揭秘勒索第5期丨华为勒索攻击防御的四层防护网之边界入侵防线

入侵前需要经过侦察找到目标，然后经过各种攻击方法和技术进行渗透，从而达到控制目标系统，投放勒索软件的目的，这些方法和技术包括但不限于钓鱼邮件、网页挂马、暴力破解、漏洞渗透、社工等等。

侦察为所有攻击的最开始部分，就是想尽一切办法和技术获取攻击目标的信息，包括信息资产、组织结构、技术架构等，目的是搜集到足够的信息用于下一步的入侵动作。常见的侦察技术包括利用互联网信息、调查研究、通过主动扫描等；这里举几个常见的方式，比如：

除了上面常见的方法，还有很多可利用的技术，比如被动监测获取组织的网络及应用信息，通过社会工程学获取有价值的信息，防不胜防。

钓鱼邮件是攻击者最喜欢使用的一个社工方式了，钓鱼邮件指利用伪装的电邮，欺骗收件人将账号、口令等信息回复给指定的接收者；或引导收件人链接到特制的网页，这些网页通常会伪装成和真实网站一样，如银行或理财的网页，令登录者信以为真，输入信用卡或银行卡号码、账户名称及密码等而被盗取；或者诱导用户打开恶意附件或者点击邮件中的恶意链接下载恶意软件，进而控制用户的主机，如果这些恶意软件是勒索软件，直接就被勒索了，短平快。

挂马网页同钓鱼邮件一样，在用户不知情的情况下，点击访问了一个被挂马的恶意网页，稍有不慎网页就可通过浏览器把病毒植入用户主机，达到控制用户主机的目的；挂马网页可以利用浏览器的漏洞来控制系统，也可以诱导用户直接下载恶意软件来使用户中招。

暴力破解也是攻击者优先尝试的一个攻击手段之一，也是最经济有效的攻击手段之一，顾名思义，暴力破解就是不断用已经准备好的用户名/密码（业内叫字典）来尝试登录远端系统，包括远程桌面、Linux服务器的SSH管理口、数据库等，并且可以通过自动化工具（如Hydra）来进行暴力破解，甚至通过僵尸网络、代理服务器集群来进行分布式的暴力破解，防不胜防。

漏洞渗透就是利用系统、软件等漏洞，构造特殊的流量，达到静悄悄渗透到目标系统，从而控制系统的目的。漏洞最常见的标识就是CVE编号，是由NIST维护，在中国各个漏洞的统一编号是CNNVD，由中国信息安全测评中心运营维护。下图为CVE漏洞数量趋势图，从图上可以看出，近年漏洞数量呈快速增长趋势。虽然不是每个CVE都可被利用或者造成严重后果，如控制主机等，但即使有10%可以被利用，这数量也是很大的，更何况还有一些系统、软件漏洞被没有被收录到CVE或者CNNVD，尤其是一些网站的逻辑漏洞，如SQL注入漏洞，详细可参考OWASP TOP10项目。

说到利用漏洞进行渗透利用，各个攻击者就各显神通了，准备攻击工具的阶段叫武器化，有各种自动化工具，比如流行的Metasploit可使用；还有强大的如Equation Group组织的工具，掀起勒索病毒新浪潮的WannaCrypt病毒就是利用其发现的EternalBlue漏洞被利用的成果。

除了上述提到入侵手段，还有其他各种意想不到方法和技术，比如通过U盘把木马病毒传递进去，通过泄露的账号密码进入，通过替换供应链进入等等。

针对上述五花八门的入侵方式，首先企业自身要进行安全防护措施的加固，包括管理和技术：

其中，防火墙、入侵防护（IPS）等网关设备作为抵挡攻击的第一道防线，发挥着重要作用。

华为AI防火墙内置了智能检测引擎，提供IPS、反病毒和URL过滤等内容安全相关的功能，有效保证内网服务器和用户免受威胁的侵害。

华为AI防火墙主要有如下功能：

从2008年开始，华为就构建基于内容的应用识别技术，在企业网、运营商等各个产品上广泛应用。华为AI防火墙上的应用识别不仅仅基于端口来识别应用，还基于字符串、正则、运算、哈希等各种特征，进行特征识别、关联识别、行为识别、多维度识别等，保证精确高效地识别出协议、应用及各种细分应用，如微信聊天、微信文件传输、微信直播等，支持的应用识别数量达到6000+以上。企业可以根据识别的应用，制定精细的安全访问策略，阻断恶意应用流量的访问。

从2009年开始，华为就基于智能的技术构建了恶意网页检测分类技术，后续扩展到对URL进行更多细分分类。当前支持45个大类、137个子类的URL分类，并具备全语种识别能力，已经在云端覆盖2亿+的URL分类列表。AI防火墙可基于URL分类，阻断用户对挂马网页、钓鱼网页等等恶意URL的访问。

攻击者主要通过系统、软件漏洞进行入侵，进而控制目标系统。华为自研的入侵检测引擎及语法，从2006年开始已经历经四代演进，强大灵活的检测语法，做到签名定义更精确和高效，同时借助广泛部署的设备和安全云服务，做到80%以上的默认阻断率，可有效地拦截漏洞攻击：

全方位防躲避技术：支持对IP分片、TCP分段产生的乱序、逆序报文进行重组，同时支持RPC协议的分片重组，支持对HTTP、FTP、NetBIOS、SMB等协议400+的躲避手段进行检测。

高精度的协议解码: 高精度的检测离不开精细的流量分析，引擎支持对HTTP、SMTP、POP3、IMAP、DNS等几十种协议的500+字段进行精细化的解析，为签名检测提供强大的基础，同时也支持对协议异常进行检测，及时阻断恶意访问。

高性能加速引擎: IPS签名中最重要的检测语法就是字符串匹配，华为AI防火墙通过自研的硬件加速引擎，可以做到签名全开启性能不下降的效果。

华为AI防火墙集成了完全自研的反病毒引擎CDE（Content Detection Engine）。CDE引擎通过深度分析恶意文件，对海量病毒进行精准分类，通过华为MDL（Malware Detection Language）专有病毒语言，使用少量资源精准覆盖海量变种，并集成神经网络算法，有效检测亿级数量的恶意文件。华为AI防火墙配合云端安全智能中心，持续对每日新增的百万恶意文件进行分析检测，及时检测最新流行病毒，当前支持检测包括勒索、挖矿、木马、僵尸、后门、漏洞利用、蠕虫、病毒、黑客工具、灰色软件、恶意广告等各类恶意家族病毒。

主机一旦被网络入侵攻击者入侵进去，被控制，变成僵尸主机（失陷），下一步就是僵尸主机和攻击者控制的C&C（Command and Control）服务器进行通信，获取下一步的动作，发送攻击流量、窃取数据等，当然也包括本揭秘勒索系列文章的主题——进行勒索。

那么通过检测这些和C&C通信的流量，及时进行阻断，也是一个重要的防护手段。华为AI防火墙上对这些流量有如下检测手段：

IPS签名：基于签名特征的IPS检测，不仅可以对利用漏洞进行入侵的行为进行检测，而且可以对主机失陷后的僵尸、木马、远控流量进行检测，及时阻断下一步的攻击动作。

威胁IoC信息：通过安全智能中心每天自动化的数据分析，每天发现大量的C&C主机和恶意域名，华为AI防火墙可以基于这些威胁IoC信息直接进行阻断和告警。

智能算法：华为AI防火墙同样可以利用深度学习和机器学习对C&C通信流量进行训练，然后把模型在AI防火墙进行加载推理。华为AI防火墙上的智能检测算法最早是在大数据态势感知产品HiSec Insight上研发的，使用了机器学习和深度学习构建了30+检测算法模型，然后逐步将检测模型和算法迁移到了防火墙产品上；当前首先精挑细选了5种成熟算法，包括DGA检测、C&C通信检测等。智能检测算法是非常消耗资源的，华为在AI防火墙上做了很多工作才能达到嵌入式上的性能要求，比如Python库全部修改为C/C++程序，对模型进行压缩等。