要的特点是利用系统的漏洞发起动态攻击。
根据Wannacry勒索者病毒的特点,金山VGM新一代防毒墙从OSI的多个层次进行处理。在网络层和传输层过滤蠕虫利用漏洞的动态攻击数据,在应用层过滤利用正常协议(SMTP、HTTP、POP3、FTP、IMAP、SMB等)传输的静态蠕虫代码。,用户无需做任何设置,就可达成对Wannacry勒索者病毒的有效防护。
金山VGM新一代防毒墙可实现对恶意代码威胁的动态防御攻击,能够全方位抵御已知蠕虫病毒的攻击。这一技术标志着,金山VGM新一代防毒墙不仅可以过滤静态蠕虫代码,而且能够阻断蠕虫的动态攻击(包括所引发的病毒传播、后门漏洞、系统利用攻击等)。这样,可全面实现威胁动态防御。
灵活接入,即插即用。金山VGM新一代防毒墙支持串行、并行、串并混合三种接入模式,即插即用,适应各种复杂的网络环境,支持VLAN(包括非对称VLAN)、HA、单臂路由等网络环境。支持无IP接入,产品本身不需要设置任何地址即可进行过滤监控。
IPV4/IPV6双栈支持。金山VGM新一代防毒墙全面支持IPv4和IPv6网络环境。
性能优秀,多路监控。金山VGM新一代防毒墙采用多核并行处理、重构网卡驱动、TCP/IP协议栈等技术,保证系统的高效过滤性能;支持多路监控,并且可同时支持防御/监测模式的应用。
动态识别应用协议。金山VGM新一代防毒墙支持非端口定义的协议识别,通讯服务端无论采用什么端口,都能正确识别HTTP/FTP/SMTP/POP3/IMAP/SSH/SSL/SMB 等多种应用层协议。
精确的病毒过滤能力。金山VGM新一代防毒墙针对网络传播病毒进行全面高效的专项过滤,精确识别邮件病毒、文件传输病毒、网页病毒等,防止病毒通过最常见的传播途径进入受保护网络。
强大的蠕虫过滤能力。金山VGM新一代防毒墙采用入侵防御技术、IP/端口/数据包封锁技术,优化了蠕虫识别机制,不仅可过滤已知蠕虫,还可以在未知蠕虫爆发时进行拦截。
强大的木马通讯监控。金山VGM新一代防毒墙内置数千种木马通讯协议识别特征,可监控多数常见的木马通讯,通过识别库的不断更新,以响应新型木马,包括手机木马。
高效的反钓鱼机制。金山VGM新一代防毒墙可对常用的网络服务如:SMTP/POP3/IMAP/FTP/ HTTP/SSH/TELNET/SMB等进行口令探测的活动均可被监测,并可触发相应的阻断动作,防止口令探测活动的持续进行。并预留接口进行二次开发,对用户专有的网络服务实现口令探测监控。
保障自身安全工作。金山VGM新一代防毒墙通过多种措施保障自身安全工作:通过专有安全操作系统避免漏洞攻击;通过自动抑制网络流量,防止DoS攻击造成拒绝服务和性能下降;通过加密和认证的安全管理防止管理失控。
