今年4月16日启明星辰泰合北斗团队发布了《启明星辰泰合安全管理平台针对最新NSA黑客工具泄漏事件的应急处置指引》,介绍了将会受泄漏的NSA工具控制受影响的Windows主机类型与可利用SMB、RDP、IIS等服务漏洞进行攻击的行为,并给出了相应的应急处置指引。针对本次全球范围内爆发的“WannaCry”勒索病毒事件,启明星辰提供基于安全管理平台的事件分析和安全预警操作指导。
启明星辰泰合安全管理平台和日志审计平台的“事件”模块提供了灵活的事件查询与统计功能,可帮助用户实现事后审计,分析和追踪网络中的SMB访问行为事件;关联分析规则模块,可帮助用户从海量日志中对攻击日志进行聚类分析,找出有价值安全事件,可“规则”模块中添加一组与Windows SMB远程代码执行漏洞有关的关联分析规则,监视网络中发生的Windows SMB远程代码执行漏洞MS17-010事件,实现“事中”预警,并自动以邮件或短信(需有短信接口)的方式通知用户及时掌握攻击态势。如果您需要我们查杀WannaCry病毒或咨询其他问题请与启明星辰泰合北斗服务团队联系。
1、 通过“事件”模块进行“事后”审计
在“事件”分析模块中,可指定任意关键字进行模糊检索,也可以指定事件的条件进行精确查询。如设定查询条件:最近7天、目的端口为445,即可快速查询出安全管理平台管理资产范围内,任意源地址访问目的地址445端口7天范围内的全部数据。
还可对查询结果按任意事件属性进一步聚焦分析,如可根据查询结果中的源地址或目的地址等条件统计排名,进一步挖掘事件的影响范围,根据事件产生时间和源地址与目标地址的对比,追踪蠕虫病毒传播的轨迹。
2、 通过基于威胁情报的关联分析
启明星辰泰合安全管理平台可与威胁情报合作组织(天际友盟)互通,将攻击源提交给情报机构进行研判。另外还可获取外部威胁情报机构“Windows SMB远程代码执行漏洞”的威胁源列表,在关联分析过程中引入威胁情报,提升安全事件预警的准确度。在“规则”模块添加一组与Windows SMB远程代码执行漏洞有关的关联分析规则过程如下:
1)在观察列表中,添加“SMB威胁情报源”,将SMB外部威胁情报源的数据导入平台已创建好的观察列表中,作为外部情报数据使用。
2)在规则模块中,添加“L2_ADS_SMB可疑访问事件”,此规则条件为:事件名称包含SMB 并且包含蠕虫病毒、设备类型开始于安全设备、响应为允许、发现、忽略,配置方法截图如下:
通过分析规则自动将SMB蠕虫病毒可疑访问的源地址添加到观察列表“SMB威胁情报源”中,作为内部情报数据使用。
3)添加“L3_MC_ MS17-010SMB远程代码执行漏洞”,条件如下:事件名称开始于TCP_Windows SMB远程代码执行漏洞,且事件名称中包含MS17-010、设备类型开始于安全设备、响应为允许、源地址引用观察列表“SMB威胁情报源”
将告警等级设置为“高”,并自动将告警详细通过邮件或短信通知给相关人员。
(来源:启明星辰)
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
