最新出現(xiàn)的勒索軟件 “ 壞兔子 ” 在從 10 月 24 日在全球范圍開始蔓延，這是繼今年 5 月份的 WannaCry 和 6 月份的 Petya 爆發(fā)后，出現(xiàn)的第三次的勒索軟件爆發(fā)，這也從側(cè)面印證了勒索軟件的威脅已經(jīng)進(jìn)入了常態(tài)化趨勢。本篇介紹的內(nèi)容是，如何通過 AMP 高級惡意代碼防護(hù)技術(shù)，實(shí)現(xiàn)從網(wǎng)絡(luò)到終端的有效安全防護(hù)。

　　讓我們再來看一下，在構(gòu)建架構(gòu)式防御的 “攻擊鏈條” 的中，從攻擊前、攻擊中和攻擊后三個階段入手，并將其進(jìn)行細(xì)化成 6 個步驟，深入分析每個步驟的入侵特征，從而提出對應(yīng)的防御手段。

　　思科高級惡意軟件保護(hù)（Advanced Malware Protection 簡稱 AMP）技術(shù)，能夠利用業(yè)界領(lǐng)先威脅情報(bào)分析和沙盒分析技術(shù)，檢測可疑文件中是否存在惡意代碼，并對其進(jìn)行告警或者攔截。思科 AMP 技術(shù)采用了深度集成和持續(xù)分析的方法，實(shí)現(xiàn)了對入侵威脅過程的持續(xù)檢測、分析確認(rèn)、跟蹤回溯的功能。

　　下面我們以 “壞兔子”（BadRabbit）勒索軟件為例，看看思科 AMP 終端保護(hù)是如何實(shí)現(xiàn)對勒索軟件檢測和攔截過程的。

　　在惡意軟件 BadRabbit 爆發(fā)的第一時間，思科 Talos 就捕獲樣本并進(jìn)行了完整的分析，獲取到惡意文件的 HASH 特征，分析顯示 BadRabbit 是利用假冒 Flash 的升級程序，通過這個更新程序進(jìn)行擴(kuò)散和感染電腦終端。

　　事實(shí)上，思科 Talos 團(tuán)隊(duì)每天分析數(shù)百萬個惡意軟件樣本和數(shù)萬億字節(jié)數(shù)據(jù)，并將最新的威脅情報(bào)更新到 AMP 終端。其中最核心的技術(shù)，借助了思科 ThreatGrid 高級沙盒技術(shù)，對文件自動執(zhí)行靜態(tài)和動態(tài)分析，從而發(fā)現(xiàn)隱蔽的惡意代碼威脅。

　　思科 AMP 終端保護(hù)工具，借助于云端沙盒分析技術(shù)，利用了包括大數(shù)據(jù)分析、機(jī)器學(xué)習(xí)、模糊匹配指紋、內(nèi)置防病毒引擎、Rootkit 掃描等多種技術(shù)，自動檢測和攔截各種惡意代碼威脅（如下圖）。

　　當(dāng)終端 PC 下載或運(yùn)行帶有惡意代碼的文件時，AMP 將實(shí)時檢測，并根據(jù)預(yù)先設(shè)定的策略進(jìn)行告警或隔離，并呈現(xiàn)出結(jié)果（如下圖）。

　　通過上圖可以看到，文件 dispci.exe 已經(jīng)被Cisco AMP 終端保護(hù)檢測并確定為 BadRabbit 勒索軟件。

　　思科 AMP 在控制臺詳細(xì)記錄了惡意代碼入侵的事件，包括惡意代碼類型、文件名稱及位置、HASH 等內(nèi)容（如下圖）。

　　此外，AMP 能夠?qū)�進(jìn)入終端的文件進(jìn)行續(xù)觀察、分析和記錄文件活動，包括該惡意軟件來自何處、到過何處，以及執(zhí)行什么活動。最后，AMP 將在所有受影響的終端上自動隔離相關(guān)文件（見下圖）。

　　思科具備業(yè)界最完整的 AMP 產(chǎn)品體系，涵蓋了從網(wǎng)絡(luò)邊界、終端防護(hù)到內(nèi)容檢測，并且提供了靈活的部署方式（見下圖）。

　　思科 AMP 技術(shù)與其他思科安全產(chǎn)品深度集成，提供了豐富的部署方式，滿足了不同應(yīng)用環(huán)境的需求。在各種 AMP 部署方式中，彼此之間支持信息的共享和聯(lián)動，發(fā)送威脅數(shù)據(jù)到運(yùn)維團(tuán)隊(duì)，實(shí)現(xiàn)自動化的響應(yīng)，最終實(shí)現(xiàn)了勒索軟件的有效防御。

　　思科 AMP 解決方案的與眾不同之處在于，能夠?qū)⒕W(wǎng)絡(luò)邊界的 AMP 高級惡意代碼保護(hù)，與部署在終端的 AMP 整合在一起，實(shí)現(xiàn)信息的共享，記錄惡意代碼的軌跡，最終能夠?qū)崿F(xiàn)持續(xù)性的威脅檢測與防護(hù)。